Проверка подлинности прокси NTLM как локальной системы в Windows Server 2008

946
Jem Tucker

У меня есть приложение, которое требуется для отправки HTTP-запросов через прокси-сервер, поддерживающий только проверку подлинности NTLM на локальном контроллере домена. Я использую сборку libcurl SSPI для отправки запросов, которая работает на Windows 7+ в качестве локальной системы и Windows Server 2008 в качестве пользователя домена.

Однако когда я запускаю приложение в качестве пользователя локальной системы на S2008, аутентификация с использованием прокси не выполняется. Проверка рукопожатия NTLM показывает, что:

  • Флаг «Обсудить анонимный» устанавливается клиентом S2008 и
  • Сведения о пользователе не отправляются.

В Windows 7 + анонимная аутентификация не используется, вместо этого используются учетные данные компьютера. Некоторые исследования показывают, что использование учетных данных компьютера вместо анонимной проверки подлинности NTLM является новой функцией в Windows 7+ ( см. Technet ), поэтому, если это так, можно ли каким-либо образом разрешить анонимную аутентификацию на контроллере домена или прокси-сервере, чтобы разрешить анонимная аутентификация для успеха?

Я использую прокси Squid 3.2.8 с winbind и контроллер домена Windows Server 2012 R2.

0
Следующие шаги в этой статье исправили проблему - http://windowsitpro.com/blog/8-w2k8-r2-ad-upgrade-tip-ntlm-changes Jem Tucker 6 лет назад 0
Вы должны превратить свой комментарий в ответ. DavidPostill 6 лет назад 1

1 ответ на вопрос

0
Jem Tucker

Эти проблемы с проверкой подлинности в Windows Server 2008 связаны с различиями в функциональности NTLM в Windows 7 / Windows Server 2008 R2 +.

Чтобы включить аутентификацию этих устаревших операционных систем, необходимо включить и настроить три параметра групповой политики в Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:

  • Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) - снимите флажок «Требовать 128-битное шифрование»
  • Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) - снимите флажок «Требовать 128-битное шифрование»
  • Сетевая безопасность: разрешить локальной системе использовать идентификацию компьютера для NTLM - включите эту политику

После внесения этих изменений устаревшие операционные системы могут успешно аутентифицировать и проходить прокси.

Похожие вопросы