Des solutions de rechange pour JCIFS NTLM bibliothèque

Existe-il des solutions de rechange pour JCIFS NTLM bibliothèque?

InformationsquelleAutor | 2009-02-23

11

Gaufre - https://github.com/dblock/waffle

A des filtres, des authentificateurs, prend en charge le printemps de sécurité, etc. Windows uniquement, mais ne nécessite pas de Dll natives.
- Projet intéressant!
- Pour info, ce projet est désormais sur Github - github.com/dblock/waffle.
InformationsquelleAutor dB.
3

Pour être honnête, vous ne devez pas rechercher une. Pour votre SSO a besoin de vous devrait utiliser la bonne kerberos /SPNEGO au lieu de l'héritage de l'authentification NTLM.

Pour les choses que vous n'avez pas besoin bibliothèques spécialisées comme les machines virtuelles sont déjà activés pour le faire automatiquement. Tout ce que vous avez à faire est de configurer votre application et de la JVM des politiques de sécurité correctement. La documentation officielle de Soleil devrait vous donner tous les détails dont vous avez besoin, il suffit de parcourir le "Api de sécurité de la section".
- NTLM n'est pas un "héritage" mécanisme. NTLM est nécessaire si le client ne peut pas obtenir un ticket Kerberos qui, malheureusement, n'arrive que trop facilement. En fait, Kerberos est plutôt fragile et difficile à utiliser en comparaison. Et NTLMv2 est tout aussi sécurisé (128 bits RC4 vs 256 bit AES n'a vraiment pas beaucoup d'importance). Si vous avez besoin de le faire côté client NTLM, JCIFS est entièrement fonctionnel (même si elle n'est pas entièrement documenté - demander sur la liste de diffusion). Si vous avez besoin de serveur-côté NTLM comme pour HTTP SSO, Jespa est le chemin à parcourir.
- Notez que Jespa est pas un logiciel libre.
InformationsquelleAutor

Fait jcifs est bon et vous pouvez tester facilement la 4-way handshake localement avec IIS de Windows et de garder vivante java Socket.

Ce 2004 Apache le pseudo-code est utile pour construire l'algorithme avec jcifs à l'aide de generateType1Msg() et generateType3Msg(), même Apache favorise une exemple comme une alternative à HttpClient.

L'ancien code Apache à partir de 2004 fonctionne, mais l'authentification est instable, vous obtenez HTTP/1.1 401 Unauthorized fréquemment, aussi cette vraiment vieux code de Luigi Dragone ne fonctionne plus. Sur l'autre main Apache HttpClient fonctionne bien, mais la poignée de main est fait derrière la scène (fyi. HttpClient nécessite new NTCredentials() pour définir l'authentification de l'utilisateur).

Voici un exemple de test de la poignée de main localement sur IIS, sur le port 81 sans domaine. Vous avez besoin de changer la host, port, user et password et les en-têtes HTTP de manière appropriée, éventuellement WWW-Authenticate si vous n'êtes pas à l'aide de IIS.

HTTP/1.1 200 OK signifie que l'authentification est correcte, sinon vous obtiendrez HTTP/1.1 401 Unauthorized.

import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.OutputStream;
import java.io.OutputStreamWriter;
import java.net.Socket;
import java.net.UnknownHostException;
import jcifs.ntlmssp.NtlmFlags;
import jcifs.ntlmssp.Type1Message;
import jcifs.ntlmssp.Type2Message;
import jcifs.ntlmssp.Type3Message;
import jcifs.util.Base64;
import org.apache.http.impl.auth.NTLMEngineException;
public class TestNTLM {
public static void main(String[] args) throws UnknownHostException, IOException, NTLMEngineException {
Socket s = new Socket("127.0.0.1", 81);
s.setKeepAlive(true);
InputStream is = s.getInputStream();
OutputStream os = s.getOutputStream();
BufferedReader r = new BufferedReader(new InputStreamReader(is));
BufferedWriter w = new BufferedWriter(new OutputStreamWriter(os));
String host = "127.0.0.1:81";
String hostDomain = "";
String user = "My_Windows_Username";
String password = "My_Windows_Password";
w.write("GET http://127.0.0.1:81/HTTP/1.1\n");
w.write("Host: 127.0.0.1:81\n");
w.write("Authorization: NTLM " + TestNTLM.generateType1Msg(hostDomain, host) + "\n\n");
System.out.println("[First Message Sent]");
w.flush();
String resp = "", line = "";
int contentLength = 0;
while((line = r.readLine()) != null){
if(line.length() == 0)
break;
System.out.println(line);
if(line.startsWith("Content-Length"))
contentLength = Integer.parseInt(line.substring(line.indexOf(":") + 1).trim());
else if(line.startsWith("WWW-Authenticate"))
resp = line.substring(line.indexOf(":") + 1).trim();
}
r.skip(contentLength);
System.out.println("\n[Second Message Received]");
System.out.println("Proxy-Authenticate: " + resp);
resp = resp.substring(resp.indexOf(" ")).trim();
w.write("GET http://127.0.0.1:81/HTTP/1.1\n");
w.write("Host: 127.0.0.1:81\n");
w.write("Authorization: NTLM " + TestNTLM.generateType3Msg(user, password, hostDomain, host, new String(resp)) + "\n\n");
w.flush();
System.out.println("\n[Third Message Sent]");
while((line = r.readLine()) != null){
System.out.println(line);
if(line.length() == 0)
break;
}
}
private static final int TYPE_1_FLAGS = 
NtlmFlags.NTLMSSP_NEGOTIATE_56 | 
NtlmFlags.NTLMSSP_NEGOTIATE_128 | 
NtlmFlags.NTLMSSP_NEGOTIATE_NTLM2 | 
NtlmFlags.NTLMSSP_NEGOTIATE_ALWAYS_SIGN | 
NtlmFlags.NTLMSSP_REQUEST_TARGET;
public static String generateType1Msg(final String domain, final String workstation)
throws NTLMEngineException {
final Type1Message type1Message = new Type1Message(TYPE_1_FLAGS, domain, workstation);
return Base64.encode(type1Message.toByteArray());
}
public static String generateType3Msg(final String username, final String password,
final String domain, final String workstation, final String challenge)
throws NTLMEngineException {
Type2Message type2Message;
try {
type2Message = new Type2Message(Base64.decode(challenge));
} catch (final IOException exception) {
throw new NTLMEngineException("Invalid NTLM type 2 message", exception);
}
final int type2Flags = type2Message.getFlags();
final int type3Flags = type2Flags
& (0xffffffff ^ (NtlmFlags.NTLMSSP_TARGET_TYPE_DOMAIN | NtlmFlags.NTLMSSP_TARGET_TYPE_SERVER));
final Type3Message type3Message = new Type3Message(type2Message, password, domain,
username, workstation, type3Flags);
return Base64.encode(type3Message.toByteArray());
}
}

Un exemple d'utilisation de HttpURLConnection : stackoverflow.com/a/34321230/2073804

InformationsquelleAutor ron190

2

Je pense que NTLM est déprécié en faveur de Kerberos/SPNEGO. Jetez un oeil à la SPNEGO HTTP Filtre de Servlet projet pour voir si il peut s'adapter à vos besoins.

InformationsquelleAutor Pat Gonzalez
1

jespa http://www.ioplex.com est le seul que j'ai rencontré.
N'a jamais été utilisé

InformationsquelleAutor Ben Hammond
1

Java Opensource de la connexion Unique (JOSSO) est à http://www.josso.org/
Ils ont une page sur NTLM, bien que je ne suis pas sûr de savoir comment il fonctionne.

InformationsquelleAutor John
1

Si vous n'avez pas l'esprit un commerce de produits emballés, puis jetez un oeil à: La quête de la connexion Unique pour Java qui fournit un soutien pour SPNEGO/Kerberos (y compris les sites et S4U protocoles), ainsi que l'authentification NTLM.

InformationsquelleAutor Dean Povey

Vous devez vous connecter pour publier un commentaire.