Tengo una aplicación que debe enviar solicitudes HTTP a través de un proxy que solo admite autenticación NTLM contra el controlador de dominio local. Estoy usando una compilación libcurl SSPI para enviar solicitudes que funciona en Windows 7+ como sistema local y Windows Server 2008 como usuario de dominio.
Sin embargo, cuando ejecuto la aplicación como usuario del sistema local en S2008, falla la autenticación con el proxy. La inspección del protocolo de enlace NTLM revela que:
- El indicador 'Negociar de forma anónima' lo establece el cliente S2008 y
- No se envían datos de usuario.
En Windows 7 + no se utiliza la autenticación anónima y en su lugar se utilizan las credenciales de identidad de la computadora. Algunas investigaciones indican que el uso de credenciales de computadora en lugar de autenticación NTLM anónima es una característica nueva en Windows 7+ (ver tecnet) entonces, si este es el caso, ¿hay alguna manera de habilitar la autenticación anónima en el controlador de dominio o proxy para permitir que la autenticación anónima se realice correctamente?
Estoy usando un proxy Squid 3.2.8 con winbind y un controlador de dominio Windows Server 2012 R2.
Respuesta1
Estos problemas con la autenticación en Windows Server 2008 se deben a diferencias en la funcionalidad NTLM en Windows 7/Windows Server 2008 R2+.
Para habilitar la autenticación de estos sistemas operativos heredados, se deben habilitar y configurar tres configuraciones de política de grupo en Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:
- Seguridad de red: seguridad de sesión mínima para clientes basados en NTLM SSP (incluido RPC seguro): borre "Requerir cifrado de 128 bits"
- Seguridad de red: seguridad de sesión mínima para servidores basados en NTLM SSP (incluido RPC seguro): borre "Requerir cifrado de 128 bits"
- Seguridad de red: Permitir que el sistema local use la identidad de la computadora para NTLM: habilite esta política
Con estos cambios aplicados, los sistemas operativos heredados pueden autenticar y atravesar el proxy con éxito.