問題タブ [ntlm]

Windows では、ユーザー名とパスワードを入力する通常のログインを行わずに、NTLM プロトコルを使用して Windows からの資格情報を直接使用して、Web ブラウザーから Web サーバーにログインできると聞きました。

これはどのように達成されますか？Web サーバーは追加の認証をサポートする必要がありますか?

更新: IIS だけでなく、一般的な Web サーバーを求めています。たとえば、Apacheでそれを行う方法は?

NTLM認証を有効にしてRDSを機能させるという魔法の組み合わせを手に入れることができないようです。匿名認証だけをオンのままにしておくと、RDS は正常に動作します。サイト全体で有効にするとすぐに、RDS が失敗します (これは予想されることです)。これが私がやったことです：

• これは、Windows XP SP2 および ColdFusion 8、Eclipse + Adob​​e プラグインです。
• IIS マネージャーで、既定の Web サイトを右クリックし、[プロパティ] を選択します。
• [ディレクトリ セキュリティ] タブで、匿名アクセスと認証制御の [編集] ボタンをクリックします。
• [認証方法] ポップアップ ウィンドウで、匿名アクセスのチェックを外し、統合 Windows 認証をチェックします (他のすべてのチェックも空白にします)。
• [OK]、[OK] の順にクリックし、すべての子サイトの設定を上書きして、サイト全体が NTLM 認証を使用して "保護" されるようにします。
• IIS マネージャに戻り、CFIDE 仮想ディレクトリを右クリックして、[プロパティ] を選択します。
• [ディレクトリ セキュリティ] タブで、認証方法を編集します。統合 Windows 認証のチェックを外し、匿名アクセスをチェックします。OK、OK を押してテストします。

これまでのところ、CFIDE ディレクトリと少なくとも 1 つの子ディレクトリは、NTLM 認証なしで機能しているようです。そこで、Eclipse を起動して RDS 接続を確立しようとしました。残念ながら、アクセスが拒否されましたというメッセージが表示されます。もう少し調べてみると、Eclipse が /CFIDE/main/ide.cfm と通信しようとしているようです。信頼できる wget を取り出して、IIS が何をしているかをもう一度確認してください。

他の場所で文書化されている潜在的なハングアップの 1 つは、メイン ディレクトリと ide.cfm ページが実際にはディスク上に存在しないことです。IIS はすべての .cfm ファイルを JRun に渡すように構成され、JRun は ide.cfm を RDS サーブレットにマップするように構成されています。IIS をもう少し合理的にしようとして、メイン ディレクトリと空の ide.cfm ファイルをディスクにドロップしましたが、認証の問題が解決されることを期待していましたが、違いはありませんでした。

回避策として私ができることは、サイト全体を匿名アクセスのままにし、特定のアプリケーション フォルダーで NTLM 統合認証を使用できるようにすることですが、文字通り何百もの Web アプリケーションに対してそれを行う必要があります。うん。

助けてください！！！

通常、Windows 認証を使用する場合、ソフトウェア (Internet Explorer など) は Windows 認証を使用しようとしますが、成功しない場合 (ドメインが信頼されていない、または資格情報が正しくないなどの理由で)、ログインがポップアップ表示されます。ドメイン、ログイン、パスワードを入力できます。

SQL Server Management Studio 2008 では、[Windows 認証] を選択すると、ログイン/パスワード ボックスに現在の資格情報が自動入力され、ログインしようとすると、次のように表示されます。

ログインに失敗しました。信頼されていないドメインからのログインであり、Windows 認証では使用できません。(Microsoft SQL Server、エラー: 18452)

サーバードメインで資格情報を入力する機会がありません...

コンピューターのドメインに参加するか、「SQLサーバー認証」を有効にすることでこれを修正できることはわかっていますが、それは私が望んでいることではありません:)

これを解決する方法についてのアイデアはありますか?

Microsoft が利用している 2 つの WWW-Authenticate 追加機能は、私が現在認識しているものです。

• NTLM
• 交渉

Negotiate がサーバーから送信されると、一連の条件に基づいて Kerberos が使用されます

• イントラネット ゾーン
• IP ではなくホスト名を使用してサーバーにアクセスする
• IE の統合 Windows 認証が有効で、ホストが Firefox で信頼されている
• サーバーはブラウザに対してローカルではありません
• クライアントの Kerberos システムがドメイン コントローラーに対して認証されている

次に、サーバーとクライアントの間で Kerberos が試行されます。上記の条件が満たされない場合は、NTLM が試行されます。

私の質問は、サーバーが NTLM を送信してはならないことを示す方法はありますか? 私は現在、セッション内のリクエストを追跡することでこれを処理しており、NTLM メッセージを受信した場合、そのセッションの残りの期間、Kerberos と WWW 認証を無効にしています。

サーバーをIISでセットアップしていて、サイトに匿名アクセスを許可するページと「統合Windows認証」を必要とするページがあります。IISの[認証方法]画面では、「統合Windows認証」と匿名アクセスの両方を有効にできるように見えますが、私が読んだドキュメントには、どちらか一方しか使用できないことが示されているようです。

一部のページへの匿名アクセスを許可し、他のページでNTLM認証を要求する方法を知っている人はいますか？

ありがとう、

sherweb.com でホストされている Exchange セットアップに接続しようとしています。SMTP と NTLM 認証を使用する PHP。接続するとき、NTLM 認証レルムを入力する必要があります。

PHP スクリプトから次のエラーが表示されます。

NTLM 認証レルムを見つけるにはどうすればよいですか? 技術。sherweb.com でのサポートは、レンガの壁と話しているようなものです。ナレッジ ベースにない場合、手がかりがありません。

アップデート

Exchange 2007 Web サービスを使用できることは理解していますが、それに関するサンプル コードを試してみたところ、Exchange WDSL にエラーがあるようです。基本的に、可能であればSMTPを使用したいと思います。NTLM 認証。

ドキュメントには簡潔な例が示されていますが、とにかくホップ/ペアが欠落しているように見えます。リモート サーバーにアクセスし、NTLM 通信を同様にパターン化するスクリプトをセットアップすると、次の出力が得られ
ます
。
無効なコードを受け取りました。
リモート接続の受け入れエラー。
メッセージ: 実行エラーが検出されました。クライアントを終了しています...
メッセージ: wcclient のすべてのインスタンスを終了しています...
接続先:
...

NTLM中心の3行をコメントアウトすると、私のシナリオはうまく機能します。コメントを外すと失敗します。WCAT クライアントはシナリオを解析できますが、正しく解析されているかどうかを確認するために解析メカニズムを実際に掘り下げたことはまだありません。

(複数のリモート クライアントからの接続を妨げるバグは既に修正済みですが、他にもある可能性があります。)

シナリオの関連部分は次のとおりです。

誰かが WCAT NTLM スクリプトの実行中の機能的な例を持っていれば、私は大いに感謝しています。ありがとうございました。

wcat.wsf のログをクリーンアップし、多数の比較を行いました。これを行うためのより良い方法が必要ですが、私はそれを知りません。

• 「認証」は解析しますが、他のパラメーター名は解析しません
• 「ユーザー名」と「パスワード」だけでは致命的なエラーは発生しません
• 単一のparm行「authentication」をコメントアウトすると、テストが実行されます
• 同じ行のコメントを外すと、致命的なエラーが発生します
• スクリプトの出力は、失敗するまでまったく同じです
• basic または ntlm は、ガベージ テキストと同様に、同じ失敗を引き起こします。

問題は wcclient の奥深くに隠されているようです。別の製品を探し始める必要があると思います。

JCIFS NTLM ライブラリに代わるものはありますか?

iPhone アプリケーションでいくつかの Web サービスにアクセスしようとしています。

.asmx ページにGETアクセスすると、期待どおりに認証され、WSDL が取得されます。

ただし、POSTSOAPAction、Content-Type、Content-Length、および HTTPBody を設定して .asmx ページに移動すると、didReceiveAuthenticationChallengeメッセージが表示され続けます。

さらに、統合 Windows 認証 (IWA) を使用して IIS に POST しようとしています。つまり、NTLM チャレンジをネゴシエートしようとしています。