問題タブ [ntlm]

Web に投稿する必要がある Java アプレットがあります。作成者が姿を消して久しいこのコードは、現在、生の Java.net.Sockets を使用してサーバーと通信しています。

サーバー側では、クライアント要求は NTLM または Kerberos で認証されます。ブラウザー自体からの要求の場合、各 HTTP ヘッダーは追加の Authorization ヘッダーを取得します。

ブラウザでホストされている Java アプレットは、ブラウザから認証情報にアクセスできますか? または、Java アプレットは代わりにブラウザーの Web スタック (Flash や Silverlight など) を使用し、必要な承認ヘッダーをブラウザー自体で追加できますか?

UIの実装でJavaScriptを多用するWebパーツがあります。また、一部のSharePoint Webサービスへの非同期XmlHttpRequest要求を利用します（私はSPServicesを使用しています）。

一部の要求では、ユーザーはNTLM認証の課題に直面し、資格情報を入力した後、要求は完了します。これは、3つを超えるリクエストがありますが、1ページのロードで3回発生します。これについて私が混乱していることがいくつかあります：

• 私が言ったように、すべてのリクエストにこの問題があるわけではありません
• ユーザーはすでにNTLM認証を使用してサイトにアクセスしているのに、なぜajaxリクエストがチャレンジされるのですか？
• これはWindowsドメイン環境にあります。非ドメイン環境では、この問題は存在しません（ただし、Windows認証は両方で使用されています）。

もちろん、これはすべてIEにあります。私が試した1つのことは、NTLM認証ヘッダーをajaxリクエストに挿入することでしたが、それは何も変わりませんでした（実際にはそうなるとは思いませんでしたが、試す価値がありました）。

助言がありますか？

http://someserverで Web サーバーにアクセスする必要があり、認証が必要です。NTLM、Kerberos、またはその他のものを使用しているかどうかを確認するにはどうすればよいですか?

NTLM 認証用に basicHttpBinding を構成する方法は知っていますが、netTcpBinding 用に同じことを行う方法がわかりません。

netTcpBinding は NTLM をサポートしていますか? もしそうなら、WCF サービスに NTLM の使用を強制する方法は?

ところで、なんらかの理由でアイデンティティ要素を使用するよく知られた方法がまったく機能しませんでした。私はこのようなものを探しています-clientCredentialType ="Ntlm"ですが、tcp用です。これがbasicHttp設定です：

標準の Java API (java.net.URLConnection) を使用して HTTP サーバーにアクセスすると、最初の認証が成功した後に資格情報が「キャッシュ」され、その後の Authenticator.setDefault() の呼び出しは無効になります。したがって、別の資格情報を使用するには、アプリケーションを再起動する必要があります。

基本認証を使用している場合、この影響は見られません。しかし、アクセスしているサーバーに NTLM を使用する必要があり、Jakarta Commons HttpClient は NTLMv2 をサポートしていないため代替手段ではありません ( http://oaklandsoftware.com/papers/ntlm.htmlを参照) 。

Wireshark を使用してパケットを調べたところ、最初の認証が成功する前に、現在の Windows 資格情報を使用した認証が最初に試行されていることもわかりました。ただし、認証が成功すると、保存された資格情報のみが使用されます。

NTLM 認証が成功した後に、java.net.Authenticator が使用している資格情報をリセットまたは変更する方法はありますか?

ホストとクライアントの2つのコンソールプロジェクトを持つ単純なWCFデモアプリを入手しました。両方とも私のマシンで実行されています（7ボックスに勝ちます）。Windows認証を使用するnetTcpBindingを使用しています。

問題は、認証がKerberosからNTLMにダウングレードされていることであり、その理由がわかりません。

使用する場合

クライアント側では、すべてがクールです。しかし、これをに変更するとfalse、次の例外が発生します。

SecurityNegotiationException：リモートサーバーが相互認証要件を満たしていませんでした。

これは、Kerberosが失敗しており、クライアントがNTLMを許可しないため、呼び出しによって例外がスローされることを示しています。

これはプロジェクトの問題ですか、それとも開発マシンの構成に起因する外部の問題ですか？

解決：

どうやら、クライアント構成内でサーバーのIDを指定する必要があります。私の場合、サーバーは私のIDで実行されているので、次のようにクライアントを変更します。

これで問題が解決する理由がわかりません。さて、クライアント側では、サーバーを完全に信頼しています（ねえ、私はその男を知っています！）。しかし、NTLMはKerberosよりも安全性が低いので、なぜその逆ではないのでしょうか。サーバーを完全に信頼していない場合は、Kerberosを使用します。それ以外の場合は、ntlmで問題ありません。

または、OTOH、サーバーを完全に信頼していない場合、なぜサーバーがまったく機能しないのですか？「SecurityException：エンドポイントIDが設定されていません。WCFはサーバーのIDを信頼できず、クライアントIDを送信しません。」

_layoutsディレクトリ内の画像（またはjs、css）がIEまたはFFのいずれにもキャッシュされない理由を理解しようとしています。

サイトコレクションの認証はNTLMです。_layoutsフォルダーでは、IISで匿名アクセスが有効になっています。

以前にロードされたページをfiddlerでデバッグすると、次のリクエストが表示されます。

GET /_layouts/MyApplication/Images/newProject.png HTTP /1.1401無許可

GET /_layouts/MyApplication/Images/newProject.png HTTP /1.1401無許可

GET /_layouts/MyApplication/Images/newProject.png HTTP / 1.1 200 OK

..。

キャッシュ制御：max-age = 31536000

最終変更日：2010年2月9日火曜日、14：40：01 GMT

ETag： "5945d7c295a9ca1：3d0416"

..。

これは、ページへの後続のアクセスごとに発生します。画像がキャッシュされない理由がわかりますか？

ありがとうございました

WCF ロジックを呼び出す ASP.NET MVC ページがあります。

システムは NTML を使用したシングル サインオンです。ASP ページと WCF の両方が、UserIdentity を使用してユーザーのログイン情報を取得します。

NTML 以外に、同じシステムでフォーム ベースの認証 (AD を使用) も行います。

ASP ページはシンプルで、HttpContext.Current.Request.LogonUserIdentity から取得できます。

ただし、ブラウザからではなく、ASP によって呼び出される WCF から欠落しているようです。

ASP から WCF に ID パスを渡すように構成するにはどうすればよいですか?

私はNTLM/LDAPを初めて使用し、ローカルマシンで実行されているNTMLを使用して認証しようとしています。Microsoft（http://support.microsoft.com/kb/326340/en-us）が提供するコードは機能しているようですが、接続方法がわかりません。

Contos 8はNTLMを使用して認証するように設定されており、機能しているため、認証サービスが実行されていることを知っています。「接続文字列」がどうあるべきかわかりません。

私が試しているのは、LDAP：// CN=machinenameです。

提案？

spring-ntlm NtlmProcessingFilter.java ファイルのキャッシュを試みた人はいますか? ehcacheを使用してそのようなキャッシュを実装する方法