Authentification NTLM/SMB - NTLM/KERBEROS hors domaine [Installation et mise en œuvre du module Amon ]

Authentification NTLM/SMB - NTLM/KERBEROS hors domaine

Installation et activation
Configuration des clients hors domaine
Configuration des clients du domaine

L'authentification NTLM^[1] pour des postes hors domaine est facilité par l'utilisation du proxy Cntlm^[2].

Installation et activation

Cntlm est pré-installé sur les modules Amon et AmonEcole.

L'activation du service se fait dans l'interface de configuration du module dans l'onglet Proxy authentifié. Cet onglet n'est disponible que si l'authentification web a été, elle-même, activée dans l'onglet Authentification.

Vue de l'onglet Proxy authentifié dans l'interface de configuration du module

Il faut choisir le type d'authentification sur le proxy NTLM/SMB ou NTLM/KERBEROS.

Ensuite il faut passer la variable Activer le proxy NTLM à oui.

Par défaut, le port de Cntlm est le 3127 mais sa valeur peut être modifiée par le biais de la variable experte intitulée : Port d'écoute du proxy NTLM.

L'activation du service est effective après une reconfiguration du serveur avec la commande :

# reconfigure

Configuration des clients hors domaine

L'authentification proxy NTLM/SMB et NTLM/KERBEROS nécessite une configuration particulière des postes clients Windows.

Par défaut, il est nécessaire, par exemple, de modifier la base de registre sur le poste Windows Seven.

Mais dans le cas de l'utilisation de Cntlm aucun changement n'est requis dans la base de registre pour les postes hors domaine.

Les postes nomades (hors domaine) doivent utiliser le port 3127 pour passer par Cntlm.

AttentionCntlm et les domaines non authentifiés

Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (message d'erreur avec Firefox : La connexion a été réinitialisée). En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas, ce dernier ne joue pas l'authentification et la requête échoue.

Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.

L'utilisation de WPAD est donc obligatoire pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.

Configuration des clients du domaine

Pour continuer à profiter de l'authentification transparente, les postes intégrés au domaine ne doivent pas passer par Cntlm.

Il est donc nécessaire de configurer correctement les postes du domaine avec, par exemple, ESU^[3].

Les postes intégrés au domaine doivent donc utiliser le port 3128 pour passer par le proxy .

Remarque

Dans le cas où la découverte automatique du proxy avec WPAD est activée, le port proposé par défaut est automatiquement celui du proxy NTLM Cntlm (3127 par défaut).

Références

NTLM

NT Lan Manager

NTLM est un protocole d'identification utilisé dans diverses implémentations des protocoles réseau Microsoft. Il est aussi utilisé partout dans les systèmes de Microsoft comme un mécanisme d'authentification unique SSO.

Cntlm

Cntlm proxy d'authentification NTLM rapide écrit en C.

Il s'intercale entre le poste client et le proxy. Il oblige l'utilisateur à renseigner son identifiant/mot de passe dans une fenêtre surgissante (popup).

Il ouvre une socket en écoute et gère la transmission de chaque requête au proxy parent. Si une connexion au proxy parent est créée à nouveau et authentifiée, la connexion précédente est mise en cache et est réutilisée pour une plus grande efficacité. Cntlm intègre également la redirection transparente de port TCP/IP. Il existe de nombreuses fonctions avancées telles que le support de NTLMv2, la protection de mot de passe, le hachage de mot de passe,etc. Il est peu gourmand en terme de ressources.

http://cntlm.sourceforge.net/

ESU

Environnements Sécurisés des Utilisateurs

Environnement Sécurisé des Utilisateurs (ESU) est un projet initialement développé par Olivier Adams du CRDP de Bretagne qui est maintenant publié par EOLE et distribué sous licence CeCILL. Cet outil permet aux administrateurs de réseaux en établissement scolaire de définir (très simplement) les fonctions laissées disponibles aux utilisateurs des postes informatiques.

ESU propose de nombreuses fonctions :

limitation des accès aux paramètres de Windows (panneau de configuration...) ;

définition par salle ou par poste des lecteurs réseaux, icônes du bureau, menu démarrer et limitation des fonctions ;
configuration des imprimantes partagées sur les postes ;
configuration des navigateurs (Internet Explorer et Mozilla Firefox) ;
éditeur de règles permettant de rajouter autant de règles que vous le souhaitez.