Web 服务器端应用程序的 NTLM 身份验证

Question

我用 C++ 编写的基于 Windows 的应用程序（基本上是 HTTP/1.1 代理服务器）侦听来自各个用户的请求。 目前，它能够发送 407 Basic Challenge，并处理来自标头的响应。 我知道我必须修改质询标头，以便客户端浏览器出于身份验证的目的做出基于 NTLM 的响应。 但我的问题是 - 如何为 407 身份验证质询生成正确的令牌、随机数等，然后如何验证收到的响应是否正确？ 最后，如果可能的话，我想记录客户端的用户名和其他 LDAP / ADS 属性。

如果已经有任何讨论类似内容的线程，请友善地将我重定向到正确的帖子。 大多数关于 WWW 的研究只引导我进行客户端编程，很少或几乎没有 - 对于必须在 HTTP 服务器中完成的编码。

在此先感谢你们所有出色的黑客。

Answer 1

简短的回答是，我认为 在 Windows 上使用 SSPI套接字服务器示例
是您最好的起点，它应该演示您需要的基本 SSPI 调用。 它是为普通 TCP 服务器编写的，但质询/响应数据是通过 HTTP 发送的，没有太多额外的复杂性。

[MS-N2HT]：协商和 Nego2 HTTP 身份验证协议< /a>

我赞同审查 mod_auth_sspi 的建议对于 Apache 代码

就我个人而言，我还会尝试将低级调试器附加到 IIS，看看他如何调用 SSPI 函数，但这可能不适合您。

在您对 SSPI 进行了如此深入的了解之后，获取用户名应该是小菜一碟（但请询问您是否需要帮助）。 可以使用这些 API 查询用户的 LDAP/AD 属性。

长答案涉及很少的阅读：

Wikipedia 中的集成 Windows 身份验证

Microsoft Windows 中基于 SPNEGO 的 Kerberos 和 NTLM HTTP 身份验证

通过协商协议进行基于 HTTP 的跨平台身份验证（第 1 部分，共 3 部分）

第 3 部分也有一些有趣的代码示例。

希望这可以帮助！

Answer 2

httpauth 中有代码可以帮助您。 它使用 smbval 代码来解析 NTLM 消息 1 和 3。请参阅：http://memberwebs.com/stef /软件/httpauth/

Answer 3

您可以通过查看 mod_auth_sspi Apache 模块来找到灵感

Answer 4

经过一番努力，我已经走到了这一步：
在我的代理服务器上，我可以向客户端询问基本/NTLM 身份验证。 当用户做出“基本”响应时，我可以使用 SSPI 验证凭据。 本文档有帮助： http://support.microsoft.com/kb/180548

但是我是只是无法完成基于 NTLM 的挑战和响应。 基本上我可以通过 407 代理验证来“刺激”客户端选择基于 NTLM 的身份验证系统，这基本上需要 3 条消息。 第一条消息必须是客户端发送的基于 NTLM 的请求，第二条消息是来自我的服务器的质询，第三条消息来自客户端。 现在的问题是“我如何生成 NTLM 质询，然后破译或验证 NTLM 授权，即消息 3。

非常感谢 Marsh 和其他优秀黑客，为做出响应而付出的所有努力。我只能希望你愿意分享更多一点。

Answer 5

这是一个 Java 实现，您可能会发现有用

http://www.luigidragone.com/networking/ ntlm.html

，并且确实更有用，尝试记录未记录的 ntlm 方案

http://www.innovation.ch/personal/ronald/ntlm.html