Mono.Security.Protocol.Ntlm

Mono.Security.Protocol.Ntlm名前空間(Mono.Security.dll)には、NTLM認証(NT LAN Manager Authentication)で用いられるNTLMメッセージを抽象化したクラスが用意されている。

class Type1Message: NTLM認証におけるネゴシエーションメッセージ(Type 1 Message)を抽象化したクラス。　クライアントがサーバに要求する機能等を含むメッセージを表す。
class Type2Message: NTLM認証におけるチャレンジメッセージ(Type 2 Message)を抽象化したクラス。　ネゴシエーションメッセージに対する応答、サーバが生成したnonce等を含むチャレンジを表す。
class Type3Message: NTLM認証における認証メッセージ(Type 3 Message)を抽象化したクラス。　ユーザ名・パスワードを含む、チャンレンジに対する応答を表す。
abstract class MessageBase: Type1Message, Type2Message, Type3Messageの基底クラス。
enum NtlmFlags: 各メッセージのヘッダに含まれるNTLMフラグを表す列挙体。　クライアントがサーバに要求する機能や、サーバがサポートする機能などを表す。

これらのクラスはSystem.Net.WebRequest等でHTTPにおけるNTLM認証を行うために用いられているが、IMAPにおけるAUTHENTICATEコマンドでの認証にも使用できる(IMAPの他、POP、SMTP等その他のプロトコルでも使用できると思われる)。

IMAPでのNTLM認証

IMAP AUTHENTICATEコマンドによるNTLM認証の手続きは次のようになる。

C: 0001 AUTHENTICATE NTLM    // 1.NTLM認証の開始
S: +                         // 2.サーバからのコマンド継続要求応答を受信
C: Base64(Type1Message)      // 3.クライアントからBASE64エンコードしたネゴシエーションメッセージを送信
S: + Base64(Type2Message)    // 4.サーバからのBASE64エンコードされたチャレンジメッセージを受信
C: Base64(Type3Message)      // 5.クライアントからBASE64エンコードした認証メッセージを送信
S: 0001 OK                   // 6.サーバからのタグ付き応答(OKもしくはNO)を受信

クライアント側でのNTLM認証の実装イメージは次のようになる。

行番号を表示する

// 1.NTLM認証の開始
var authenticateCommand = "0001 AUTHENTICATE NTLM";

networkStream.Write(authenticateCommand);

// 2.サーバからのコマンド継続要求応答を受信
var continuation = networkStream.Read(...);

// 3.クライアントからBASE64エンコードしたネゴシエーションメッセージを送信
var type1 = new Type1Message();

type1.Host = host;
type1.Domain = domain;

networkStream.Write(Convert.ToBase64String(type1.GetBytes()));

// 4.サーバからのBASE64エンコードされたチャレンジメッセージを受信
var type2 = new Type2Message(Convert.FromBase64String(networkStream.Read(...)));

// 5.クライアントからBASE64エンコードした認証メッセージを送信
var type3 = new Type3Message();

type3.Challenge = type2.Nonce;
type3.Host = host;
type3.Domain = domain;
type3.Password = password;
type3.Username = username;

networkStream.Write(Convert.ToBase64String(type3.GetBytes()));

// 6.サーバからのタグ付き応答(OKもしくはNO)を受信
var authenticateResponse = networkStream.Read(...);

if (authenticateResponse.Contains("OK"))
  Console.WriteLine("authentication succeeded");
else
  Console.WriteLine("authentication failed");

以下は上記実装イメージに基づく実装でNTLM認証を行った場合のログ。　テストに使ったサーバはDovecot 1.2 rc3、認証に用いた値はhost = "localhost", domain = "localdomain", username = "user", password = "pass"。

C: 0001 CAPABILITY
S: * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5 AUTH=ANONYMOUS AUTH=NTLM
S: 0001 OK Capability completed.
C: 0002 AUTHENTICATE NTLM
S: + 
C: TlRMTVNTUAABAAAAA7IAAAsACwApAAAACQAJACAAAABMT0NBTEhPU1RMT0NBTERPTUFJTg==
S: + TlRMTVNTUAACAAAAAAAAAAAAAAABAoAAj2iTN/u5xGkAAAAAAAAAABQAFAAwAAAAAwAMAGgAYQB5AGEAdABlAAAAAAA=
C: TlRMTVNTUAADAAAAGAAYAHAAAAAYABgAiAAAABYAFgBAAAAACAAIAFYAAAASABIAXgAAAAAAAACgAAAAAYIAAEwATwBDAEEATABEAE8ATQBBAEkATgB1AHMAZQByAEwATwBDAEEATABIAE8AUwBUAAFbwdXcoGba6LxkTycgeeGwIJ1qG4DV0McBNvTO8hBeGTjEfV6fYxVQayTslZLG7Q==
S: 0002 OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH] Logged in

NTML認証に関するドキュメント

[MS-NLMP]: NT LAN Manager (NTLM) Authentication Protocol Specification NTLMの認証プロトコル仕様
Microsoft Open Specification Support Team Blog : NTLM Overview NTLM認証の概要
The NTLM Authentication Protocol and Security Support Provider "Sambaにおける実装の解析に基づいた"NTLM認証のリファレンス
NTLM 認証プロトコルとセキュリティサポートプロバイダ上記リファレンスの和訳