MonoTouch 支持访问 Mono.Security.Protocol.Ntlm.NtlmFlags

Question

我们使用 NTLM 身份验证从 MonoTouch 应用程序访问 ASP.net Web 服务，一切正常。

我们的一位客户使用相同的应用程序，并且 NTLM 身份验证在我们的应用程序中失败，但在 iPad 的 Safari 浏览器中有效。

查看来自客户的数据包流，当我们的应用发送NTLMSSP_NEGOTIATE 消息时，服务器没有返回NTLMSSP_CHALLENGE。

查看我们应用程序的 NTLMSSP_NEGOTIATE 消息和 iPad 的 Safari 相同消息之间的差异 我们的 MT 应用程序将 NTLM 标志设置为 0xb203，而 Safari 将其设置为 0x88207。 NegotiateNtlm2Key 在我们的应用程序中设置为 0，在 Safari 中设置为 1 我们的应用程序还发送调用工作站域和名称字段，而 Safari 将两者都发送为 null。

客户端的服务器是 Windows Server 2003，它们也使用 Kerberos 作为主要的身份验证方案并使用 NTLM。

在Mono.Security.Protocol.Ntlm.NtlmFlags 中设置NegotiateNtlm2Key 标志会有帮助吗？

Answer 1

只需设置标志？也许吧，但恕我直言，这相当不太可能。

该代码库是在 2003 年编写的（并在 2004 年更新），我很确定我（作为低级代码的作者）无法访问 Windows 2003 服务器或启用 Kerberos 的域那个时候。

对于后备，所需的更改量可能不会太大（但我不会赌5美元;-)如果你已经有环境来测试它。我 100% 肯定 Mono 项目会很高兴收到补丁来实现这一点。您也可以在http://bugzilla.xamarin.com 填写错误报告（优先级增强）以请求此功能

另一种方法是使用我假设 Safari 正在使用的 iOS API 与 ASP.NET Web 服务通信并自行反序列化数据。很难说哪个选项更复杂。

Answer 2

NTLMv2 会话和 NTLMv2 身份验证现已在 Mono (mono/master commit 45745e5) 中实现。

有关不同 NTLM 版本的说明，请参阅 this article。

默认情况下，Mono 现在在服务器支持时使用 NTLMv2 会话身份验证，否则回退到 LM 和 NTLM。

可以使用Mono.Security.dll 中的新Mono.Security.Protocol.Ntlm.Type3Message.DefaultAuthLevel 属性配置默认行为（请参阅mcs/class/Mono.Security/Mono.Security.Protocol.Ntlm 中的Type3Message.cs 和NtlmAuthLevel.cs）。

这类似于 Windows 中的Lan Manager Authentication Level。

2013 年 1 月 26 日更新

Microsoft Server 2008 RC2 出现问题，不接受它在类型 2 消息的目标名称（或来自目标信息块的域名）中发回的域名。

因此，我们现在使用来自NetworkCredential 的域名来允许用户指定所需的域。这也是最初在 Type 1 消息中发送到服务器的域名。