​NTLM SSO

最新推荐文章于 2024-07-27 08:45:33 发布
最新推荐文章于 2024-07-27 08:45:33 发布
阅读量157 收藏
点赞数
文章标签: web.xml java ldap
原文链接:https://my.oschina.net/u/866039/blog/264938
版权


NTLM SSO的实现

最近项目中要求实现Web应用的SSO(Single Sign On),即对于已经登录到Windows Domain中的用户,不需要输入用户名、密码而直接使用当前登录的Domain用户信息进行验证,如果验证成功则进入,否则拒绝进入。



在网上搜了一些资料,同时也对NTLM的认证方式有了些了解,记录之。



NTLM HTTP认证

过程如下:



   1: C  --> S   GET ...

   

   2: C <--  S   401 Unauthorized

                WW-Authenticate: NTLM

   

   3: C  --> S   GET ...

                Authorization: NTLM <base64-encoded type-1-message>

   

   4: C <--  S   401 Unauthorized

                WWW-Authenticate: NTLM <base64-encoded type-2-message>

   

   5: C  --> S   GET ...

                Authorization: NTLM <base64-encoded type-3-message>

   

   6: C <--  S   200 Ok



从交互过程可以发现,client会发送type-1消息和type-3消息给server,而server会发送type-2消息给client。



Type-1消息包括机器名、Domain等

Type-2消息包括server发出的NTLM challenge

Type-3消息包括用户名、机器名、Domain、以及两个根据server发出的challenge计算出的response,这里response是基于challenge和当前用户的登录密码计算而得



具体细节参考下面两个网址:

http://www.innovation.ch/personal/ronald/ntlm.html

http://davenport.sourceforge.net/ntlm.html#whatIsNtlm



注:

在IE里,上述的交互会由浏览器自动完成,M$总是有办法自己到OS里去拿到Domain、用户名、密码等等信息的,而FF就没有这么方便了,它必须要用户手工输入,当server返回401错误后,FF会弹出该对话框让用户输入用户名、密码(在IE中,如果使用当前登录的用户名、密码验证失败后也会弹出这样的对话框)







OK,有了NTLM HTTP认证协议,下面要实现SSO就方便多了。这时server已经拿到client的认证信息:用户名、Domain、密码和challenge的某个运算值,这时server只要利用这些信息连接到AD(Active Directory,活动目录)(或者其他认证服务器)进行认证即可。



但这里还有个问题,因为server拿到的并不是密码,而是密码的某个单向hash值,那怎么用这个信息到AD上认证呢?



答案是SMB(Server Message Block)!



SMB是M$用来进行局域网文件共享和传输的协议,也称为CIFS(Common Internet File System),CIFS协议的细节可以在MSDN上查到:

http://msdn2.microsoft.com/en-us/library/aa302240.aspx

也可以到samba上去看看最新的一些发展:

http://www.samba.org/



我们着重看一下CIFS协议里连接和断开连接的部分:





连接:









断开连接:







OK,看起来蛮复杂的,不过没关系,关键我们要知道,在CIFS连接server(比如AD)时,首先server会发一个叫做EncryptionKey的东东给client,然后client会利用和NTLM HTTP认证中一样的算法计算出一个response给server,这个细节很关键!

因为如果http server(在这里充当CIFS的client)用这个EncryptionKey作为给http client的challenge,http client会计算出response给http server,然后http server就可以拿着这个response到AD上验证了!



现在有三个参与者了:http client,http server和AD



想象一下,首先http client发http请求给http server,为了对这个client认证,http server首先连接AD,然后就得到一个EncryptionKey,它就把这个EncryptionKey作为challenge返回给http client,然后http client会根据这个challenge和用户密码计算出response送给http server,而http server就拿着这个response到AD去认证了J



下图就表示整个这个过程:







现在,我们已经有足够的理论武装起来可以实现SSO了,但是,难道要我们自己去实现这些协议吗?当然可以,有兴趣可以尝试一下J

不过另一个选择是使用Open Source的library,jCIFS就是干这些事情的。



jCIFS是samba组织下的一帮牛开发的一套兼容SMB协议的library,我们可以用它来在java里访问Windows共享文件,当然,既然它帮我们实现了SMB协议,那要用它来实现NTLM SSO就很容易了。

http://jcifs.samba.org/

在这个网址可以下载到jCIFS的source code和library



好,现在可以休息一下了,我们通过一个例子step by step看一下jCIFS怎么来实现SSO吧。

1.       把jcifs-1.2.13.jar放到tomcat的webapp目录

2.       创建一个web.xml,用于创建一个servlet filter,处理http连接(记得把里面的ip地址替换为你自己的AD server的ip地址)

<web-app xmlns="http://java.sun.com/xml/ns/javaee"

  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

  xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

  version="2.5">



 <display-name>Welcome to Tomcat</display-name>

 <description>

    Welcome to Tomcat

 </description>

 <filter>

   <filter-name>NtlmHttpFilter</filter-name>

   <filter-class>jcifs.http.NtlmHttpFilter</filter-class>



   <init-param>

       <param-name>jcifs.http.domainController</param-name>

       <param-value>10.28.1.212</param-value>

   </init-param>

   <init-param>

   <param-name>jcifs.util.loglevel</param-name>

   <param-value>6</param-value>

   </init-param>

 </filter>



 <filter-mapping>

   <filter-name>NtlmHttpFilter</filter-name>

   <url-pattern>/*</url-pattern>

 </filter-mapping>

</web-app>



3.       重新启动tomcat,打开http://localhost:8080/,如果用的IE,就会自动使用当前用户进行验证,而如果使用FF,就会弹出对话框,输入用户名密码后就可以验证通过,看到tomcat的页面了



这个例子够简单的,jCIFS应用也确实非常简单了,当然如果你要实现一些其他特性,比如根据当前登录的用户账户决定用户的权限、以及看到页面的内容,那你就必须通过jCIFS的API去操作了,可以参考jCIFS的API文档:

http://jcifs.samba.org/src/docs/api/





最后,说点这个方案的问题和不足吧,

-          首先由于jCIFS只是应用了SMB协议进行认证,这样它就没办法拿到用户的其他的一些信息,比如组信息或者权限信息。对于这个问题,一般可以由我们自己的应用程序通过LDAP到AD上去存取,但毕竟增加了我们的工作。

-          第二个不足是,NTLM认证是一个M$准备放弃的协议,在Windows 2000和以后的操作系统中,缺省的认证协议是Kerberos,只有在和2000之前的系统通信时才使用NTLM。当然这并不是说jCIFS在2000以上就用不起来了,缺省情况总是可以用的,M$总是要保持兼容的J 当然如果你想实现基于Kerberos的SSO,你可以去参考下面列出的文章,但这就不是这里讨论的话题了。

http://free.tagish.net/jaas/

http://java.sun.com/j2se/1.4.2/docs/guide/security/jgss/single-signon.html





附录部分给出NTLM协议和算法的细节,不感兴趣的就不用管它了,反正这些会由client(一般是IE或FF)和jCIFS已经帮我们处理了。



Type-1消息格式

struct {

   byte    protocol[8];     // 'N', 'T', 'L', 'M', 'S', 'S', 'P', '/0'

   byte    type;            // 0x01

   byte    zero[3];

   short   flags;           // 0xb203

   byte    zero[2];



   short   dom_len;         // domain string length

   short   dom_len;         // domain string length

   short   dom_off;         // domain string offset

   byte    zero[2];



   short   host_len;        // host string length

   short   host_len;        // host string length

   short   host_off;        // host string offset (always 0x20)

   byte    zero[2];



   byte    host[*];         // host string (ASCII)

   byte    dom[*];          // domain string (ASCII)

} type-1-message;



Type-2消息格式

struct {

   byte    protocol[8];     // 'N', 'T', 'L', 'M', 'S', 'S', 'P', '/0'

   byte    type;            // 0x02

   byte    zero[7];

   short   msg_len;         // 0x28

   byte    zero[2];

   short   flags;           // 0x8201

   byte    zero[2];



   byte    nonce[8];        // nonce

   byte    zero[8];

} type-2-message;



Type-3消息格式

struct {

   byte    protocol[8];     // 'N', 'T', 'L', 'M', 'S', 'S', 'P', '/0'

   byte    type;            // 0x03

   byte    zero[3];



   short   lm_resp_len;     // LanManager response length (always 0x18)

   short   lm_resp_len;     // LanManager response length (always 0x18)

   short   lm_resp_off;     // LanManager response offset

   byte    zero[2];



   short   nt_resp_len;     // NT response length (always 0x18)

   short   nt_resp_len;     // NT response length (always 0x18)

   short   nt_resp_off;     // NT response offset

   byte    zero[2];



   short   dom_len;         // domain string length

   short   dom_len;         // domain string length

   short   dom_off;         // domain string offset (always 0x40)

   byte    zero[2];



   short   user_len;        // username string length

   short   user_len;        // username string length

   short   user_off;        // username string offset

   byte    zero[2];



   short   host_len;        // host string length

   short   host_len;        // host string length

   short   host_off;        // host string offset

   byte    zero[6];



   short   msg_len;         // message length

   byte    zero[2];



   short   flags;           // 0x8201

   byte    zero[2];



   byte    dom[*];          // domain string (unicode UTF-16LE)

   byte    user[*];         // username string (unicode UTF-16LE)

   byte    host[*];         // host string (unicode UTF-16LE)

   byte    lm_resp[*];      // LanManager response

   byte    nt_resp[*];      // NT response

} type-3-message;



Response的计算算法



/* setup LanManager password */



char  lm_pw[14];

int   len = strlen(passw);

if (len > 14)  len = 14;



for (idx=0; idx<len; idx++)

   lm_pw[idx] = toupper(passw[idx]);

for (; idx<14; idx++)

   lm_pw[idx] = 0;





/* create LanManager hashed password */



unsigned char magic[] = { 0x4B, 0x47, 0x53, 0x21, 0x40, 0x23, 0x24, 0x25 };

unsigned char lm_hpw[21];

des_key_schedule ks;



setup_des_key(lm_pw, ks);

des_ecb_encrypt(magic, lm_hpw, ks);



setup_des_key(lm_pw+7, ks);

des_ecb_encrypt(magic, lm_hpw+8, ks);



memset(lm_hpw+16, 0, 5);





/* create NT hashed password */



int   len = strlen(passw);

char  nt_pw[2*len];

for (idx=0; idx<len; idx++)

{

   nt_pw[2*idx]   = passw[idx];

   nt_pw[2*idx+1] = 0;

}



unsigned char nt_hpw[21];

MD4_CTX context;

MD4Init(&context);

MD4Update(&context, nt_pw, 2*len);

MD4Final(nt_hpw, &context);



memset(nt_hpw+16, 0, 5);





/* create responses */



unsigned char lm_resp[24], nt_resp[24];

calc_resp(lm_hpw, nonce, lm_resp);

calc_resp(nt_hpw, nonce, nt_resp);



Helpers:



/*

* takes a 21 byte array and treats it as 3 56-bit DES keys. The

* 8 byte plaintext is encrypted with each key and the resulting 24

* bytes are stored in the results array.

*/

void calc_resp(unsigned char *keys, unsigned char *plaintext, unsigned char *results)

{

   des_key_schedule ks;



   setup_des_key(keys, ks);

   des_ecb_encrypt((des_cblock*) plaintext, (des_cblock*) results, ks, DES_ENCRYPT);



   setup_des_key(keys+7, ks);

   des_ecb_encrypt((des_cblock*) plaintext, (des_cblock*) (results+8), ks, DES_ENCRYPT);



   setup_des_key(keys+14, ks);

   des_ecb_encrypt((des_cblock*) plaintext, (des_cblock*) (results+16), ks, DES_ENCRYPT);

}





/*

* turns a 56 bit key into the 64 bit, odd parity key and sets the key.

* The key schedule ks is also set.

*/

void setup_des_key(unsigned char key_56[], des_key_schedule ks)

{

   des_cblock key;



   key[0] = key_56[0];

   key[1] = ((key_56[0] << 7) & 0xFF) | (key_56[1] >> 1);

   key[2] = ((key_56[1] << 6) & 0xFF) | (key_56[2] >> 2);

   key[3] = ((key_56[2] << 5) & 0xFF) | (key_56[3] >> 3);

   key[4] = ((key_56[3] << 4) & 0xFF) | (key_56[4] >> 4);

   key[5] = ((key_56[4] << 3) & 0xFF) | (key_56[5] >> 5);

   key[6] = ((key_56[5] << 2) & 0xFF) | (key_56[6] >> 6);

   key[7] =  (key_56[6] << 1) & 0xFF;



   des_set_odd_parity(&key);

   des_set_key(&key, ks);

}

转载于:https://my.oschina.net/u/866039/blog/264938

chonglilong2976
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java对接ntlm,httpclient 实现自动登录NTLM 域验证(sso) .
weixin_39594457的博客
03-15 1587
最近一个项目拿到客户那运行不了。原来我的这个项目要和另一个系统通过http的接口进行通讯。但在客户的生产环境中,那套系统将web应用的登录和Windows Domain的登录结合,做了一个sso单点登录(jcifs实现)。那么我必须要修改我的程序,好自动登录Windows Domain。通过抓包分析,局域网使用的是NTLM 协议。当通过浏览器访问被NTLM协议保护的资源的时候,NTLM的认证方式和...
NTLM SSO的实现
Zou Fei's BLOG
07-17 7489
NTLM SSO的实现最近项目中要求实现Web应用的SSO(Single Sign On),即对于已经登录到Windows Domain中的用户,不需要输入用户名、密码而直接使用当前登录的Domain用户信息进行验证,如果验证成功则进入,否则拒绝进入。 在网上搜了一些资料,同时也对NTLM的认证方式有了些了解,记录之。 NTLM HTTP认证过程如下:   
SSO(single-sign-on) and NTLM
balance的博客
06-11 411
什么是单点登录 说个简单场景: 在account.xiaomi.com输入账号密码登录之后,①打开dev.mi.com并点击登录,这时候不需要再次输入账号密码就可以登录;②打开iot.mi.com并点击登录,也不需要再次输入账号密码就可以登录 这就是单点登录,dev/iot均使用了account账号体系,只需要登录一次 (不过在dev或iot注销登录之后,account也会被注销,这个逻辑显得有点奇怪) 单点登录可复用的技术有oauth/saml等 好处 最明显的好处就是使用方便,免去了多次输
AD域单点登陆NTLM
04-12
java 基于NTLM协议集成AD账号域登录 内含JAR包,DEMO包以及说明文档
了解一下NTLM
rital的专栏
06-09 1260
NTLM 在客户机与服务器之间提供身份认证的安全包。NTLM   身份验证协议 是 质询/应答身份验证协议,是Windows   NT   4.0   及其早期版本中用于网络身份验证的默认协议。Windows   2000   中仍然支持该协议,但它不再是默认的。    NTLM身份验证过程:ntlm 是用于 Windows NT 和 Windows 2000 Server 工作组
NTLM.rar_NTLM
09-20
NTLM(NT LAN Manager)是微软Windows操作系统中的一种身份验证协议,主要用于网络资源访问的身份验证。这个协议在早期的Windows版本中广泛使用,虽然现在已被更安全的Kerberos协议取代,但在某些环境中,尤其是与旧...
SSO.rar_domino_sso
09-21
Lotus Domino作为IBM的一款强大的协作平台,支持多种方式实现SSO,包括NTLM、Kerberos和基于Cookie的SSO。这里我们主要关注的是基于Cookie的SSO机制,也称为Web-Single Sign-On (W-SSO)。 1. **LTPA Tokens(Lotus ...
c++实现LM和NTLM哈希
06-24
在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数 在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数
ntlm验证Java代码
04-17
NTLM(NT LAN Manager)是一种身份验证协议,广泛用于Windows网络环境,特别是在与Microsoft Active Directory集成的环境中。在Java编程中,如果你需要访问一个只接受NTLM身份验证的Web服务或者资源,你就需要实现...
python-ntlm 1.1.0
08-18
Python library that provides NTLM support, including an authentication handler for urllib2. Works with pass-the-hash in additon to password authentication.
NTLM认证
热门推荐
路虽远,行将至。事虽难,做必达。
03-06 1万+
NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。 NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM协议的认证过程分为三步: 1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2) 2、质询:就是挑战/响应认证机制起作用
httpclient 实现自动登录NTLM 域验证(sso
管子(zero)的杂乱空间
04-10 991
最近一个项目拿到客户那运行不了。原来我的这个项目要和另一个系统通过http的接口进行通讯。但在客户的生产环境中,那套系统将web应用的登录和Windows Domain的登录结合,做了一个sso单点登录(jcifs实现)。那么我必须要修改我的程序,好自动登录Windows Domain。 通过抓包分析,局域网使用的是NTLM 协议。 当通过浏览器访问被NTLM协议保护的资源的时候,NT...
NTLM
swt198852的专栏
10-28 4048
NTLM: 基本知识 telnet的一种验证身份方式,即Windows NT LAN Manager (NTLM); NTLM 是为没有加入到域中的计算机(如独立服务器和工作组)提供的身份验证协议; 基于一种“提问 - 答复”机制来进行客户端验证; 使用http状态码和http头; 工作流程 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的
java jcifs ntlm_jcifs的NTLMHTTP验证及所犯错误
weixin_35820423的博客
02-16 486
一、错误提示:0xC0000022: jcifs.smb.SmbAuthException: Access is deniedThe NTLM HTTP SSO Filter that used to be included withJCIFS cannot support NTLMv2.1) jcifs.smb.lmCompatibility = 0 or 1: SendLM and NTLM2...
web.xml 中的listener、 filter、servlet 加载顺序及其详解
weixin_34404393的博客
09-28 468
在项目中总会遇到一些关于加载的优先级问题,刚刚就遇到了一个问题,由于项目中使用了quartz任务调度,quartz在web.xml中是使用listener进行监听的,使得在tomcat启动的时候能马上检查数据库查看那些任务未被按时执行,而数据库的配置信息在是在web.xml中使用servlet配置的,导致tomcat启动后在执行quartz任务时报空指针,原因就是servlet中的数据库连接信息未...
ntlm java_Web应用程序中的NTLM身份验证(java
weixin_29600985的博客
02-19 890
我正在使用以下过滤器在我的Web应用程序中启用NTLM身份验证。我得到Windows浏览器身份验证提示。运行正常。除了以下事实外- 我无法确定身份验证是成功还是失败! * 两种情况均无错误。*在每种情况下都将打印用户名(正确或相反),工作站等。package com.test;import java.io.IOException;import java.io.PrintStream;import ...
NTLM 工作原理概述
Matthew的博客
12-28 8794
NTLM 工作原理概述 1. 为何采用NTLM 微软采用 Kerberos 作为 Windows 2000及之后的活动目录域的默认认证协议。当某个服务器隶属于一个Windows 服务器域或者通过某种方式(如Linux到Windows AD的认证)与Windows 服务器域建立了信任关系的时候,通常采用Kerberos作为认证协议。但是无论你是否拥有活动目录域,NTLM都可以被采用。
SSM框架整合——纯注解方式整合SSM框架(一)整合思路
最新发布
PAP
07-27 285
SSM框架整合——纯注解方式整合SSM框架(一)整合思路
windows ntlm启用
07-07
Windows NTLM(Negotiate Security Support Provider)是一种安全协议,它允许在Windows系统间进行身份验证和资源共享。当NTLM启用时,用户登录时会自动协商使用NTLM协议进行加密通信,以增强系统的安全性。 要在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值