Mono.Security.Protocol.Ntlm名前空間(Mono.Security.dll)には、NTLM認証(NT LAN Manager Authentication)で用いられるNTLMメッセージを抽象化したクラスが用意されている。
- class Type1Message
- NTLM認証におけるネゴシエーションメッセージ(Type 1 Message)を抽象化したクラス。 クライアントがサーバに要求する機能等を含むメッセージを表す。
- class Type2Message
- NTLM認証におけるチャレンジメッセージ(Type 2 Message)を抽象化したクラス。 ネゴシエーションメッセージに対する応答、サーバが生成したnonce等を含むチャレンジを表す。
- class Type3Message
- NTLM認証における認証メッセージ(Type 3 Message)を抽象化したクラス。 ユーザ名・パスワードを含む、チャンレンジに対する応答を表す。
- abstract class MessageBase
- Type1Message, Type2Message, Type3Messageの基底クラス。
- enum NtlmFlags
- 各メッセージのヘッダに含まれるNTLMフラグを表す列挙体。 クライアントがサーバに要求する機能や、サーバがサポートする機能などを表す。
これらのクラスはSystem.Net.WebRequest等でHTTPにおけるNTLM認証を行うために用いられているが、IMAPにおけるAUTHENTICATEコマンドでの認証にも使用できる(IMAPの他、POP、SMTP等その他のプロトコルでも使用できると思われる)。
IMAPでのNTLM認証
IMAP AUTHENTICATEコマンドによるNTLM認証の手続きは次のようになる。
C: 0001 AUTHENTICATE NTLM // 1.NTLM認証の開始 S: + // 2.サーバからのコマンド継続要求応答を受信 C: Base64(Type1Message) // 3.クライアントからBASE64エンコードしたネゴシエーションメッセージを送信 S: + Base64(Type2Message) // 4.サーバからのBASE64エンコードされたチャレンジメッセージを受信 C: Base64(Type3Message) // 5.クライアントからBASE64エンコードした認証メッセージを送信 S: 0001 OK // 6.サーバからのタグ付き応答(OKもしくはNO)を受信
クライアント側でのNTLM認証の実装イメージは次のようになる。
// 1.NTLM認証の開始
var authenticateCommand = "0001 AUTHENTICATE NTLM";
networkStream.Write(authenticateCommand);
// 2.サーバからのコマンド継続要求応答を受信
var continuation = networkStream.Read(...);
// 3.クライアントからBASE64エンコードしたネゴシエーションメッセージを送信
var type1 = new Type1Message();
type1.Host = host;
type1.Domain = domain;
networkStream.Write(Convert.ToBase64String(type1.GetBytes()));
// 4.サーバからのBASE64エンコードされたチャレンジメッセージを受信
var type2 = new Type2Message(Convert.FromBase64String(networkStream.Read(...)));
// 5.クライアントからBASE64エンコードした認証メッセージを送信
var type3 = new Type3Message();
type3.Challenge = type2.Nonce;
type3.Host = host;
type3.Domain = domain;
type3.Password = password;
type3.Username = username;
networkStream.Write(Convert.ToBase64String(type3.GetBytes()));
// 6.サーバからのタグ付き応答(OKもしくはNO)を受信
var authenticateResponse = networkStream.Read(...);
if (authenticateResponse.Contains("OK"))
Console.WriteLine("authentication succeeded");
else
Console.WriteLine("authentication failed");
以下は上記実装イメージに基づく実装でNTLM認証を行った場合のログ。 テストに使ったサーバはDovecot 1.2 rc3、認証に用いた値はhost = "localhost", domain = "localdomain", username = "user", password = "pass"。
C: 0001 CAPABILITY S: * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5 AUTH=ANONYMOUS AUTH=NTLM S: 0001 OK Capability completed. C: 0002 AUTHENTICATE NTLM S: + C: TlRMTVNTUAABAAAAA7IAAAsACwApAAAACQAJACAAAABMT0NBTEhPU1RMT0NBTERPTUFJTg== S: + TlRMTVNTUAACAAAAAAAAAAAAAAABAoAAj2iTN/u5xGkAAAAAAAAAABQAFAAwAAAAAwAMAGgAYQB5AGEAdABlAAAAAAA= C: TlRMTVNTUAADAAAAGAAYAHAAAAAYABgAiAAAABYAFgBAAAAACAAIAFYAAAASABIAXgAAAAAAAACgAAAAAYIAAEwATwBDAEEATABEAE8ATQBBAEkATgB1AHMAZQByAEwATwBDAEEATABIAE8AUwBUAAFbwdXcoGba6LxkTycgeeGwIJ1qG4DV0McBNvTO8hBeGTjEfV6fYxVQayTslZLG7Q== S: 0002 OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH] Logged in
NTML認証に関するドキュメント
- [MS-NLMP]: NT LAN Manager (NTLM) Authentication Protocol Specification NTLMの認証プロトコル仕様
- Microsoft Open Specification Support Team Blog : NTLM Overview NTLM認証の概要
- The NTLM Authentication Protocol and Security Support Provider "Sambaにおける実装の解析に基づいた"NTLM認証のリファレンス
- NTLM 認証プロトコルとセキュリティサポートプロバイダ 上記リファレンスの和訳