À l'aide de l'authentification NTLM dans les applications Java

Je veux utiliser Windows authentification NTLM dans mon application Java pour authentifier les utilisateurs de l'intranet de manière transparente. Les utilisateurs ne devraient pas remarquer tout d'authentification si l'aide de leur navigateur (single sign-on).

J'ai trouvé quelques libs avec la prise en charge NTLM, mais ne savez pas lequel utiliser:

Des suggestions par où commencer?

Sachez également que dans l'utilisation de NTLM pour l'authentification, active les attaquants peuvent authentifier leur propre session à l'aide d'un utilisateur valide de négociation avec le serveur.

OriginalL'auteur deamon | 2013-02-22

  1. 10

    De la liste ci-dessus, seule l'authentification ntlmv2-auth et Jespa support de l'authentification NTLMv2. Jespa est réalisable mais commerciale. ntlmv2-auth je n'ai pas essayé mais c'est basé sur le code de Liferay, qui, je l'ai vu travailler avant.

    'ntlm-authentification-en-java" n'est NTLMv1, qui est l'ancien, de l'insécurité, et travaille à une diminution du nombre d'environnements, comme les gens de mise à niveau vers les nouvelles versions de Windows. JCIFS l'habitude d'avoir une NTLMv1 HTTP auth filtre, mais il a été supprimé dans les versions ultérieures, comme la façon dont il a été mis en œuvre s'élève à un man-in-the-middle attaques sur le protocole non sécurisé. (La même chose semble être vrai 'ntlm-authentification-en-java".)

    Le "spnego projet" Kerberos pas NTLM. Si vous souhaitez répliquer plein IWA qu'IIS ne, vous auriez besoin de soutenir à la fois l'authentification NTLMv2 et Kerberos ('NTLM' auth 'Négocier' auth, NTLMSSP-en-SPNego auth et NTLM-camouflage-que-Négocier auth).

    La gaufre est également une très bonne option pour les serveurs WIndows uniquement, utilisé pendant 3 ans, des milliers de connexions de la journée à plusieurs sites, pas de problème, prend en charge v2
    jcifs.samba.org/src/docs/faq.html#ntlmv2 >Q: est-ce jCIFS support de l'authentification NTLMv2? >A: Oui. Comme de 1.3.0, JCIFS prend entièrement en charge l'authentification NTLMv2 et utilise par défaut.` Note: The NTLM HTTP SSO Filter that used to be included with JCIFS cannot support NTLMv2.

    OriginalL'auteur

  2. 3

    Luigi Dragone script est vraiment vieux et semble toujours voués à l'échec.

    HttpURLConnection peut travailler avec NTLM si vous ajoutez de la bibliothèque jcifs, cet exemple fonctionne avec la dernière jcifs-1.3.18 :

    import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.net.UnknownHostException;
import java.util.HashMap;
import java.util.Map;
import org.apache.http.impl.auth.NTLMEngineException;
public class TestNTLMConnection {
public static void main(String[] args) throws UnknownHostException, IOException, NTLMEngineException {
//Method 1 : authentication in URL
jcifs.Config.registerSmbURLHandler();
URL urlRequest = new URL("http://domain%5Cuser:[email protected]/");
//or Method 2 : authentication via System.setProperty()
//System.setProperty("http.auth.ntlm.domain", "domain");
//System.setProperty("jcifs.smb.client.domain", "domain");
//System.setProperty("jcifs.smb.client.username", "user");
//System.setProperty("jcifs.smb.client.password", "pass");
//Not verified //System.setProperty("jcifs.netbios.hostname", "host");
//System.setProperty("java.protocol.handler.pkgs", "jcifs");
//URL urlRequest = new URL("http://127.0.0.1:8180/simulate_get.php");
HttpURLConnection conn = (HttpURLConnection) urlRequest.openConnection();
StringBuilder response = new StringBuilder();
try {
InputStream stream = conn.getInputStream();
BufferedReader in = new BufferedReader(new InputStreamReader(stream));
String str = "";
while ((str = in.readLine()) != null) {
response.append(str);
}
in.close();   
System.out.println(response);
} catch(IOException err) {
System.out.println(err);
} finally {
Map<String, String> msgResponse = new HashMap<String, String>();
for (int i = 0;; i++) {
String headerName = conn.getHeaderFieldKey(i);
String headerValue = conn.getHeaderField(i);
if (headerName == null && headerValue == null) {
break;
}
msgResponse.put(headerName == null ? "Method" : headerName, headerValue);
}
System.out.println(msgResponse);
}
}
}

    Et si vous êtes curieux de connaître le contenu de chaque poignée de main, vous pouvez trouver un autre exemple d'utilisation jcifs et de support sur ce fil.

    Pouvez-vous faire que l'URL est la partie un peu plus clair, je veux dire comment passer le nom d'utilisateur et mot de passe
    %5C est la barre oblique inverse. e.g h-t-t-p://CORP\username:[email protected]/
    La première méthode m'a donné des problèmes avec des url complexes, mais commentée Method2 fonctionne bien en utilisant Java 1.7 et jcifs 1.3.17 contre IIS sur Windows Server 2012.

    OriginalL'auteur

  3. 0

    Relativement de la liste que vous avez donné,je voudrais aller avec JCIFS.
    La bibliothèque est arrivée à maturité et que leur documentation est bonne.
    Pour couronner le tout, ils avaient assez régulier des rejets , et le dernier en Novembre 2011.

    Personal Experience : il était relativement facile de prise en main lorsque comparé à d'autres, j'ai essayé spnego (et ntmv2auth)

    JCIFS ne prend pas en charge l'authentification NTLMv2 (ie Windows 7/8), sauf si explicitement activé sur les ordinateurs clients via la Politique Mondiale ou d'une modification du registre.
    Pourriez-vous préciser ce que tu veux dire par la référence explicite de configuration dans Windows 7/8?
    Je pense qu'il veut dire que Win 7/8 de ne plus utiliser NTLMv1 car il est obsolète et considéré comme ouvert à des exploits. Maintenant, si JCIFS prend uniquement en charge les NTLMv1 ensuite, vous aurez besoin à la force de votre Win 7/8 postes de travail pour permettre l'utilisation de NTLMv1 (ce qui est fait par un changement de Gagner de Registre) pour les ordinateurs de bureau pour travailler avec JCIFS. Dans la plupart des sociétés de l'administrateur ne permettra jamais à un tel changement. À toutes fins pratiques NTLMv1 est mort!!!
    "JCIFS utilise la cryptographie, y compris RC4 128 (pour l'authentification NTLMv2) et AES 256 (pour Kerberos) pour l'authentification, aux signatures numériques et le chiffrement. Les produits qui utilisent la cryptographie et qui sont exportées des états-UNIS vers d'autres pays sont censés obtenir une classification des exportations." est ce que j'ai trouvé sur la première page de jcifs.samba.org ... et l'entrée est à partir de 2009, je l'appelle $hit sur Tony hypothèse. Je n'ai jamais testé ...
    JCIFS utilise l'authentification NTLMv2 pour le client CIFS. Le HTTP bits dans JCIFS jamais pris en charge l'authentification NTLMv2 et ne le sera jamais. Tous HTTP trucs dans JCIFS est obsolète et sera supprimé.

    OriginalL'auteur

  4. 0

    Ref: https://jcifs.samba.org/src/docs/faq.html#ntlmv2

    Q: est-ce jCIFS support de l'authentification NTLMv2?

    Un: Oui. Comme de 1.3.0, JCIFS prend entièrement en charge l'authentification NTLMv2 et utilise par défaut.

    Remarque: Le NTLM HTTP SSO Filtre utilisé pour être inclus avec JCIFS ne peut pas en charge l'authentification NTLMv2.

    OriginalL'auteur