Authentification NTLM/SMB - NTLM/KERBEROS hors domaine
Installation et activation
Cntlm est pré-installé sur les modules Amon et AmonEcole.
L'activation du service se fait dans l'interface de configuration du module dans l'onglet Proxy authentifié
. Cet onglet n'est disponible que si l'authentification web a été, elle-même, activée dans l'onglet Authentification
.
Il faut choisir le type d'authentification sur le proxy NTLM/SMB
ou NTLM/KERBEROS
.
Ensuite il faut passer la variable Activer le proxy NTLM
à oui
.
Par défaut, le port de Cntlm est le 3127
mais sa valeur peut être modifiée par le biais de la variable experte intitulée : Port d'écoute du proxy NTLM
.
L'activation du service est effective après une reconfiguration du serveur avec la commande :
# reconfigure
Configuration des clients hors domaine
L'authentification proxy NTLM/SMB et NTLM/KERBEROS nécessite une configuration particulière des postes clients Windows.
Par défaut, il est nécessaire, par exemple, de modifier la base de registre sur le poste Windows Seven.
Mais dans le cas de l'utilisation de Cntlm aucun changement n'est requis dans la base de registre pour les postes hors domaine.
Les postes nomades (hors domaine) doivent utiliser le port 3127
pour passer par Cntlm.
AttentionCntlm et les domaines non authentifiés
Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (message d'erreur avec Firefox : La connexion a été réinitialisée
). En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas, ce dernier ne joue pas l'authentification et la requête échoue.
Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.
L'utilisation de WPAD est donc obligatoire pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.
Configuration des clients du domaine
Pour continuer à profiter de l'authentification transparente, les postes intégrés au domaine ne doivent pas passer par Cntlm.
Il est donc nécessaire de configurer correctement les postes du domaine avec, par exemple, ESU[3].
Les postes intégrés au domaine doivent donc utiliser le port 3128
pour passer par le proxy .
Remarque
Dans le cas où la découverte automatique du proxy avec WPAD est activée, le port proposé par défaut est automatiquement celui du proxy NTLM Cntlm (3127
par défaut).