我对Active Directory中的NTLM身份验证有疑问。
因此,我尝试将NTLM消息从客户端重新转换为AD,以了解AD可以对该客户端进行身份验证。
所有步骤均正常运行, 1)我可以从客户那里发送协商按摩到AD 2)从广告中获取质询消息并将其重新转换为客户端 3)从客户端获取Auth消息并将其发送到AD 4)我也可以从LDAP BUT
获取成功状态这是Microsoft NTLM文档https://msdn.microsoft.com/ru-ru/cc236700,您可以在其中找到:
在服务器中,如果要认证的用户帐户托管在Active Directory中,则应将质询-响应对发送给DC进行验证([MS-APDS])。 DC使用NTOWF v2和/或LMOWF v2计算响应的期望值,并将其与提供的响应进行匹配。如果响应值匹配,则必须发送回SessionBaseKey;否则,它必须将错误返回给调用应用程序。如果DC返回错误,服务器必须向调用应用程序返回错误。如果DC返回STATUS_NTLM_BLOCKED,则服务器务必返回STATUS_NOT_SUPPORTED。
但是我无法从AD响应中获得与baseSassionKey类似的任何东西,我需要生成符号和印章密钥,这仅是:
{'dn':u'','saslCreds':无,'referrals':无,'description':'success','result':0,'message':u'','type': 'bindResponse'}
我做错了什么以及如何获得该钥匙?