Mithilfe der NTLM-Authentifizierung in Java-Anwendungen

Will ich mit Windows-NTLM-Authentifizierung in meine Java-Anwendung zur Authentifizierung der intranet-Benutzer transparent. Der Benutzer sollte nicht merken, keine Authentifizierung, wenn Sie mit Ihrem Browser (single sign-on).

Habe ich gefunden, ein paar libs, die mit NTLM-Unterstützung, aber nicht wissen, welche zu benutzen:

Irgendwelche Vorschläge, wo ich anfangen soll?

Auch bewusst sein, dass bei der Verwendung der NTLM-Authentifizierung aktiv ist, können Angreifer authentifizieren Ihre eigene Sitzung mit einem gültigen Benutzernamen ist die Aushandlung mit dem server.

InformationsquelleAutor deamon | 2013-02-22

  1. 10

    Aus der oben genannten Liste, nur ntlmv2-Authentifizierung und Jespa Unterstützung von NTLMv2. Jespa ist praktikabel, aber kommerziell. ntlmv2-auth habe ich noch nicht versucht, aber es basiert auf dem code von Liferay, die ich gesehen habe, vor der Arbeit.

    'ntlm-Authentifizierung in java" ist nur NTLMv1, die alte, unsichere, und arbeitet auf eine schwindende Anzahl von Umgebungen, wie Menschen ein upgrade auf eine neuere Windows-Versionen. JCIFS ein NTLMv1-HTTP-auth-filter, aber es entfernt wurde in späteren Versionen, so wie es implementiert wurde, beläuft sich auf einen man-in-the-middle-Angriff auf das unsichere Protokoll. (Das gleiche scheint wahr zu sein, "ntlm-Authentifizierung in java'.)

    'Spnego" Projekt ist Kerberos nicht NTLM. Wenn Sie möchten, replizieren die volle IWA als IIS funktioniert es, Sie müssten für die Unterstützung von NTLMv2 und Kerberos ('NTLM' auth 'Verhandeln' auth, NTLMSSP-in-SPNego-Authentifizierung und NTLM-masquerading-as-Negotiate-auth).

    Waffel ist auch eine sehr gute option für WIndows-Server only, seit 3 Jahren, Tausende von Anmeldungen der Tag an mehreren Standorten kein problem, unterstützt v2
    jcifs.samba.org/src/docs/faq.html#ntlmv2 >Q: Hat jCIFS Unterstützung von NTLMv2? >A: ja. Ab 1.3.0, JCIFS voll unterstützt NTLMv2 und wird standardmäßig verwendet.` Note: The NTLM HTTP SSO Filter that used to be included with JCIFS cannot support NTLMv2.

    InformationsquelleAutor bobince

  2. 3

    Luigi Dragone ' s Skript ist sehr alt und scheint immer fehl.

    HttpURLConnection kann die Arbeit mit NTLM, wenn Sie die Bibliothek hinzufügen jcifs, dieses Beispiel funktioniert mit den neuesten jcifs-1.3.18 :

    import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.net.UnknownHostException;
import java.util.HashMap;
import java.util.Map;

import org.apache.http.impl.auth.NTLMEngineException;

public class TestNTLMConnection {
    public static void main(String[] args) throws UnknownHostException, IOException, NTLMEngineException {
        //Method 1 : authentication in URL
        jcifs.Config.registerSmbURLHandler();
        URL urlRequest = new URL("http://domain%5Cuser:[email protected]/");

        //or Method 2 : authentication via System.setProperty()
        //System.setProperty("http.auth.ntlm.domain", "domain");
        //System.setProperty("jcifs.smb.client.domain", "domain");
        //System.setProperty("jcifs.smb.client.username", "user");
        //System.setProperty("jcifs.smb.client.password", "pass");
        //Not verified //System.setProperty("jcifs.netbios.hostname", "host");
        //System.setProperty("java.protocol.handler.pkgs", "jcifs");
        //URL urlRequest = new URL("http://127.0.0.1:8180/simulate_get.php");

        HttpURLConnection conn = (HttpURLConnection) urlRequest.openConnection();

        StringBuilder response = new StringBuilder();

        try {
            InputStream stream = conn.getInputStream();
            BufferedReader in = new BufferedReader(new InputStreamReader(stream));

            String str = "";
            while ((str = in.readLine()) != null) {
                response.append(str);
            }
            in.close();   

            System.out.println(response);
        } catch(IOException err) {
            System.out.println(err);
        } finally {
            Map<String, String> msgResponse = new HashMap<String, String>();

            for (int i = 0;; i++) {
                String headerName = conn.getHeaderFieldKey(i);
                String headerValue = conn.getHeaderField(i);
                if (headerName == null && headerValue == null) {
                    break;
                }
                msgResponse.put(headerName == null ? "Method" : headerName, headerValue);
            }

            System.out.println(msgResponse);
        }
    }
}

    Und wenn Sie neugierig sind, über den Inhalt jeder Handschlag, finden Sie ein weiteres Beispiel mit jcifs und Sockel auf dieser thread.

    Kann man machen, dass der URL-Teil ein wenig mehr klar, ich meine wie übergeben Sie den Benutzernamen und das Passwort
    %5C ist der backslash. e.g h-t-t-p://CORP\username:[email protected]/
    Die erste Methode gab mir Probleme mit komplexen urls, aber auskommentiert Methode2 funktioniert auch mit Java 1.7 und jcifs 1.3.17 mit IIS auf Windows Server 2012.

    InformationsquelleAutor ron190

  3. 0

    Relativ aus der Liste, die Sie gab,würde ich mit JCIFS.
    Die Bibliothek ist ausgereift , und die Dokumentation ist gut.
    Um das ganze abzurunden Sie hatte ziemlich regelmäßigen releases , und die Letzte Nov 2011.

    Personal Experience : es war ziemlich einfach, um loszulegen, wenn Sie im Vergleich zu anderen, die ich versucht habe (spnego und ntmv2auth)

    JCIFS nicht NTLMv2-Unterstützung (also Windows-7/8), sofern nicht explizit aktiviert, die auf client-Rechnern über Globale Politik oder eine änderung der Registrierung.
    Könnten Sie näher erläutern, was du meinst durch die ausdrückliche setup in Windows 7/8?
    Ich denke er meint, dass Win 7/8 nicht mehr verwenden, NTLMv1, da es veraltet ist und als offen für exploits. Nun, wenn JCIFS unterstützt nur die NTLMv1-dann müssen Sie zu zwingen, Ihren Win 7/8 desktops erlaubt die Verwendung von NTLMv1 (das passiert durch einen Wechsel zu Gewinnen Registry), um desktops zu arbeiten, mit JCIFS. In den meisten Unternehmen der administrator wird niemals zulassen, dass eine solche änderung. Für alle praktischen Zwecke NTLMv1 ist tot!
    "JCIFS verwendet Kryptografie inklusive RC4 128 (NTLMv2) und AES-256 (für Kerberos) für die Authentifizierung, digitale Signaturen und Verschlüsselung. Produkte, die Kryptographie und deren Ausfuhr aus den USA in andere Länder werden sollen, erhalten ein export-Klassifizierung." ist, was ich auf der ersten Seite der jcifs.samba.org ... und der Eintrag ist von 2009, also nenne ich $hit auf Tony ' s Annahme. Ich habe nie getestet es aber ...
    JCIFS verwendet NTLMv2 für den CIFS-client. Der HTTP-bits in JCIFS nie unterstützt NTLMv2 und wird es nie. Alle HTTP Sachen in JCIFS ist veraltet und wird entfernt.

    InformationsquelleAutor Sudhakar

  4. 0

    Ref: https://jcifs.samba.org/src/docs/faq.html#ntlmv2

    Q: Hat jCIFS Unterstützung von NTLMv2?

    A: Ja. Ab 1.3.0, JCIFS voll unterstützt NTLMv2 und wird standardmäßig verwendet.

    Hinweis: Die NTLM HTTP-SSO-Filter, die verwendet werden, enthalten mit JCIFS nicht unterstützen NTLMv2.

    InformationsquelleAutor Nikhil

Schreibe einen Kommentar