6

我正在尝试为用 Perl(或者可能是 XS 模块)编写的 Web 服务器实现 NTLM 授权。我的理解是它应该以下列方式工作:

c -> s: GET
s -> c: 401, WWW-Authenticate: NTLM
c -> s: GET, Authorization: NTLM [Type1 Message]
s -> c: 401, WWW-Authenticate: NTLM [Type2 Message]
c -> s: GET, Authorization: NTLM [Type3 Message]

IF s.Check([Type3 Message]):
  s -> c: 200
ELSE:
  s -> c: 401

为了生成 Type3 消息,我同时使用了Authen::Perl::NTLMAuthen::NTLM::HTTP,它们似乎都可以很好地生成消息,但是,它们没有提供检查 Type3 消息的功能。

我的下一步是尝试使用Win32::IntAuth来验证 NTLM 令牌。是我遇到麻烦的地方,开发人员和其他搜索到的信息片段说这个模块应该能够验证 NTLM 二进制令牌。

该模块包含一些 Win32 API 调用,即 AcquireCredentialsHandle、AcceptSecurityContext、CompleteAuthToken 和 ImpersonateSecurityContext。

不幸的是,我在 AcceptSecurityContext 上对 NTLM 令牌进行身份验证的所有尝试都失败了,因为SEC_E_INVALID_TOKENSEC_E_INSUFFICIENT_MEMORY导致我建议我的 NTLM 令牌不正确。下面是一些代码片段来帮助展示我的方法。

# other code
...
if (not defined $headers->header('Authorization')) {
    initHandshake($response); 
} else { 
    my $authHeader = $headers->header('Authorization');
    if ($authHeader =~ m/^NTLM\s(.+)$/i) { 
        my $message = $1;
        if (length($message) == 56) {
            handleType1($response, $message);
        } else {
            handleType3($response, $message);
        }
    } else {
        printf "ERROR - Unable to pull out an NTLM message.\n";
        print $authHeader . "\n";
    }
} 
... 
sub handleType3 {
    my $response = shift();
    my $message = shift();
    print "handleType3 - ", $message, "\n";
    my $auth = Win32::IntAuth->new(debug => 1);
    my $token = $auth->get_token_upn(decode_base64($message)) or die 
                           "Couldn'timpersonate user, ", $auth->last_err_txt();
    print "Hurrargh. User ", $auth->get_username(), " authed!\n";
    $response->status(200);
} 
..

完整代码可以在这里查看:http: //codepad.org/cpMWnFru

4

1 回答 1

3

我设法通过混改 Win32::IntAuth (我相信它有一个错误)来实现这个工作。本质上,我没有持有在创建类型 2 令牌期间创建的部分上下文,这以及 Win32::IntAuth 中存在错误的事实:

my $buf_size     = 4096;
my $sec_inbuf    = pack("L L P$buf_size", $buf_size, SECBUFFER_TOKEN, $token);

这导致了令牌错误,因为它不是正确的令牌长度,因此:

my $sec_inbuf    = pack("L L P" . length($token), length($token), SECBUFFER_TOKEN, $token);

产生了正确的结果。

之前的代码改为:

...
sub handleType1 {
    my $response = shift();
    my $message = shift();                               
    print "handleType1 - |", ${$message}, "|\n";
    my $challenge = acceptSecurityContext(${$message});
    ${$response}->status(401);
    ${$response}->header("WWW-Authenticate" => "NTLM " . $challenge);
}
...
sub handleType3 {
    my $response = shift();               
    my $message = shift();
    print "handleType3 - ", ${$message}, "\n";
    if (acceptSecurityContext(${$message})) {
        ${$response}->status(200);
    } else {
        ${$response}->status(401);
    }
}
...

acceptSecurityContext 是一个遵循这个伪代码的函数:

credentials = Win32->AcquireCredentialsHandle(...)
challenge = Win32->AcceptSecurityContext(credentials, token, globalCtx ? globalCtx : 0, ...)

希望这可以帮助可能在类似船上的人。请随时与我联系以获取完整演示。

于 2014-05-08T17:25:22.540 回答