Authentification NTLM/SMB - NTLM/KERBEROS hors domaine
Installation et activation
Cntlm est pré-installé sur les modules Amon, AmonEcole et ses variantes.
L'activation du service se fait dans l'interface de configuration du module dans l'onglet Proxy authentifié
. Cet onglet n'est disponible que si l'authentification web a été, elle-même, activée dans l'onglet Authentification
.
Il faut choisir le type d'authentification sur le proxy NTLM/SMB
ou NTLM/KERBEROS
.
Ensuite il faut passer la variable Activer le proxy NTLM
à oui
.
Par défaut, le port de Cntlm est le 3127
mais sa valeur peut être modifiée par le biais de la variable experte intitulée : Port d'écoute du proxy NTLM
.
L'activation du service est effective après une reconfiguration du serveur avec la commande :
# reconfigure
Attention
Attention, si l'authentification de type NTLM/SMB
est choisie, c'est le premier domaine spécifié qui sera utilisé par Cntlm.
Configuration des clients hors domaine
L'authentification proxy NTLM/SMB et NTLM/KERBEROS nécessite une configuration particulière des postes clients Windows.
Par défaut, il est nécessaire, par exemple, de modifier la base de registre sur le poste Windows Seven.
Mais dans le cas de l'utilisation de Cntlm aucun changement n'est requis dans la base de registre pour les postes hors domaine.
Les postes nomades (hors domaine) doivent utiliser le port 3127
pour passer par Cntlm.
Configuration des clients du domaine
Pour continuer à profiter de l'authentification transparente, les postes intégrés au domaine ne doivent pas passer par Cntlm.
Il est donc nécessaire de configurer correctement les postes du domaine avec, par exemple, ESU[3].
Les postes intégrés au domaine doivent donc utiliser le port 3128
pour passer par le proxy .
Remarque
Dans le cas où la découverte automatique du proxy avec WPAD est activée, le port proposé par défaut est automatiquement celui du proxy NTLM Cntlm (3127
par défaut).