ev-Sosyal ağlar-Programınızda Ntlm yetkilendirmesi. Eski bir Windows NTLM kimlik doğrulama hatası, bir kullanıcının anonimliğini kaldırmanıza olanak tanır. Kimlik doğrulama: genel ilkeler

Programınızda Ntlm yetkilendirmesi. Eski bir Windows NTLM kimlik doğrulama hatası, bir kullanıcının anonimliğini kaldırmanıza olanak tanır. Kimlik doğrulama: genel ilkeler

Windows NT soru/cevap. Windows Tümleşik Kimlik Doğrulama ile istemci tarayıcısı, kriptografik iletişim yoluyla kendisini sunucuya karşı doğrular.

Tümleşik Windows Kimlik Doğrulaması, Negotiate paketi aracılığıyla kimlik doğrulama için hem Kerberos v5'i hem de NTLM'yi (NT LAN Manager) destekler. Active Directory ve uygun tarayıcı desteği (Windows 2000 platformunda IE 5 veya üstü) varlığında Kerberos protokolü, aksi takdirde NTLM protokolü kullanılır. Hem Kerberos hem de NTLM'nin bazı sınırlamaları vardır. İlginç bir gerçek, birinin avantajlarının diğerinin zayıf yönlerine karşılık gelmesidir. Kerberos genellikle proxy'lerle çalışır, ancak güvenlik duvarları kadar verimli değildir. NTLM genellikle güvenlik duvarları aracılığıyla çalışır, ancak proxy sunucularıyla oldukça vasat bir şekilde etkileşime girer.

Microsoft Negotiate hakkında birkaç kelime

Microsoft Negotiate, çeşitli güvenlik hizmeti sağlayıcıları arasında arabirim görevi gören bir pakettir. Farklı kimlik doğrulama paketleri arasında seçim yapabilir. IIS, kimlik doğrulama için Negotiate paketini kullanır; bu durumda Kerberos ve NTLM arasında seçim yapar. Bu paket ayrıca gelecek için destek ekler kimlik doğrulama paketleri Bu, Müzakere'nin avantajıdır. Varsayılan olarak Negotiate, en güvenli protokol olarak Kerberos'u seçer. Herhangi bir nedenle Kerberos kullanılamıyorsa, Anlaşma NTLM'yi kullanmaya geri döner.

NTLM kimlik doğrulaması

NTLM, eski LM (LAN Manager) kimlik doğrulama protokolünün genişletilmiş bir sürümüdür. NTLM, kullanıcının parolasını ağ üzerinden açık metin olarak iletmeden sunucu ve istemci arasındaki sorular/cevaplar aracılığıyla çalışır. İstemci, şifreli bir karma göndererek kullanıcının parolasını bildiğini doğrulamalıdır.

NTLM aşağıdaki gibi çalışır.

  1. Kullanıcı, istemci bilgisayarda oturum açtığında kullanıcı adını, parolayı ve etki alanı adını belirtir.
  2. İstemci bir karma oluşturur verilen şifre ve orijinali kaldırır.
  3. İstemci, kullanıcı adını açık metin olarak sunucuya gönderir.
  4. Sunucu, istemciye 16 bitlik bir rastgele veri yığını gönderir.
  5. İstemci bu parçayı ve ayrıca kullanıcının parola karmasını şifreler ve bunları sunucuya iletir.
  6. Sunucu, kullanıcı adını, rastgele bir veri yığınını ve istemcinin etki alanı denetleyicisine yanıtını gönderir.
  7. Etki alanı denetleyicisi, kullanıcının parolasının kendi karması ile birlikte bir rasgele veri yığınını şifreler ve ardından bunu sunucu tarafından gönderilen öğelerle karşılaştırır.
  8. Değerler eşleşirse, etki alanı denetleyicisi sunucuya kimlik doğrulamanın başarılı olduğunu bildirir.
  9. Değerler veya kullanıcı adı eşleşmezse, etki alanı denetleyicisi, istemciye bir mesaj gönderen sunucuyu bilgilendirir. Bundan sonra, istemci tarayıcısı kullanıcıdan kimlik doğrulama verileri.

Kerberos Kimlik Doğrulaması

Eski Yunan mitolojisinde Kerberos, yeraltı dünyasını insanlardan koruyan muhteşem üç başlı bir köpektir. Şu anda Kerberos, kaynaklara erişmek için güvenli bir kimlik doğrulama protokolünü ifade eder. Kerberos, istemci ve sunucunun şifreleme ve şifre çözme için aynı anahtarı kullandığı gizli anahtar kimlik doğrulamasına dayanır. İstemci, mesajı şifreleyerek anahtarın bilgisini kanıtlar ve sunucu, mesajın şifresini çözerek anahtarın bilgisini kanıtlar. Sunucu daha sonra mesajın bir kısmını alır, şifreler ve istemciye gönderir. İletinin bütünlüğünü korurken, kimlik doğrulama sonucu olumlu olacaktır.

Kerberos, Anahtar Dağıtım Merkezi (KDC) adı verilen merkezi bir sunucuya güvenir ( Anahtar dağıtım merkezi), gerekli tüm anahtarları sağlar. KDC, TGT (Ticket-Granting Tickets) adı verilen biletleri düzenler ve bunları sunucudaki bir kaynağa erişim talep eden istemcilerin kullanımına sunar.

Aşağıda, bir müşterinin ilk TGT'yi alma süreci gösterilmektedir.

  1. Kullanıcı, bir kullanıcı adı ve parola ile istemci bilgisayarda oturum açar.
  2. İstemci parolayı şifreler ve kaydeder.
  3. İstemci, KDC'ye TGT hizmeti için kimlik bilgilerinin yanı sıra kullanıcının şifreli parolasını soran bir mesaj gönderir.
  4. KDC, kimliklerini doğrulamak için şifrelenmiş parolayı ana kopyasıyla karşılaştırır. Ayrıca müşterinin talebe iliştirdiği zaman damgasını da kontrol ederek, damgalanan zamanın KDC'nin kendi zamanından beş dakika sonra olduğunu teyit eder.
  5. Tam bir eşleşme varsa, KDC talep edileni oluşturur. kimlik doğrulama verileriüreterek bir TGT hizmeti için oturum anahtarı oturum açın ve kullanıcı anahtarında şifreleyin.
  6. KDC başka bir yığın oluşturur kimlik doğrulama verilerişifreleme yoluyla oturum anahtarı kullanıcı girişi ve kendi ana anahtarıyla TGT.
  7. KDC her iki parçayı da gönderir kimlik doğrulama verileri Müşteriye.
  8. İstemci, ilk parçadan oturum açma anahtarının şifresini çözer kimlik doğrulama verilerişifreli bir parola kullanır ve bu oturum açma anahtarını biletinin önbelleğinde saklar.
  9. İstemci ayrıca TGT'yi bilet önbelleğinde saklar.

İstemcinin artık bir TGT'si var ve bunu kaynaklara erişmek için bilet almak için kullanabilir. Bu işler böyle yürür.

  1. İstemci, sunucudaki kaynaklara erişmek için KDC'den bir bilet ister. İstemci, oturum oturum açma anahtarında şifrelenmiş istenen kaynak adı ve kimlik doğrulama mesajıyla birlikte TGT'sini KDC'ye sunar.

Windows 7 işletim sistemi, yeni nesil masaüstü güvenlik teknolojilerini uygular ve bunlardan biri de kimlik doğrulama ve yetkilendirmedir. Teknolojilerden bazıları, genel Windows altyapısını güçlendirmeyi amaçlarken, geri kalanı sistem ve kullanıcı verilerini yönetmeye yardımcı olmayı amaçlar.

Windows 7'de örneğin dosya ve klasörleri paylaşmak için etkili güvenlik önlemleri yüklemeden önce, güvenlik yapılandırması sırasında kullanılan kullanıcı hesabı türlerini ve nasıl yapıldığını anlamak önemlidir. ağ protokolü Kullanıcıların kimliklerini doğrular ve sistemde oturum açmaları için yetki verir.

Kimlik doğrulama, bir bilgisayar sistemine veya ek sistem kaynaklarına erişirken bir kullanıcının kimliğini doğrulamak için kullanılan işlemdir. Özel ve kamuda bilgisayar ağları(İnternet dahil) çoğu zaman, kimlik doğrulama, kullanıcının kimlik bilgilerinin kontrol edilmesini içerir; yani kullanıcı adı ve şifre. Ancak ödeme işleme gibi kritik işlem türleri için kullanıcı adı ve şifre doğrulaması yeterli değildir çünkü şifreler çalınabilir veya hacklenebilir. Bu nedenle, internet işletmelerinin büyük bir kısmı ve diğer birçok işlem artık bir sertifika yetkilisi tarafından verilen ve doğrulanan dijital sertifikaları kullanıyor.

Kimlik doğrulama, mantıksal olarak yetkilendirmeden önce gelir. Yetkilendirme, sistemin, sertifikalı bir kullanıcının korumalı sistem kaynaklarına erişip erişemeyeceğini ve bunları güncelleyip güncelleyemeyeceğini belirlemesine olanak tanır. Yetkilendirme, klasörlere ve dosyalara doğrudan erişim, erişim saatleri, izin verilen depolama alanının boyutu vb. ayarlamanıza olanak tanır.

  • Sistem kaynaklarında yapılan değişikliklere başlangıçta sistem yöneticisi tarafından izin verilir.
  • Bir kullanıcı bir sistem kaynağına erişmeye veya onu güncellemeye çalıştığında, eylem izni sistem veya uygulama tarafından değerlendirilir.

İkinci seçenek, kullanıcının kimlik doğrulama veya yetkilendirme olmadan erişim sağlamasına izin verir. Kimliği doğrulanmamış anonim kullanıcılara erişim sağlamak istediğinizde kullanılır. Bu erişim genellikle çok sınırlıdır.

Yetkilendirme ve kimlik doğrulama süreci.

Ağdaki dosyalara erişmek için kullanıcıların kimliklerini doğrulamak için kimlik doğrulaması yapması gerekir. Bu, ağ oturum açma işlemi sırasında yapılır. Windows 7 işletim sistemi, ağda oturum açmak için aşağıdaki kimlik doğrulama yöntemlerine sahiptir:

  • Kerberos sürüm 5: İşletim sistemleri çalıştıran istemcilerin ve sunucuların kimliğini doğrulamak için ana yöntem Microsoft Windows... Kullanıcı hesaplarının ve bilgisayar hesaplarının kimliğini doğrulamak için kullanılır.
  • Windows NT LAN Manager (NTLM): Windows 2000'den daha eski işletim sistemleri ve bazı uygulamalarla geriye dönük uyumluluk için kullanılır. Kerberos sürüm 5'ten daha az esnek, verimli ve güvenlidir.
  • Sertifika Eşleme: Genellikle bir akıllı kartla bağlantılı olarak oturum açma kimlik doğrulaması için kullanılır. Akıllı kartta yazan sertifika, kullanıcı hesabıyla ilişkilendirilir. Akıllı kartları okumak ve kullanıcının kimliğini doğrulamak için bir akıllı kart okuyucu kullanılır.

Windows 7'deki yeni kimlik doğrulama özellikleri.

Oturum açma ve kullanıcı kimlik doğrulama süreçleriyle ilgili bir dizi iyileştirme yeniden eklendi. Windows Vista®. Bu geliştirmeler, aşağıdakilerin sağlanmasına yardımcı olmak için temel kimlik doğrulama işlevi setini artırdı. daha iyi güvenlik ve yönetilebilirlik. Windows 7'de Microsoft, Windows Vista ile başlattığı geliştirmelere aşağıdaki yeni kimlik doğrulama özellikleriyle devam ediyor:

  • Akıllı kartlar
  • biyometri
  • Kişiliğin internete entegrasyonu.

Akıllı kartlar.

Akıllı kartların kullanımı en yaygın kimlik doğrulama yöntemidir. Kuruluşları ve kullanıcıları akıllı kartları kullanmaya teşvik etmek için Windows 7, bunların kullanımını ve dağıtımını kolaylaştıran yeni özellikler sunar. Bu yeni yetenekler, akıllı kartların aşağıdakiler de dahil olmak üzere çeşitli görevler için kullanılmasını sağlar:

  • Tak ve Çalıştır Akıllı Kartlar
  • Kişisel Kimlik Doğrulama (PIV), ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) standardı
  • Kerberos akıllı kart oturum açma desteği.
  • Bitlocker sürücü şifreleme
  • Belgeler ve E-posta
  • İş uygulamaları ile kullanın.

Biyometri.

Biyometri, sistemlere, hizmetlere ve kaynaklara kolay erişim sağlayan, giderek daha popüler hale gelen bir teknolojidir. Biyometri, bir kişiyi açık bir şekilde tanımlamak için onun değişmez fiziksel özelliklerinin ölçümünü kullanır. En yaygın kullanılan biyometrik özelliklerden biri parmak izidir.

Şimdiye kadar, Windows'ta biyometrik cihazlar için standart bir destek yoktu. Bu sorunu çözmek için Windows 7, Windows Biyometrik Çerçevesini (WBF) sunar. WBF, biyometrik cihazları kullanarak parmak izi almayı destekleyen yeni bir bileşen seti sağlar. Bu bileşenler kullanıcı güvenliğini arttırır.

Windows Biyometrik Çerçeve, kullanıcıların ve yöneticilerin, üzerinde biyometrik cihazları kurmasını ve yönetmesini kolaylaştırır. yerel bilgisayar veya etki alanında.

Kişiliğin internete entegrasyonu.

Hesap yönetimi bir güvenlik stratejisidir. Grup İlkesi, belirli bilgisayarların veya çevrimiçi olarak yönettiğiniz tüm bilgisayarların kimlik doğrulamasına izin vermek veya bunu reddetmek için kullanılır.

Çevrimiçi tanımlamayı entegre ederek grup ilkelerini yönetebilirsiniz. "Ağ Güvenliği: Bu bilgisayarın PKU2U kimlik doğrulaması istenirken çevrimiçi kimliği kullanmasına izin ver" olarak yapılandırılan bir ilke, çevrimiçi kimliğin PKU2U protokolünü kullanarak bu bilgisayarın kimliğini doğrulama yeteneğini kontrol eder. Bu ilke ayarı, etki alanı veya yerel kullanıcı hesaplarının bu bilgisayarda oturum açma yeteneğini etkilemez.

ntlm kimlik doğrulamasını başarıyla yapılandırdım. Maalesef yapılandırma, yarı temel yetkilendirmeye izin verir. Örneğin, kaplumbağa svn1.8.4 (ayrıcalıklı erişim lib'i ile), chrome veya IE web tarayıcılarını kullandığımda, hiçbir şey sormadan NTLM'den başarıyla çıkıyorlar. Günlük dosyasında kimliği doğrulanmış kullanıcılar görüyorum. Ne yazık ki, örneğin yapılandırılmamış FireFox veya Maxthon kullandığımda, bu tarayıcı benden kimlik bilgileri istiyor. Buna ihtiyacım yok çünkü bilgisayarsız bir bilgisayardan erişmeye çalıştığımda da aynı durum oluyor.

kullanırım Windows Server etki alanı denetleyicisi olarak, sistem istemcisi olarak windows7 / 8, web sunucusu olarak linux / debian. Kerberos'u linux do windows AD'den, yerel NTLM kimlik doğrulaması için winbind'den ve apache 2.2 serisinden yapılandırdım. Apache tutkal kimlik doğrulaması için mod_auth_ntlm_winbind.so apache2 modülünü ve winbind iletişimini sürdürmek için config / ntlm bağlamında kullanıyorum. Bu doğru çalışıyor, apache için örnek:

ana www dizini için #defaults Seçenekler Dizinler FollowSymLinks MultiViews AllowOverride Yok #değiştirildi, herhangi bir ip erişimini engelle, gelecekte belirtilen ana bilgisayarlardan authless erişim ekle Sipariş reddet, hepsinden reddet izin ver #Winbind helper ile NTLM auth için #allow from IP / mask #ayarları AuthName "NTLM Authentication" NTLMAuthHelper üzerinde NTLMAuth "/ usr / bin / ntlm_auth --domain = MY.WINDOWS.DOMAIN --helper-protocol = squid-2.5-ntlmssp" NTLMBasicAuthoritative on AuthType NTLM üzerinde geçerli kullanıcı gerektirir # debeçünkü herhangi birini tatmin eder

Apache authtype değişkenini kullanarak yeniden yönlendirme yapabileceğimi ve ardından yeniden yazmanın üzerindeki yapılandırmaya ekleyebileceğimi umuyordum:

RewriteRule ^ /cgi-bin/TestAuth.pl?DollarOne=1&AUTH_TYPE=%(AUTH_TYPE)&REMOTE_USER=%(REMOTE_USER) üzerinde RewriteEngine

Ve cgi içeriği olarak örnek bir TestAuth.pl betiği:

#! / usr / bin / perl kullanımı katı; uyarıları kullanın; Verileri kullan :: Damper; #baskı sistemi değişkenlerini yazdırmanın kolay yolu "İçerik türü: metin / düz \ r \ n"; #respectint HTML protokolü yazdır "\ r \ n"; print "Çevre şunları içerir: \ r \ n"; "x \ r \ n" yazdır; Print Data :: Damper-> Dump ([\ @ ARGV, \% ENV],); #tüm komut dosyası argümanlarını ve işlem değişkenlerini yazdırır

Ne yazık ki, her durumda, Windows tabanlı auth ntlm kullanarak ve kimlik bilgilerini sorarak, her zaman AUTH_TYPE'nin her zaman NTLM olduğunu görüyorum. O zaman tarayıcının ne yaptığını bilmenin bir yolu yok. Bu durumda, etki alanındaki istemcilerden erişebilirim.

ntlm hepler strace sarmayı denedim. Maalesef, bir karınca FF isteği tarafından tetiklenen başarı/başarısızlık ve IE erişimini birleştiren dört yolla dökümümde önemli bir şey görmüyorum. Aynı durumun ntlm yardımcısı kimlik doğrulaması yaptığında da ortaya çıktığını düşünüyorum. Yerel sunucu samba, ama bunu hiç test etmedim.

Şimdi birden çok auth, Basic ve NTLM türüyle bazı yapılandırmalar yapmaya çalışıyorum. Önce Temel yapmaya çalışıyorum ve her zaman başarısız olduğunda bunu filtreleyip bilgi sayfasına yönlendiriyorum. Ne yazık ki, şu anda NTLM karışımı ile başarı yok: (NTLM her zaman önce yapılır.

O zaman, kimlik bilgilerinin nasıl önleneceği hakkında bir fikri olan var mı? Davet edilen istemcilerden erişimi nasıl iptal edebilirim? İstemden veya istemci api penceresinden kimlik bilgileri nasıl tanınır?

0

2 yanıt

Şu anda bu sorunu NTLM'yi Kerberos kimlik doğrulamasına geçirerek çözdüm. Winbind'e hazır olanların tümü doğrudan kerberos altında çalışır çünkü daha önce kerberos'u AD sunucu iletişimi ile winbind için yapılandırdım. Kerberos açık kaynak olduğundan, geliştiriciler kullanıcının uç noktasında farklı alt kimlikler öngördü. apache2.2 kerberos modülünde çok kullanışlı bir bayrak:

KrbMethodKrbMethodK5Passwd üzerinde pazarlık yapın

İstediğim bu. Tarayıcı, "Kullanıcı kimlik bilgilerini açma" özniteliğine sahip bir krb çerçevesi alır, ardından istemci almaz. Ancak eğer öyleyse (bir tür uyumsuzluk?), Apache sunucu modülü bunu algılamalı ve kimlik doğrulamasını iptal etmelidir.

Microsoft'tan NTLM kullanıldığında, protokol hatalı olduğu için bu mümkün değildir. 201 web sitesi kodunun döndürülmesinden sonraki ilk NTLM çerçevesi, "kullanıcıdan kimlik bilgileri isteme" özniteliğini eklemenin bir yolu yoktur. Ardından, açılır pencere veya işletim sistemi oturum anahtarı işaretinden sonra bu çerçeveyi filtreleyebilirim. Bu tarayıcı, işletim sistemi oturum anahtarı mevcut olmadığında her zaman bir açılır pencere gösterir.

Sonunda, bu başka bir şans. Kullanıcının kimlik bilgilerini girmesi biraz zaman alır veya kimlik bilgileri tarayıcıda depolandığında kabul eder. Yetkilendirme çerçevesini tarayıcıya gönderme ile çerçeveyi istemciden oluşturma arasındaki süreyi sayabilirim. Zaman çok uzun olduğunda, iptal edebilirim. Ne yazık ki, bu meşgul bilgisayarlarda veya ağlarda yanlış yetkilendirmelere neden olabilir.

İleride her iki yöntemi de kullanacağım :) apach winbind auth modülü ile her şey yapılabilirse eğlenceli olur. Daha sonra tüm konfigürasyon, kerberos auth ile aynı şekilde apache altında kapsüllenebilir.

İlginç araştırmalarınız ve yardımlarınız için hepinize teşekkür ederim :)

NTLM kimlik doğrulamasının kullanılması, kimlik bilgisi içermeyen yetkilendirmeyi garanti etmez. Geçerli kimlik bilgileriniz varsa Windows verileri sunucunun tanıyabileceği bir parola istemi almazsınız.

Kullanıcının geçerli eksik NTLM kimlik bilgileri yoksa, bunları sağlaması istenir. Bu, "temel" kimlik doğrulamaya geri dönmenin bir yolu değildir.

Ne yazık ki, kullanıcının kimlik bilgilerini sağlayıp sağlamadığını veya sistemden geçip geçmediğini belirlemek mümkün değildir.

belki sor yeni soru kullanıcılarınızın deneyimlemesini istediğiniz şey hakkında (yani dahili ve harici kullanıcılar için farklı siteler) ve birileri farklı bir şekilde yardımcı olabilir.

Kimlik doğrulama, her kullanıcı, bilgisayar ve hizmet hesabı için vazgeçilmez bir prosedürdür. Windows girişleri, ancak mekanizması çalışılmamıştır sistem yöneticileri iyice. Herkes bir bilgisayara kaydolmak için doğru şifreyi belirtmeniz gerektiğini bilir, ancak bundan sonra ne olacağını kaç kişi biliyor? Windows Kimlik Doğrulaması ve ilgili protokolleri, bir kullanıcı, bilgisayar veya hizmet yerel olarak veya bir etki alanı denetleyicisinde (DC) her oturum açtığında çağrılır. Bu makale, Windows kimlik doğrulamasının temel ilkelerine ve ardından ilgili protokollere odaklanacaktır. Son olarak, bir Windows ağında kimlik doğrulama prosedürünün güvenilirliğini artırmak için kısa öneriler vardır.

Kimlik doğrulama: genel ilkeler

Kimlik doğrulama, herhangi bir bileşenin bileşenlerinden biridir. bilgisayar sistemi giriş kontrolu. Şekil 1'de gösterildiği gibi, erişim kontrol sistemleri tanımlama, kimlik doğrulama, yetkilendirme ve raporlama sağlar.

Kimlik Kimlik doğrulama işlemi, paylaşılan dizin hizmetindeki bir güvenlik nesnesini (örneğin, kullanıcı, grup, bilgisayar, hizmet hesabı) benzersiz şekilde tanımlayan bir dizi veri kullanır. Active Directory (AD) gibi bir dizin hizmeti, nesnelerin benzersiz bir şekilde tanımlanmasına izin verir; tıpkı DNS gibi, iki kişinin aynı adrese sahip olmamasını sağlar E-posta... Windows dahili olarak SID'leri, genel olarak benzersiz tanımlayıcıları (GUID'ler) ve diğer benzersiz etiketleri kullanır. Çoğu durumda, tanımlama için benzersiz bir ad girmek yeterlidir. hesap Rgrimes gibi. V büyük orman AD'nin tam kullanıcı asıl adlarını (UPN'ler) kullanması gerekir, örneğin [e-posta korumalı] Akıllı kartları kullanırken, güvenlik sorumlusu dijital sertifikalarını veya anahtarlarını sunabilir.

Kimlik doğrulama veya kimlik doğrulama. Bir güvenlik konusu bir klavyeden girdikten veya kimlik için gerekli bilgileri (örneğin, bir kullanıcı adı, bir güvenlik belirteci) başka bir şekilde sağladıktan sonra, klavyeden girmeli veya kimlik doğrulama için özel bilgiler (örneğin bir şifre ve PIN) sağlamalıdır. Windows'ta, güvenlik sorumlusu bu bilgiyi oturum açma ekranına aşağıdakileri kullanarak girer: Microsoft programları Grafik Tanımlama ve Kimlik Doğrulama DLL'si (msgina.dll) ve Winlogon.exe. Kimlik doğrulama protokolü ve sistem mekanizması, gönderilen bilgileri şuraya kodlar: masaüstü bilgisayar ve bir kimlik doğrulama isteği gönderin. Windows Kimlik Doğrulama Hizmeti, SAM veya AD veritabanı olabilir. SAM veritabanı, Windows NT 4.0 etki alanı denetleyicilerinde yerel kaydı ve kaydı yönetir. AD, bunun Windows 2000 veya sonraki etki alanlarındaki istekleri doğrular işletim sistemi... Bir kimlik doğrulama protokolü (örneğin LAN Manager, NT LAN Manager, NTLM, NTLMv2, Kerberos), oturum açma ekranı ile kimlik doğrulama hizmeti arasında kimlik doğrulama isteklerini ve sonraki işlemleri taşımak için kullanılır. Aşağıda, her bir kimlik doğrulama protokolü ayrı ayrı tartışılacaktır.

yetki Kimlik doğrulama hizmeti, tanımlayıcı ve "gizli" kimlik doğrulama verilerinin birleşimini doğrularsa, güvenlik sorumlusunun kimliği başarıyla doğrulanır. Sistem daha sonra güvenlik sorumlusunun (yani kullanıcı) grup üyeliği hakkında bilgi toplar. Normal üyelik atama prosedürlerinin bir sonucu olarak, bir kullanıcının yerel, yerel, etki alanı, küresel ve evrensel olmak üzere birkaç iyi tanımlanmış gruba ait olması alışılmadık bir durum değildir. Sistem, yerel grupları yerel SAM'a karşı denetler ve kullanıcının ev etki alanındaki DC'lerdeki yerel ve küresel grupları ve ayrıca Genel Kataloğu içeren DC'deki evrensel grupları denetler. Doğrudan veya dolaylı olarak sistem, güvenlik izinleri hakkında bilgi almak için tüm grup üyelik bilgilerini toplar.

Kimliği doğrulandıktan sonra sistem, erişim belirteci adı verilen bir nesnede hesap SID'lerini ve grup üyeliklerini toplar. Yeni güvenlik izinlerinin etkinleşmesi için kullanıcının oturumu kapatması ve yeniden oturum açması gerekebilir. Bir kullanıcının NTFS izinleriyle korunan bir nesneye (örneğin, bir dosya, klasör, yazıcı, kayıt defteri anahtarı) erişmesi gerekiyorsa, kullanıcı adına hareket eden bir işlem (örneğin, Windows Gezgini) erişim belirtecini sağlar. Her NTFS nesnesi, temelde tanıdık NTFS izinleri olan (örneğin, Okumaya İzin Ver, Yazmaya İzin Ver) bir erişim denetimi girdileri (ACE'ler) listesine sahiptir. Kullanıcılara ve gruplara atanan ACE'ler kümesi, bu nesne için erişim kontrol listesini (ACL) oluşturur. Özellikle, nesnenin ACL'si, Windows Gezgini'nde görüntülenebilen güvenlik izinleriyle temsil edilir.

Kullanıcının ilişkili olduğu hesabı ve grupları içeren bir erişim belirteci, kullanıcının etkin izinlerini belirler. Yetkilendirme süreci, erişim belirtecinin nesnenin ACL'si ile karşılaştırılmasına dayalı olarak belirli bir nesneye erişime izin verilmesini veya erişimin reddedilmesini içerir. Yetkilendirme, Windows Güvenlik Referans İzleyicisi tarafından sağlanır (Şekil 1). Şekil 1'de gösterilen örnekte, kullanıcının Okuma, Yazma ve Değiştirme izinleri vardır. Ancak, kullanıcının ait olduğu Herkes grubu Değiştirme iznine sahip değildir. Diğer grupların üyelerinin Okuma ve Değiştirme izinleri vardır, ancak Herkes grubunun Reddetme izni, Değiştirme iznini geçersiz kılar. Nesne ayrıca HR grubuna Tam Denetim iznini reddeden ACL'lere sahiptir, ancak kullanıcı o gruba ait değildir. Böylece, kullanıcının nesneye göre etkin izinleri ekran 2- Oku ve yaz.

Muhasebe Windows denetim modu etkinleştirilirse, sistem kimlik doğrulama olayını Güvenlik günlüğünde depolar ve bu, erişim kontrol sisteminin son bileşenidir - raporlama. İlk kayıt ve sonraki yetkilendirmenin karmaşık olaylarının çoğu birkaç saniye içinde gerçekleşir ve kullanıcıdan gizlenir. Tüm karmaşık işlemler, kimlik doğrulama protokolüne atanır.

Protokol hedefleri

Bir kimlik doğrulama protokolü en az iki görevi gerçekleştirmelidir. İlk olarak, işlemleri talep edenden kimlik doğrulama veritabanına ve ilgili kaynağı barındıran diğer herhangi bir bilgisayara güvenli bir şekilde aktarmalıdır. İkincisi, parolayı veya belirteci güvenli ve güvenli bir şekilde saklaması gerekir. İkincisi, şifre kırıcılar için özellikle ilgi çekicidir. Kimlik doğrulama protokolü, kimlik doğrulama veritabanına (yani SAM veya AD) geçiş sırasında kullanıcı tarafından girilen bilgileri korumalıdır. Bunu yapmak için protokol işlemi imzalar, gizler veya şifreler. Ayrıca, bir saldırganın gelecekte kimlik bilgilerini kullanmasını önlemek için zaman damgalıdır. Kullanıcının parolasının veritabanından hemen alınmasını önlemek için, protokolün parolaların kimlik doğrulama veritabanında gizlenmesini sağlaması gerekir.

On yıldan fazla bir süredir, kimlik doğrulama protokolleri, esas olarak, şifreleri kimlik doğrulama veritabanında gizli bir biçimde (genellikle karma) depolayarak ve şifrelerin talep eden ile kimlik doğrulama veritabanı arasında geçmesine tamamen izin vermeyerek güvenlik sağlamıştır. düz metin(gizli bir biçimde bile). İstek-yanıt süreci şöyle görünür:

  1. Bilgisayar, kullanıcıdan kimlik ve kimlik doğrulama verilerini alır ve uygun sunucuda kimlik doğrulama ister.
  2. Kimlik doğrulama sunucusu rasgele bir rastgele değer (bir sorgulama olarak adlandırılır) oluşturur ve bunu talep edene gönderir.
  3. İstekte bulunan kişi, isteği alır ve üzerinde matematiksel işlemleri ve parolanın gizli biçimini gerçekleştirir ve ardından sonucu (yanıt olarak adlandırılır) kimlik doğrulama sunucusuna iletir.
  4. Kimlik doğrulama sunucusu, aynı zamanda, üzerinde kullanılana benzer bir yöntemle isteğin matematiksel manipülasyonunu da gerçekleştirir. iş istasyonu, ve sonucu yanıtla karşılaştırır. Sonuçlar eşleşirse, istekte bulunanın kimliğinin başarıyla doğrulandığı kabul edilir.

Kimlik doğrulama protokolleri bir sorgulama-yanıt süreci kullanır, bu nedenle parola asla ağ üzerinden iletilmez.

Yerel ve alan kaydı

Bir kullanıcıyı kaydederken, ilklerden biri Windows görevleri- prosedürün yalnızca yerel makine için mi yoksa bir etki alanı hesabı için mi geçerli olduğunu belirleyin. Yerel hesap olarak oturum açan kullanıcılar, yalnızca bilgisayarlarının kaynaklarına ve yalnızca kullanıcının hesap bilgileri yerel SAM veritabanında yer alıyorsa erişebilir. Kullanıcıların kaynaklara erişmesi gerekiyorsa uzak bilgisayar etki alanı kimlik doğrulaması olmadan, hesapları erişilebilir her bilgisayarın yerel SAM veritabanında çoğaltılmalıdır. Katılan her bilgisayardaki hesaplar eşitlenmelidir (tüm makinelerde aynı oturum açma adları, parolalar ve kimlik bilgilerinin sona erme tarihleri). Aksi takdirde, durum çok daha karmaşık hale gelir. Yalnızca yerel kayıt prosedürlerini kullanan orta ölçekli eşler arası (P2P) ağları sürdürmek zordur.

Farklı bilgisayarlarda birden çok kullanıcı hesabını senkronize etmek için DC'ler gerekli değildir. Etki alanı kimlik doğrulamasıyla, etki alanında kayıtlı bilgisayarlar, kimlik doğrulaması istendiğinde kullanıcının etki alanı hesabının kimlik bilgilerini sunmak için DC'leri arar. Bu nedenle, uzak bir kullanıcı bir makinedeki yerel bir kaynağa erişmeye çalışırsa, bu makine DC'den istekte bulunan kullanıcının kimliğini doğrulamasını ister. Etki alanı kullanıcı hesapları yalnızca bir DC'de bulunur ve yalnızca bir kez oluşturulur. Etki alanındaki bir hesabın kimliğini doğrulaması gereken herhangi bir üye bilgisayar, istediği zaman DC'lerle iletişim kurabilir. Kimlik bilgileri ve hesap yönetimi yalnızca DC'de tek bir yerde ele alındığından, oturum açma bilgilerini, parolaları ve bunların sona erme tarihlerini senkronize etme sorunu yoktur. Kayıt türünden (yerel veya etki alanı) bağımsız olarak Windows, kullanıcının isteğinin kimliğini doğrulamalıdır.

Windows Kimlik Doğrulama Protokolleri

Yukarıda belirtildiği gibi, Windows'ta dört ana kimlik doğrulama protokolü vardır: LAN Manager, NTLM, NTLMv2 ve Kerberos. LAN Manager, DOS dönemine kadar uzanır ve Windows'un ilk sürümleriyle kullanılmaya devam eder. NTLM, NT ile birlikte piyasaya sürüldü. NTLMv2, NT Server 4.0 Service Pack 4 (SP4) için yeniydi ve Windows 2000, Kerberos'u tanıttı. Varsayılan olarak, Windows 2000 ve daha yeni işletim sistemlerine sahip tüm bilgisayarlar dört kimlik doğrulama protokolünün tamamıyla uyumludur. Bu sistemlere uygun komutlar göndererek, diğer iş istasyonları ve sunucular, kimlik doğrulama talebini işlemek için protokolü seçebilir. Windows sistemleri 9x ve sonrası tam set Yazılım düzeltmeleri LM, NTLM ve NTLMv2 ile uyumludur. Microsoft platformunda Kerberos, yalnızca Windows 2000 (veya üstü) istemcileri tarafından Windows 2000 (veya üstü) etki alanlarına erişilirken kullanılabilir. Windows 2000 veya üzeri bilgisayar Yeni sürüm işletim sisteminde Kerberos ve en az bir başka kimlik doğrulama protokolü olmalıdır.

Güvenlik araştırması, eski protokollerin (LM ve NTLM) gizlice dinleme ve parola tahmin etme saldırılarına karşı savunmasız olduğunu göstermiştir.

LAN Yöneticisi

IBM, LAN Manager protokolünü erkenden geliştirdi Windows sürümleri ve Windows ağları... Tüm Microsoft kimlik doğrulama protokolleri gibi, LAN Manager da kimlik doğrulama işlemi sırasında gönderen ve alıcı tarafından saklanan ve kullanılan bir parola karması (LM karması) oluşturur. LAN Manager, parolanın tüm harflerini büyük harfe çevirerek, parolayı 7 karakterlik iki yarıya bölerek ve ardından şifreleyerek LM karmalarını oluşturur. Aşağıda, LM karması, yukarıda açıklanan istek-yanıt sürecine benzer şekilde, birkaç ardışık işlemde kullanılır.

LAN Manager eskiden oldukça kabul edilebilirken, şimdi çok güvenilmez olarak kabul ediliyor. Kullanarak özel aletler LAN Manager karma parolaları sadece birkaç saniye içinde düz metne dönüştürülebilir. LM karmalarının temel kusurları vardır ve ayrıca bir dizi güvenlik açığı vardır:

  • parolalar 128 ASCII karakterle sınırlandırılabilir;
  • şifre uzunluğu 14 karakteri geçmez;
  • şifre 14'ten az karakter içeriyorsa, eksik karakterler, şifrenin uzunluğunu doğru bir şekilde belirlemenizi sağlayan, kolayca tahmin edilen bir karma formla değiştirilir;
  • LAN Manager, önbelleğe almadan önce paroladaki tüm alfabetik karakterleri büyük harfe dönüştürür.

LAN Manager neden hala kullanım dışı değil? Geriye dönük uyumluluk için, Windows Server 2003 dahil tüm Windows bilgisayarlarında varsayılan olarak etkindir. En son kimlik doğrulama veritabanlarında Windows zayıf LM karması, bir LAN Manager işleminin gerçekleştirilmesi gerektiğinde daha güvenilir olanlarla birlikte saklanır. Kuruluşunuz LAN Manager kimlik doğrulaması gerektiren diğer uygulamaları kullanmıyorsa, LAN Manager'ı devre dışı bırakabilirsiniz (ve yapmalısınız).

NTLM

NT'nin gelişiyle birlikte Microsoft, daha güvenli NTLM kimlik doğrulama protokolünü tasarladı ve devreye aldı. NTLM, daha güçlü bir parola karması (NTLM karması) oluşturan daha verimli bir kimlik doğrulama algoritması kullanır. NTLM parolası en fazla 128 karakter uzunluğunda olabilir. Yalnızca ASCII karakterleriyle sınırlı olan LAN Manager karma işleminin aksine, NTLM, parolaların karmaşıklığını artıran tam Unicode karakter kümesiyle uyumludur. NTLM karma değeri 128. karakterde kesilir, 16 bitlik bir Unicode değerine dönüştürülür, MD4 dağıtım işlevi tarafından işlenir ve 32 karakterlik bir onaltılık dizede saklanır. NTLM karmasını sorgulama-yanıt işlemlerinde kullanarak, NTLM kimlik doğrulama sırası, LAN Manager prosedüründen çok daha karmaşıktır.

NTLMv2

Sonuç olarak, NTLM'nin savunmasız olduğu ortaya çıktı ve Microsoft uzmanları, şimdi tercih edilen protokol Kerberos olmasına rağmen hala oldukça güvenilir kabul edilen NTLMv2'yi hazırladı. NTLMv2, yerel kayıt için ve diğer bazı durumlarda hala yaygın olarak kullanılmaktadır. NTLMv2, NTLM'ye benzer, ancak NTLMv2 parola karması, HMAC-MD5 ileti kimlik doğrulamasını kullanır ve bir saldırganın kimlik bilgilerini kaydettiği ve ardından bunları kullandığı saldırıları önlemek için sorgulama-yanıt dizisi zaman damgalıdır.

Genel olarak, NTLMv2, 128 bitlik bir şifreleme anahtarı kullandığından, kaba kuvvet saldırılarına karşı NTLM'den daha dirençlidir. NTLMv2 parola karmalarını ortaya çıkarabilen yalnızca iki bilinen parola kırma programı vardır (bunlardan biri Symantec'in LC5'idir).

Kerberos

Microsoft, Kerberos'u Windows 2000 ve sonraki AD etki alanları için varsayılan etki alanı kimlik doğrulama protokolü olarak benimsemiştir. Kerberos, yabancı etki alanlarıyla (UNIX ve Linux'ta bölge adı verilen) etkileşime uygun açık bir standarttır. AD etki alanlarındaki her DC, bir Kerberos Dağıtım Sunucusu (KDC) rolünü oynar ve kimlik doğrulama sürecine katılabilir. Güvenlik, aşağıdaki Kerberos özellikleriyle artırılmıştır:

  • istemci ve sunucu arasında karşılıklı kimlik doğrulama;
  • güçlü parola koruması, çünkü Windows parolayı her kimlik doğrulama olayında değil, yalnızca ilk erişimde gönderir ve tüm iletişimler şifrelenir;
  • zaman damgalı bir sorgulama-yanıt dizisi, bir saldırganın ele geçirilen parolayı belirli bir süre sonra kullanmasını önler;
  • sunucu işlemi, kullanıcı adına uzak kaynağa erişebilir;
  • birlikte çalışabilirlik.

Kerberos'un nasıl çalıştığına dair kısa bir açıklama:

  1. Başarılı temel kimlik doğrulamasından sonra, kullanıcının bilgisayarı gelecekteki kimlik doğrulama istekleri için Kerberos sunucusundan (DC) bir güvenlik bileti ister.
  2. Kerberos sunucusu, orijinal kimlik doğrulama bilgilerini yeniden sağlamadan gelecekteki kimlik doğrulama ve yetkilendirme olaylarına katılması için istekte bulunan kişiye bir bilet düzenler.
  3. İstekte bulunanın bir üye sunucu kaynağına erişmesi gerektiğinde, Kerberos sunucusundan farklı bir erişim bileti alır ve doğrulama için kaynak sunucuya sunar.
  4. İlk kimlik doğrulama bilgileri, sonraki kimlik doğrulama oturumlarının hiçbirinde ağ kanalları üzerinden gönderilmez (2. adımda düzenlenen biletin süresi dolana kadar).

Kerberos bir ortak anahtar altyapısı (PKI) gibi çalışırken, tüm bilgilerin simetrik anahtarlar (çoğu kimlik doğrulama hizmetinde kullanılan asimetrik anahtarların aksine) kullanılarak korunduğunu unutmayın.

Akıllı kartlar

Parolaların ve diğer tek parametreli kimlik doğrulama yöntemlerinin gücü hızla azalmaktadır. E-ticaret sızıntıları günlük hayat ve hem kişisel verileri (spam, URL sahtekarlığı) çalma yollarının sayısı hem de şifrenin kötüye kullanılması olasılığı artıyor. Pek çok uzman, akıllı kartlar, USB aygıtları veya diğer şifreleme aygıtları biçimindeki iki parametreli kimlik doğrulamanın gelecekte İnternet'teki işlemler için yaygın hale geleceğine inanıyor. Microsoft geliştiricileri, çözümlerine dijital sertifika ve akıllı kart işlevselliği ekliyor. Akıllı kartları kullanmak için Sertifika Hizmetleri'ni yüklemeniz ve akıllı kart sertifikalarını dağıtmanız gerekir. Elbette fiziksel akıllı kartlar, okuyucular ve yazılım Tedarikçi. Kullanıcılar daha sonra gerektiğinde Windows bilgisayarına erişmek için akıllı kartlarını yerel okuyuculara takabilir. Akıllıca kullanıldığında, akıllı kartlar kimlik doğrulamanın güvenilirliğini önemli ölçüde artırabilir.

Kimlik Doğrulama Protokolünün Güvenliğini Sağlama

Bazı makaleler yanlış bir şekilde Microsoft'un kimlik doğrulama mekanizmasını hacklemenin hala kolay olduğunu iddia ediyor. Aslında, mevcut 20 parola kırma aracından yalnızca ikisi NTLMv2 ile ve yalnızca biri Kerberos ile çalışır. Ama birkaç tane aldıktan sonra basit adımlar, bu tehdit de önlenebilir. Parolanızı tahmin etme ve sıfırlama girişimlerini önlemek için aşağıdaki önlemleri almanız gerekir (ayarların çoğu yerel olarak veya Grup İlkesi kullanılarak yapılandırılabilir).

  • Microsoft makalesinde "Windows'un parolanızın LAN yöneticisi karmasını Active Directory ve yerel SAM veritabanlarında depolamasını engelleme" başlıklı Microsoft makalesinde açıklandığı gibi LM karmalarını depolamayı devre dışı bırakın ( http://support.microsoft.com/ default.aspx?scid = kb; tr-tr; 299656). Bu, saldırganların orijinal parolayı keşfetmesini önlemek için yapılır.
  • NTLMv2 ve Kerberos dışındaki tüm kimlik doğrulama protokollerini devre dışı bırakın (kapsamlı testlerden sonra). Prosedür, Microsoft TechNet makalesinde açıklanmıştır " Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi "().
  • Parola kırma araçlarının işletim sistemini atlayarak çalışmasını önlemek için çıkarılabilir medyanın önyüklenmesini önleyin. Varsayılan dışındaki tüm sürücülerden önyüklemeyi devre dışı bırakmak, çevrimdışı parola kırma programlarının parola karmalarının depolandığı kimlik doğrulama veritabanına erişmesini engeller.
  • Kullanıcılar atamalıdır karmaşık şifreler En az 8 karakter uzunluğunda.
  • Kullanıcılar şifrelerini en az üç ayda bir değiştirmelidir.
  • Otomatik sıfırlama ile hesap kilitlemeyi en az bir dakika etkinleştirin. Bu, ağdaki şifrelerin tahmin edilmesini önler.

Kullanıcıların yükümlülükleri

NTLMv2, Kerberos ve akıllı kartlarla Windows, gizli dinleme ve kaba kuvvet saldırılarına karşı bağışık olan güçlü kimlik doğrulama mekanizmalarına sahiptir. Ancak, en iyi uygulamalar ve güçlü kimlik doğrulama protokolleri, kullanıcılar zayıf parolalar atarsa ​​yardımcı olmaz. Kullanıcılara doğru şifreleri nasıl seçeceklerini öğretmek ve şifrelerin güçlü ve güçlü olmasını sağlamak gerekir.

Roger Grimes- Windows IT Pro editörü ve güvenlik danışmanı. Sertifikalı CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Güvenlik ve Güvenlik +.

Son zamanlarda bu sorunla karşılaştı: Firefox, Chrome, Opera geçmek istemiyorum NTLM yetkilendirmesi... geçen tek kişi oydu IE... Bu sorunun gözlendiğini söylemeyi unuttum Windows 7... Aşağıda bu sorunların nasıl giderileceği anlatılacaktır.

Opera: resmi olarak desteklemiyor NTLM-yetkilendirme, ancak ayarlarda bu seçeneği etkinleştirmenize veya devre dışı bırakmanıza izin veren bir öğe bulabilirsiniz. Bu nedenle, proxy sunucunuzun ayarlarında eklemeniz gerekir. temel yetkilendirme... devre dışı bırakmak için NTLM yetkilendirmesi(ve aslında bu tarayıcının bir proxy üzerinden çalışmasını sağlarız) aşağıdakileri yaparız:

1) tarayıcıya şunu yazın: config
2) NetWork bölümüne gidin ve NTLM'yi Etkinleştir parametresinin işaretini kaldırın
3) tarayıcıyı yeniden başlatın.

Doğru, bir nüans var (tabii ki, bir rahatsızlık): ilk başlangıçta, giriş şifresini (tamamen, yani etki alanı ile) girmeniz ve kutuyu işaretlemeniz gerekecek. "Kaydetmek"... Şimdi, tarayıcının sonraki her açılışında, yetkilendirme plakası görünecek ve sadece düğmesine basmanız gerekecek. "TAMAM"... Rahatsız edici, ama ne yapabilirsiniz.

Not: bazen bazı işletim sistemlerinde, tam tersine, açmanız gerekiyordu NTLM yetkilendirmesi... Belki de tarayıcı sürümlerine ve işletim sistemine bağlıydı.

Firefox, Chrome: biraz şaman yapmanız gerekse de destekliyorlar. İnternette bulduğum birkaç seçeneği anlatacağım, size uygun olanı bulana kadar her şeyi denemeniz gerekebilir.

1) HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa kayıt defterine adında bir parametre eklemeniz gerekecek LmUyumlulukSeviyesi tip DWORD ve ona bir değer atayın 1 ... Bundan sonra bilgisayarı yeniden başlatmanız gerekecek (bana uygun seçenek buydu)

2) NS Firefox geçebilir ntlm yetkilendirme, adres çubuğunda about: config dosyasını açmanız ve parametreleri aşağıdaki gibi değiştirmeniz yeterli gibi görünüyor:

network.negotiate-auth.delegation-uris = http: //, https: //
network.negotiate-auth.trusted-uris = http: //, https: //

Ardından tarayıcıyı yeniden başlatın.

3) Politika düzenleyicisini açın ( gpedit.msc) Bilgisayar Yapılandırması -> Windows Yapılandırması -> Güvenlik Seçenekleri -> Yerel Politikalar-> Güvenlik Ayarları -> Ağ Güvenliği: LAN Manager kimlik doğrulama düzeyi ve parametreyi ayarlayın LM ve NTLM gönder - pazarlık yaparken NTLMv2 oturum güvenliğini kullanın.

Ardından politikayı kapatıp yeniden başlatıyoruz.

İngilizce sürümünüz varsa, şunu beğenin: makine politikası-> bilgisayar yapılandırması-> Windows ayarı-> yerel politikalar-> güvenlik seçeneği-> Ağ güvenliği: LAN Yöneticisi kimlik doğrulama düzeyi ve öğesini seçin. LM ve NTLM - Anlaştıysanız NTLMv2 oturumunu kullanın.

4) Başka bir seçenek aracılığıyla yapılandırmak squid_ldap:

auth_param temel program / usr / lib / squid3 / squid_ldap_auth -b "cn = kullanıcılar, dc = ofis, dc = ru" -f "sAMAccountName =% s" -h 192.168.0.74 -D "cn = yönetici, cn = kullanıcılar, dc = ofis, dc = ru "-w" secpass "
auth_param temel çocuklar 5
auth_param temel bölge Benim inet Proxy'm
auth_param temel kimlik bilgileri 60 dakika

external_acl_type nt_groups% GİRİŞ / usr / lib / squid3 / squid_ldap_group -R -b "cn = kullanıcılar, dc = ofis, dc = ru" -f "(& (cn =% v) (memberOf = cn =% a, cn = kullanıcılar, dc = ofis, dc = ru)) "-D" cn = yönetici, cn = kullanıcılar, dc = ofis, dc = ru "-w" secpass "-h 192.168.0.74

acl tümü kaynak 0.0.0.0/0.0.0.0
acl group_inet harici nt_groups giriş

http_access group_inet'e izin verir
http_reply_access hepsine izin ver
icp_access hepsine izin ver
http_access hepsini reddet

Yine de deneyin 🙂

Benzer yayınlar: