Autenticazione proxy NTLM come sistema locale su Windows Server 2008

0

Ho un'applicazione che è richiesta per inviare richieste HTTP tramite un proxy che supporta solo l'autenticazione NTLM contro il controller di dominio locale. Sto usando un build SSPI libcurl per inviare richieste che funzionano su Windows 7+ come sistema locale e Windows Server 2008 come utente di dominio.

Quando eseguo l'applicazione come utente di sistema locale su S2008, tuttavia, l'autenticazione con il proxy non riesce. L'ispezione della stretta di mano NTLM rivela che:

  • Il flag 'Negozia Anonimo' è impostato dal client S2008 e
  • Nessun dato utente viene inviato.

In Windows 7 + non viene utilizzata l'autenticazione anonima e vengono utilizzate le credenziali di identità del computer. Alcune ricerche indicano che l'uso delle credenziali del computer invece dell'autenticazione NTLM anonima è una nuova funzionalità di Windows 7+ ( vedi la scheda tecnica ), quindi, in questo caso, ci sono modi in cui posso abilitare l'autenticazione anonima sul controller di dominio o sul proxy per consentire l'autenticazione anonima per avere successo?

Sto usando un proxy Squid 3.2.8 con winbind e un controller di dominio Windows Server 2012 R2.

windows-server-2008  curl  squid  ntlm 
Jem Tucker
fonte
I seguenti passaggi in questo articolo hanno risolto il problema - windowsitpro.com/blog/8-w2k8-r2-ad-upgrade-tip-ntlm-changes
Jem Tucker
1
Dovresti trasformare il tuo commento in una risposta.
David Post

Risposte:

0

Questi problemi con l'autenticazione su Windows Server 2008 sono dovuti a differenze nella funzionalità NTLM su Windows 7 / Windows Server 2008 R2 +.

Per abilitare l'autenticazione di questi sistemi operativi legacy, è necessario abilitare e configurare tre impostazioni di Criteri di gruppo in Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:

  • Sicurezza di rete: sicurezza minima della sessione per client basati su SSL NTLM (incluso RPC sicuro) - Cancella "Richiedi crittografia a 128 bit"
  • Sicurezza di rete: sicurezza minima della sessione per server basati su SSL NTLM (incluso RPC sicuro) - Cancella "Richiedi crittografia a 128 bit"
  • Sicurezza di rete: consenti al sistema locale di utilizzare l'identità del computer per NTLM - Abilita questo criterio

Con queste modifiche applicate, i sistemi operativi legacy sono in grado di autenticare e attraversare con successo il proxy.

Jem Tucker
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.