这里的一些用户花费了很多时间去探索WWW。 那么大老板怎么才能控制住这个。 我们使用squid3只是出于一些安全原因和追求好处。 现在我试图在另一台服务器(Debian 6)上设置一个新的代理权限是在AC中定义的,squid3应该通过使用ntlm协议来获得auth的samba / winbind。 但我会得到所有的时间访问,denited。 它只能使用LDAP,但那不是我需要它的方式。 这里有一些日志和confs 鱿鱼access.log 1326878095.784 1 192.168.15.27 TCP_DENIED/407 4049 GET http://at.msn.com/? -NONE/- text/html 1326878095.791 1 192.168.15.27 TCP_DENIED/407 4294 GET http://at.msn.com/? – NONE/- text/html 1326878095.803 9 192.168.15.27 TCP_DENIED/403 4028 GET http://at.msn.com/? kavan NONE/- text/html 1326878095.848 0 192.168.15.27 TCP_DENIED/403 3881 GET http://www.squid-cache.org/Artwork/SN.png kavan NONE/- text/html 1326878100.279 0 192.168.15.27 TCP_DENIED/403 3735 […]
我目前正在尝试使用centos下的各种开源程序,通过需要NTLM身份validation的ISA代理服务器进行连接。 为了解决authentication需求,并且由于某些工具没有内置ntlmauthenticationfunction(虽然我们需要的所有工具都有一种通过代理连接的方式,而不需要authentication),但我想过要安装一些其他软件层将“代理/隧道”应用程序在NTLM ISA上执行身份validation。 我试图安装Squid,希望能够在以下设置中处理NTLM身份validation: 多个应用程序<—> squid < – NTLM AUTH – > ISA <—-> WWW 不过,我似乎无法得到鱿鱼自动身份validation的ISA … 这类问题有哪些select(我们需要通过需要NTLM身份validation的代理进行身份validation并传递多个应用程序)?
在我们的大型企业环境中,我们有4台ISA 2006服务器。 用户(WinXP IE8)configuration了一个自动代理configuration脚本。 最近,PAC被修改为返回FQDN而不是ISA服务器的IP地址。 这是为了强制Kerberos身份validation,而不是NTLM。 这种改变已经造成了一些用户的间歇性问题。 通过SSL访问站点时,他们会从代理服务器获取多个提示进行身份validation。 并非所有用户都受到影响。 不同的网站受到影响。 有一次,代理服务器之一开始喷出“502代理错误,不支持缓冲区空间”。 它被重新启动,并恢复了业务。 我们可以最好地认识到,它与大型Kerberos令牌大小(我们是一个具有数百/数千AD安全组的大型操作)有关。 一些用户为Kerberosconfiguration了MaxPacketSize和MaxTokenSize。 有些不是。 我看到的两个问题用户都有这些设置。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxPacketSize"=dword:00000001 "MaxTokenSize"=dword:0000ffff 回滚PAC以使用IP地址(和NTLM)解决了用户的问题。 但是代理pipe理员仍然希望Kerberos出于以下原因: 为什么在IIS中使用Kerberos代替NTLM? 。 将这些registry设置推出给所有用户修复问题,还是这些设置问题的根源? 在ISA服务器上有一个设置需要调整,以匹配桌面上的令牌大小设置? 谢谢。
我build立了一个Apache的http反向代理和负载均衡。 我已经知道Reverse Proxying会打破NTLM对话框,并导致类似于Active Directory的基本身份validation,这对我来说已经足够了。 NTLM在我的JBoss上被jCIFS支持,并且在以下情况下工作正常: 我直接使用我的JBoss地址( 10.1.2.12:8080/myapp ) 我没有第二个成员使用我的apache RP地址( myapp-homintranet.myorg.com/myapp ) 但是由于增加了第二个成员进行负载均衡,所以根本不起作用! <VirtualHost *:80> ServerName myapp-homintranet.myorg.com ServerAlias myapp-homintranet ProxyRequests Off ProxyPass /myapp balancer://jbosscluster/myapp stickysession=JSESSIONID nofailover=On ProxyPassReverse /myapp http://server01.myorg.com:8080/myapp #Conf load-balancing Jboss <Proxy balancer://jbosscluster> BalancerMember http://server01.myorg.com:8080 BalancerMember http://server02.myorg.com:8080 ProxySet lbmethod=byrequests </Proxy> </VirtualHost> 如果我删除第二个成员(服务器02),它再次工作。 我不知道如何解决这个问题。 有人能帮我吗 ? PS:如果有一种突出显示apache/conf语法的方法,告诉我! 我的工作人员conf ,以防万一… # Define list of workers that […]
也许有人可以给我一个提示。 我正在评估在大型Microsoft AD环境中将所有(人类)用户的UPN更改为build议的MS格式(与用户的主要公共邮件地址一致,包括用户可公开路由的邮件域作为UPN后缀)的先决条件。 现在,使用UPN时,更改UPN可能会中断应用程序或服务或中断用户login过程。 我知道,在大多数环境中,UPN并没有被广泛用于login,但是我仍想详细说明是否有方法来诊断login进程的UPN使用情况。 我们正在谈论2003年以上的function水平,但主动的NTLM。 相关域控制器正在运行2012和2012R2。 在这种情况下,仅限于具有3个域的单个森林。 虽然这只是环境的一小部分,但它是唯一与UPN变化相关的部分。 首先也是最简单的方法是检查login事件的域控制器上的事件日志。 问题是:就我所见而言,无论使用哪种用户标识表示方式login,它们总是以“域名\用户名”的“传统”格式login。 如果我错了, 请纠正我,因为这会大大加快速度。 接下来我想到的是Kerberos票据的networking痕迹。 如果我没有错误的Kerberos,这些最初是使用用户的密码encryption,并检查他们,我需要使用(可能)未知客户端的数据解密票。 现在,这是我不确定的地方,希望是错误的,因为在某些时候,DC需要确定他们使用哪个密码哈希来解密消息。 我承认我没有做过很多的testing,因为我不想刚刚修改DC。 也许还有一种不同的方法来处理这个我还没有想到的 – 无论如何,我希望有人可以给我一个可能的应用暗示来解决这个问题。 我不愿意“应用变化和鸭子”,我宁愿在任何可能的情况下第一次做对。
我正在尝试开发一个可以遍历NTLM身份validation代理的networking隧道。 作为我正在调查NTLM身份validation如何工作的一部分。 我的testing安装程序在configuration为需要NTLM身份validation的Windows盒子上安装了WinGate代理。 我的Windows客户端设置为使用WinGate机器作为代理。 WinGate重新启动后,我打开的第一个网页需要身份validation – 我通过Fiddler看到NTLM交换。 来自同一台PC的后续请求似乎不需要authentication。 我的意思是来自PC的任何请求,而不仅仅是来自同一浏览器的请求,例如,在Chrome中完成初始身份validation时打开Firefox。 我已经使用Fiddler(以前还用Wireshark)捕获了所有的stream量 – 我没有看到有任何令牌或标识被发送到代理的证据。 那么代理如何知道允许这些后续请求通过? 这是NTLMauthentication的预期行为?
我想将LmCompatibilityLevel = 5应用到我的域,但我不确定这是要应用于所有客户端(通过GPO),域控制器或两者。 我有点困惑,因为TechNet说明指出这个选项是让域控制器拒绝某些authentication响应。 来自TechNet: 客户端仅使用NTLMv2身份validation,如果服务器支持,则它们使用NTLMv2会话安全性。 域控制器拒绝LM和NTLM身份validation响应,但它接受NTLMv2。
我注意到在我们的networking中,当我想让用户连接到Web应用程序并自动login时,我需要为他们提供一个URL,例如http://server/path/application.aspx 。 如果我使用http://server.domain.com/path/application.aspx ,则会提示他们login。 我想让这两个URL自动login到Web应用程序的用户,但是我错过了这个工作原理的全貌(或者说为什么这两个URL都不起作用) 在此先感谢任何能提供一些见解的人。
我试图授予其他人查看SharePoint站点的权限,但在授予权限时使用“检查名称”并声明属于某个域的任何用户或组都不存在。 这样做,如果我尝试授予权限的团队网站或中央pipe理员,但如果我尝试添加一个人到中央pipe理员的农场pipe理员,然后突然间,它可以find所有的域用户。 为什么在这种情况下find域用户,而不是其他人呢? 它应该使用NTLM身份validation,并将Windowsconfiguration为身份validation提供程序(并将IISconfiguration为使用NTLM)。 更奇怪的是,我为团队网站启用了“匿名访问”,我认为这将允许任何人查看,但也有人说他们无法访问它。
我试图通过互联网使用SoapUI调用REST API,但是我使用的SOLUI不支持使用NTLM2身份validation的公司防火墙。 是否有可能运行本地Apache或ISS实例转发请求并添加身份validation?