我正在尝试获取集成 Windows 身份验证(使用当前登录的 Windows 用户的默认凭据)以登录 Exchange 2007 帐户(SMTP/POP3/IMAP)。
我已经为此实现了工作,但它使用 SSPI 函数,因此需要非托管代码权限(不好)。我试图为此使用 NegotiateStream 类,但它不起作用。
您不能直接将 NegotiateStream 与 POP3/IMAP/SMTP 一起使用,因为整个对话中的每个请求和响应都需要用 base64 包装并包含邮件协议后缀等。所以,我实现了自己的流类,它可以做到这一点,并在 NetworkStream 和 NegotiateStream 之间注入它。但是,我注意到 NegotiateStream 创建的请求和它期望的响应与我成功使用的请求不同(以及由其他能够进行 NTLM/GSSAPI 类型身份验证的邮件客户端创建的请求)。
特别是,NegotiateStream 首先发送一个 5 字节长度的请求,其他实现不发送该请求。此数据包被 Exchange 拒绝并显示“协议错误”消息。
NegotiateStream 创建的第二个请求是正确的(以 NTLMSSP 开头)。因此,我决定忽略 base64 编码中间流中的第一个数据包而不发送它。当 Exchange 获得第二个数据包时,它成功地吃掉了这个数据包并返回正确的继续响应。但是,这一次 NegotiateStream 现在想要接收 5 字节的响应,而服务器返回的响应要大得多。简而言之,NegotiateStream 发送 +1 请求并期望 +1 响应。
我可以避免发送第一个“冗余”5 字节数据包,但我无法发明 NegotiateStream 期望的第一个 5 字节响应数据包。我尝试提供 NegotiateStream 之前尝试发送的相同数据包,但这当然没有用。
我想知道发生了什么以及如何解决这个问题。在 Windows XP SP3 和 Windows Server 2008 上也会发生相同的行为。
我不是 Kerberos/GSSAPI 专家,但从我在文档中发现的内容看来,Kerberos 对话确实应该以 5 字节数据包开始。但是,我在使用其他工作工具时从未见过它,Exchange 也拒绝它。也许,当通过 SASL 协议使用 GSSAPI(用于 POP3/IMAP/SMTP 进行身份验证)时,应该省略第一个数据包?但是,当它期望来自服务器的 5 字节响应时,我如何告诉 NegotiateStream 或者至少应该向它发送什么?
我尝试了不同的 NegotiateStream 模式,我还向 Exchange 发布了 AUTH NTLM 和 AUTH GSSAPI 但这一切都没有区别。其他工作实现(同时支持 GSSAPI 和 NTLM)都以相同的方式工作(GSSAPI 和 NTLM 数据包之间没有太大区别)。所有传入和传出的数据包都远大于 5 个字节。
我还尝试在 Windows XP 上使用 IIS SMTP 服务,结果相同。基于 SSPI 的非 NegotiateStream 实现工作,而 NegotiateStream 由于第一个数据包而不起作用。如果我不发送它,我不知道 NegotiateStream 期望的第一个响应是什么。
我曾经认为应该可以让它工作,因为 SmtpClient 类可以以某种方式管理它并使用默认凭据和 NTLM 进行身份验证。但是我发现 SmtpClient 内部没有使用 NegotiateStream,它只是进行非托管 SSPI 调用,就像我在旧版本的软件中所做的那样。
也尝试使用 Visual Studio 2010 / .NET 4.0。没有运气(也没有新的方法/属性来微调 NegotiateStream 中的东西)。
我完全迷路了:-(