NTLM-Proxy-Authentifizierung als lokales System unter Windows Server 2008

4036
Jem Tucker

Ich habe eine Anwendung, die zum Senden von HTTP-Anforderungen über einen Proxy erforderlich ist, der nur die NTLM-Authentifizierung für den lokalen Domänencontroller unterstützt. Ich verwende einen libcurl-SSPI-Build zum Senden von Anforderungen, der unter Windows 7+ als lokales System und Windows Server 2008 als Domänenbenutzer ausgeführt wird.

Wenn ich die Anwendung jedoch als lokaler Systembenutzer auf S2008 ausführen, schlägt die Authentifizierung mit dem Proxy fehl. Die Überprüfung des NTLM-Handshakes zeigt Folgendes:

  • Das Flag "Negotiate Anonymous" wird vom S2008-Client und gesetzt
  • Es werden keine Benutzerdetails gesendet.

Unter Windows 7 + wird anonyme Authentifizierung nicht verwendet, und stattdessen werden die Computeridentitätsnachweise verwendet. Einige Untersuchungen zeigen, dass die Verwendung von Computer-Anmeldeinformationen anstelle der anonymen NTLM-Authentifizierung eine neue Funktion in Windows 7+ ist ( siehe Technet ). Wenn dies der Fall ist, gibt es Möglichkeiten, anonyme Authentifizierung auf dem Domänencontroller oder Proxy zu ermöglichen die anonyme Authentifizierung erfolgreich sein?

Ich verwende einen Squid 3.2.8-Proxy mit Winbind und einem Windows Server 2012 R2-Domänencontroller.

0
Die folgenden Schritte in diesem Artikel haben das Problem behoben: http://windowsitpro.com/blog/8-w2k8-r2-ad-upgrade-tip-ntlm-changes Jem Tucker vor 7 Jahren 0
Sie sollten aus Ihrem Kommentar eine Antwort machen. DavidPostill vor 7 Jahren 1

1 Antwort auf die Frage

0
Jem Tucker

Diese Probleme bei der Authentifizierung unter Windows Server 2008 sind auf Unterschiede in der NTLM-Funktionalität unter Windows 7 / Windows Server 2008 R2 + zurückzuführen.

Um die Authentifizierung dieser älteren Betriebssysteme zu aktivieren, müssen drei Gruppenrichtlinieneinstellungen aktiviert und konfiguriert werden Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options:

  • Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) - Deaktivieren Sie "128-Bit-Verschlüsselung erforderlich".
  • Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) - Deaktivieren Sie "128-Bit-Verschlüsselung erforderlich".
  • Netzwerksicherheit: Lokales System die Verwendung der Computeridentität für NTLM zulassen - Aktivieren Sie diese Richtlinie

Mit diesen Änderungen können die älteren Betriebssysteme den Proxy erfolgreich authentifizieren und durchlaufen.

Verwandte Probleme