У меня есть приложение, которое требуется для отправки HTTP-запросов через прокси-сервер, поддерживающий только проверку подлинности NTLM на локальном контроллере домена. Я использую сборку libcurl SSPI для отправки запросов, которая работает на Windows 7+ в качестве локальной системы и Windows Server 2008 в качестве пользователя домена.

Однако когда я запускаю приложение в качестве пользователя локальной системы на S2008, аутентификация с использованием прокси не выполняется. Проверка рукопожатия NTLM показывает, что:

  • Флаг «Обсудить анонимный» устанавливается клиентом S2008 и
  • Сведения о пользователе не отправляются.

В Windows 7 + анонимная аутентификация не используется, вместо этого используются учетные данные компьютера. Некоторые исследования показывают, что использование учетных данных компьютера вместо анонимной проверки подлинности NTLM является новой функцией в Windows 7+ (см. Technet), поэтому, если это так, можно ли каким-либо образом разрешить анонимную аутентификацию на контроллере домена или прокси-сервере, чтобы разрешить анонимная аутентификация для успеха?

Я использую прокси Squid 3.2.8 с winbind и контроллер домена Windows Server 2012 R2.

1 ответ1

0

Эти проблемы с проверкой подлинности в Windows Server 2008 связаны с различиями в функциональности NTLM в Windows 7 / Windows Server 2008 R2 +.

Чтобы включить проверку подлинности этих устаревших операционных систем, необходимо включить и настроить три параметра групповой политики в Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:

  • Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) - снимите флажок «Требовать 128-битное шифрование»
  • Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) - снимите флажок «Требовать 128-битное шифрование»
  • Сетевая безопасность: разрешить локальной системе использовать идентификацию компьютера для NTLM - включите эту политику

После внесения этих изменений устаревшие операционные системы могут успешно аутентифицировать и проходить прокси.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .