로컬 도메인 컨트롤러에 대해 NTLM 인증만 지원하는 프록시를 통해 HTTP 요청을 보내는 데 필요한 응용 프로그램이 있습니다. libcurl SSPI 빌드를 사용하여 Windows 7+에서 로컬 시스템으로, Windows Server 2008에서 도메인 사용자로 작업하는 요청을 보내고 있습니다.
그러나 S2008에서 로컬 시스템 사용자로 응용 프로그램을 실행하면 프록시 인증이 실패합니다. NTLM 핸드셰이크를 검사하면 다음과 같은 사실이 드러납니다.
- 'Negotiate Anonymous' 플래그는 S2008 클라이언트에 의해 설정되며
- 사용자 세부 정보가 전송되지 않습니다.
Windows 7 +에서는 익명 인증이 사용되지 않고 대신 컴퓨터 ID 자격 증명이 사용됩니다. 일부 연구에 따르면 익명 NTLM 인증 대신 컴퓨터 자격 증명을 사용하는 것이 Windows 7+(테크넷 참조) 그렇다면 이러한 경우 익명 인증이 성공할 수 있도록 도메인 컨트롤러나 프록시에서 익명 인증을 활성화할 수 있는 방법이 있습니까?
winbind 및 Windows Server 2012 R2 도메인 컨트롤러와 함께 Squid 3.2.8 프록시를 사용하고 있습니다.
답변1
Windows Server 2008에서 인증과 관련된 이러한 문제는 Windows 7/Windows Server 2008 R2+의 NTLM 기능 차이로 인해 발생합니다.
이러한 레거시 운영 체제의 인증을 활성화하려면 다음에서 세 가지 그룹 정책 설정을 활성화하고 구성해야 합니다 Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options.
- 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안 - "128비트 암호화 필요" 선택 취소
- 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안 - "128비트 암호화 필요" 선택 취소
- 네트워크 보안: 로컬 시스템이 NTLM에 컴퓨터 ID를 사용하도록 허용 - 이 정책을 활성화합니다.
이러한 변경 사항이 적용되면 레거시 운영 체제는 프록시를 성공적으로 인증하고 통과할 수 있습니다.