NTLM в Windows 7 | Windows для системных администраторов

NTLM в Windows 7

Недавно в компании, инфраструктуру которой мне приходится поддерживать, началась миграций рабочих станций пользователей со старушки Widows XP SP3 на Windows 7. Был разработан план миграции, протестирована и проверена работа пользовательских бизнес приложений в среде Windows 7, однако нашлась одна существенная проблема. Дело в том, что для доступа в Интернет в качестве прокси сервера применяется небезызвестный прокси-сервер для Linux Squid. И на сервере Squid настроенная доменная авторизация пользователей, с той целью, чтобы управление доступом в Интернет осуществлялось путем добавления/исключения пользователей в группу Active Directory. Так вот, заковыка заключалась в проблеме NTLM аутентификации Windows 7 на прокси-сервере Squid.

Каждые раз при запуске браузера Internet Explorer 8 появлялось всплывающее окно с просьбой ввести аутентификационные данные пользователя домена (имя и пароль). Однако, несмотря на то, что запрошенные данные вводились и они были корректными, всплывающее окно с требованием авторизоваться появлялось вновь и вновь, т.е. Интернет не работал.

Естественно, я проверил, что в настройках IE 8 установлена опция сквозной аутентификации (Tools->Internet Options->Advanced->Security/Enable Integrated Windows Authentication), и действительно она стояла, значит дело не в этом.

Так что же это могло быть? Побродив по разным Интернет форумам, я нашел описание подобной проблемы: «The problem is the autentificación NTLM of Windows7. It is necessary to create the following key in the registry to solve it» . Т.е. причина этого безобразия в том, что Microsoft полностью отказалась от использования LM и NTLM по умолчанию, все это связано с ужесточенными требованиями по безопасности в Windows 7 / 2008 Server R2. Поэтому и существует проблема с NTLM аутентификацией на Squid в Windows 7.

Решить эту проблему можно двумя методами:

1) Создать в реестре по пути

In HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa новый параметр типа DWORD с именем LmCompatibilityLevel, значение которого нужно задать равным 1.

2) Отредактировать групповую политику. Для чего нужно перейти в ветку Local Security Policy -> Security Settings -> Local Policies -> Security Options , найти там параметр с именем Network security: LAN Manager authentication level‘, установить его равным Set LM
& NTLM
— Use NTLMv2 session if negotiated‘ (значение по умолчанию не определено ‘Not Defined’).

Осталось только перезагрузить компьютер (для политики достаточно выполнить gpupdate /force) и можно наслаждаться нормальной аутентификацией из Windows 7 на прокси-сервере Squid.

Еще записи по теме: Windows 7
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 3

Оставить комментарий
  1. Евгений | 09.10.2012

    А как же безопасность сети при таком решении?

    Ответить
  2. itpro | 11.10.2012

    Безопасность, естественно, немного снижается, но если для вас это так критично, перейдите настройте Squid с аутентификацией и авторизацией в AD через Kerberos или совсем откажитесь от него

    Ответить
  3. Евгений | 11.10.2012

    По второму пути я и пошел, заменил строки с ntlm на:
    auth_param negotiate program c:/squid/libexec/mswin_negotiate_auth.exe
    auth_param negotiate children 5
    Всё остальное править не надо.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00216 sec