Eu tenho um aplicativo que é necessário para enviar solicitações HTTP por meio de um proxy que oferece suporte apenas à autenticação NTLM no controlador de domínio local. Estou usando uma compilação SSPI libcurl para enviar solicitações que funcionam no Windows 7+ como sistema local e no Windows Server 2008 como usuário de domínio.
No entanto, quando executo o aplicativo como usuário do sistema local no S2008, a autenticação com o proxy falha. A inspeção do handshake NTLM revela que:
- O sinalizador 'Negociar Anônimo' é definido pelo cliente S2008 e
- Nenhum detalhe do usuário está sendo enviado.
No Windows 7 +, a autenticação anônima não é usada e, em vez disso, são usadas as credenciais de identidade do computador. Algumas pesquisas indicam que o uso de credenciais de computador em vez da autenticação NTLM anônima é um novo recurso no Windows 7+ (veja tecnologia) então, se for esse o caso, há alguma maneira de ativar a autenticação anônima no controlador de domínio ou proxy para permitir que a autenticação anônima seja bem-sucedida?
Estou usando um proxy Squid 3.2.8 com winbind e um controlador de domínio do Windows Server 2012 R2.
Responder1
Esses problemas de autenticação no Windows Server 2008 são devido a diferenças na funcionalidade NTLM no Windows 7/Windows Server 2008 R2+.
Para habilitar a autenticação desses sistemas operacionais herdados, três configurações de Política de Grupo devem ser habilitadas e configuradas em Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:
- Segurança de rede: Segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro) - Desmarque "Exigir criptografia de 128 bits"
- Segurança de rede: Segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro) - Desmarque "Exigir criptografia de 128 bits"
- Segurança de rede: permitir que o sistema local use a identidade do computador para NTLM – Habilite esta política
Com essas alterações aplicadas, os sistemas operacionais legados são capazes de autenticar e atravessar o proxy com sucesso.