NTLM-Proxy-Authentifizierung als lokales System auf Windows Server 2008

tag-icon tag-icon windows-server-2008 curl squid ntlm
NTLM-Proxy-Authentifizierung als lokales System auf Windows Server 2008

Ich habe eine Anwendung, die HTTP-Anfragen über einen Proxy senden muss, der nur die NTLM-Authentifizierung gegenüber dem lokalen Domänencontroller unterstützt. Ich verwende zum Senden von Anfragen einen libcurl SSPI-Build, der unter Windows 7+ als lokales System und Windows Server 2008 als Domänenbenutzer funktioniert.

Wenn ich die Anwendung jedoch als lokaler Systembenutzer auf S2008 ausführe, schlägt die Authentifizierung beim Proxy fehl. Die Überprüfung des NTLM-Handshakes zeigt Folgendes:

  • Das Flag 'Negotiate Anonymous' wird vom S2008-Client gesetzt und
  • Es werden keine Benutzerdaten übermittelt.

Unter Windows 7+ wird keine anonyme Authentifizierung verwendet, sondern stattdessen die Computeridentitäts-Anmeldeinformationen. Einige Untersuchungen deuten darauf hin, dass die Verwendung von Computeranmeldeinformationen anstelle der anonymen NTLM-Authentifizierung eine neue Funktion in Windows 7+ ist (siehe Technet) Wenn dies der Fall ist, gibt es Möglichkeiten, die anonyme Authentifizierung auf dem Domänencontroller oder Proxy zu aktivieren, damit die anonyme Authentifizierung erfolgreich ist?

Ich verwende einen Squid 3.2.8-Proxy mit Winbind und einem Windows Server 2012 R2-Domänencontroller.

Antwort1

Diese Probleme mit der Authentifizierung unter Windows Server 2008 sind auf Unterschiede in der NTLM-Funktionalität unter Windows 7/Windows Server 2008 R2+ zurückzuführen.

Um die Authentifizierung dieser älteren Betriebssysteme zu aktivieren, müssen drei Gruppenrichtlinieneinstellungen aktiviert und konfiguriert werden Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:

  • Netzwerksicherheit: Mindestsitzungssicherheit für NTLM SSP-basierte (einschließlich sicherer RPC-)Clients – Deaktivieren Sie „128-Bit-Verschlüsselung erforderlich“.
  • Netzwerksicherheit: Mindestsitzungssicherheit für NTLM SSP-basierte (einschließlich sicherer RPC-)Server - Deaktivieren Sie „128-Bit-Verschlüsselung erforderlich“
  • Netzwerksicherheit: Lokalem System erlauben, die Computeridentität für NTLM zu verwenden - Aktivieren Sie diese Richtlinie

Wenn diese Änderungen vorgenommen wurden, können die älteren Betriebssysteme den Proxy erfolgreich authentifizieren und durchlaufen.

verwandte Informationen