Rename and split the README file
[idra/gss-ntlmssp.git] / README.txt
1
2 GSS-NTLMSSP
3 ===========
4
5 This is a mechglue plugin for the GSSAPI library that implements NTLM
6 authentication.
7
8 So far it has been built and tested only with the libgssapi implementation
9 that comes with MIT Kerberos 1.11
10
11 OID Space
12 =========
13
14 The Samba Project kindly donated this OID space: 1.3.6.1.4.1.7165.655.1.x
15
16 BUILDING
17 ========
18
19 See BUILD.txt
20
21
22 TESTING
23 =======
24
25 Testsuite:
26 ----------
27
28 Run ./ntlmssptest at your leisure, it just insures that the crypto is
29 working correctly.
30
31 Real testing:
32 -------------
33
34 There are exactly 2 configuration knobs at this point, and both need to
35 be set right.
36
37 1. The gss configruation file.
38
39 In order to load the mechanism into GSSAPI copy the content of the file
40 examples/mech.ntlmssp into /etc/gss/mech
41 If you are installing in a non standard path check that the location
42 of the shared object matches where you installed it in your system
43
44 2. The credentials file
45
46 Set the environment variable NTLM_USER_FILE to a path to a file with
47 your NTLM cedentials in it.
48 The file format is the same as the one used by the gss ntlm mechanism
49 that can be found in Heimdal. Super simple, one or more lines with:
50 DOMAIN:USERNAME:PASSWORD as elements separated by ':'
51
52 For example:
53 ADDOM:Administrator:Passw0rd
54
55 Testing Application:
56 --------------------
57
58 So far the only application that seem to properly use GSSAPI and
59 therfore will work unmodified is Firefox. I tried also Curl, but even
60 after making some patches to let it use the builtin SPNEGO implementation
61 of GSSAPI it seem that the code is hardcoded to believe there will always
62 only ever be one roundtrip. This is not necessarily true with the krb5
63 mechanism although it works with that with current implementations.
64 I will need more patches for curl, meanwhile use firefox.
65
66 The server: I am using a Windows Server with IIS installed and Windows
67 Authentication enabled.
68
69 In Firefox go in about:config and set the string list named
70 network.negotiate-auth.trusted-uris to your Windows server domain
71 name suffix. This is necessary otherwise Firefox will not even attempt to
72 perform negotiation, regardles of the Mechanism used.
73
74 Example:
75 network.negotiate-auth.trusted-uris = .addom.example.com
76