NTLM v1 / v2認証にGSSAPIを使用することは可能ですか?squid / apacheのようなWebサーバーを構築しようとしていますが、NTLM / Negotiateプロトコルを使用して、IE/FireFoxを使用している可能性のあるクライアントを認証したいと思います。heimdalライブラリを使用しようとしましたが、gss_accept_sec_contextを機能させることができません。「サポートされていないメカニズムが要求されました」で失敗するだけです。gss_accept_sec_contextが試行される前にgss_acquire_credが呼び出されたときに、サービスプリンシパル名、spnegoのOIDなどが正しく発生したことを確認できます。はい、もちろん、承認ヘッダーをbase64でデコードして、クライアントから受け取ったトークンを抽出しました。私はC++を使用しており、これをdebianで実験しています。このあたりの素晴らしいハックの1つがもっと知っていると確信しており、いくつかの重要な手がかりを共有することを願っています。
前もって感謝します。
Heimdal の NTLM ライブラリは、クライアント側もサポートしています。ライブラリ プリミティブを使用して、type1、2、および 3 のメッセージを生成できます。ただし、この目的で Heimdal の上で GSS-API を使用できるかどうかはわかりません。そのテスト、あなたもこれを行うことができると思います。
Heimdal ライブラリとそれが GSS で動作するかどうかはわかりませんが、 gss ntlm sspは特に gss ライブラリであると主張しています。ダウンロードしてビルドする必要があると思います。次に、ライブラリを指すように /etc/gss/mech (または Debian と Ubuntu では /usr/etc/gss/mech) を設定する必要があります。Ther ビルド システムは、examples ディレクトリの mech ファイルに必要なものの例を作成します。
spnego でこれを実行すると、問題が発生する可能性があります。Windows が交渉パッケージで最も優先されるメカニズムとして NTLM を使用している場合、RFC 4178 で定義されている SPNEGO トークンではなく生の NTLM トークンが送信されます。サポートされていないメカニズムを示す gss_accept_sec_context を確実に通過します。