我正在尝试为用 Perl(或者可能是 XS 模块)编写的 Web 服务器实现 NTLM 授权。我的理解是它应该按以下方式工作:
c -> s: GET
s -> c: 401, WWW-Authenticate: NTLM
c -> s: GET, Authorization: NTLM [Type1 Message]
s -> c: 401, WWW-Authenticate: NTLM [Type2 Message]
c -> s: GET, Authorization: NTLM [Type3 Message]
IF s.Check([Type3 Message]):
s -> c: 200
ELSE:
s -> c: 401
为了生成 Type3 消息,我同时使用了 Authen::Perl::NTLM 和 Authen::NTLM::HTTP,这两个似乎都能很好地生成消息,但是,它们没有提供检查Type3 消息。
我的下一步是尝试使用 Win32::IntAuth 来验证 NTLM 令牌。 This 是我遇到麻烦的地方,开发人员和搜索到的其他信息片段说这个模块应该能够验证 NTLM 二进制令牌。
该模块包含一些 Win32 API 调用,即 AcquireCredntialsHandle、AcceptSecurityContext、CompleteAuthToken 和 ImpersonateSecurityContext。
不幸的是,我对 NTLM 令牌进行身份验证的所有尝试都在 AcceptSecurityContext 上失败,带有 SEC_E_INVALID_TOKEN 或 SEC_E_INSUFFICIENT_MEMORY 导致我建议我的 NTLM 令牌不正确。下面是一些代码片段,以帮助展示我的方法。
# other code
...
if (not defined $headers->header('Authorization')) {
initHandshake($response);
} else {
my $authHeader = $headers->header('Authorization');
if ($authHeader =~ m/^NTLM\s(.+)$/i) {
my $message = $1;
if (length($message) == 56) {
handleType1($response, $message);
} else {
handleType3($response, $message);
}
} else {
printf "ERROR - Unable to pull out an NTLM message.\n";
print $authHeader . "\n";
}
}
...
sub handleType3 {
my $response = shift();
my $message = shift();
print "handleType3 - ", $message, "\n";
my $auth = Win32::IntAuth->new(debug => 1);
my $token = $auth->get_token_upn(decode_base64($message)) or die
"Couldn'timpersonate user, ", $auth->last_err_txt();
print "Hurrargh. User ", $auth->get_username(), " authed!\n";
$response->status(200);
}
..
完整代码可以在这里查看:http://codepad.org/cpMWnFru
我设法通过混蛋
Win32::IntAuth
(我认为其中有一个错误)来实现它。本质上,我并没有持有在创建 Type 2 令牌期间创建的部分上下文,这以及 Win32::IntAuth
: 中存在错误的事实
my $buf_size = 4096;
my $sec_inbuf = pack("L L P$buf_size", $buf_size, SECBUFFER_TOKEN, $token);
这导致令牌错误,因为它不是令牌的正确长度,因此:
my $sec_inbuf = pack("L L P" . length($token), length($token), SECBUFFER_TOKEN, $token);
产生了正确的结果。
之前的代码改为:
...
sub handleType1 {
my $response = shift();
my $message = shift();
print "handleType1 - |", ${$message}, "|\n";
my $challenge = acceptSecurityContext(${$message});
${$response}->status(401);
${$response}->header("WWW-Authenticate" => "NTLM " . $challenge);
}
...
sub handleType3 {
my $response = shift();
my $message = shift();
print "handleType3 - ", ${$message}, "\n";
if (acceptSecurityContext(${$message})) {
${$response}->status(200);
} else {
${$response}->status(401);
}
}
...
acceptSecurityContext 是一个遵循这个伪代码的函数:
credentials = Win32->AcquireCredentialsHandle(...)
challenge = Win32->AcceptSecurityContext(credentials, token, globalCtx ? globalCtx : 0, ...)
如需完整演示,请随时联系我。
它仍然可用,完整的演示吗?