Authentification NTLM/SMB - NTLM/KERBEROS hors domaine

L'authentification NTLM[1] pour des postes hors domaine est facilité par l'utilisation du proxy Cntlm[2].

Installation et activation

Cntlm est pré-installé sur les modules Amon et AmonEcole.

L'activation du service s'effectue dans l'interface de configuration du module dans l'onglet Proxy authentifié. Cet onglet n'est disponible que si l'authentification web a été, elle-même, activée dans l'onglet Authentification.

Vue de l'onglet Proxy authentifié dans l'interface de configuration du module
Vue de l'onglet Proxy authentifié dans l'interface de configuration du module

Il faut choisir le type d'authentification sur le proxy NTLM/SMB ou NTLM/KERBEROS.

Ensuite il faut passer la variable Activer le proxy NTLM à oui.

Par défaut, le port de Cntlm est le 3127 mais sa valeur peut être modifiée par le biais de la variable experte intitulée : Port d'écoute du proxy NTLM.

L'activation du service est effective après une reconfiguration du serveur avec la commande :

# reconfigure

Configuration des clients hors domaine

L'authentification proxy NTLM/SMB et NTLM/KERBEROS nécessite une configuration particulière des postes clients Windows.

Par défaut, il est nécessaire, par exemple, de modifier la base de registre sur le poste Windows Seven.

Mais dans le cas de l'utilisation de Cntlm aucun changement n'est requis dans la base de registre pour les postes hors domaine.

Les postes nomades (hors domaine) doivent utiliser le port 3127 pour passer par Cntlm.

AttentionCntlm et les domaines non authentifiés

Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (message d'erreur avec Firefox : La connexion a été réinitialisée). En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas, ce dernier ne joue pas l'authentification et la requête échoue.

Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.

L'utilisation de WPAD est donc obligatoire pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.

Configuration des clients du domaine

Pour continuer à profiter de l'authentification transparente, les postes intégrés au domaine ne doivent pas passer par Cntlm.

Il est donc nécessaire de configurer correctement les postes du domaine avec, par exemple, ESU[3].

Les postes intégrés au domaine doivent donc utiliser le port 3128 pour passer par le proxy .

Remarque

Dans le cas où la découverte automatique du proxy avec WPAD est activée, le port proposé par défaut est automatiquement celui du proxy NTLM Cntlm (3127 par défaut).