How to
KB N°2793

Fail-over d’authentification Kerberos/NTLM

Version: V6.x
Publié le mardi 21 janvier 2020
Modifié le mardi 4 août 2020

Réaliser une authentification NTLM lorsque l'authentification Kerberos n'est pas possible.

Contexte

 

Dans certains contextes, il peut être nécessaire d'activer le fail-over d'authentification Kerberos/NTLM. En effet certaines d'applications ne sachant pas répondre à un challenge Kerberos pourraient ne pas pouvoir accéder à internet si une autre méthode ne leur ait pas proposée.

Procédure

 

 1. Sélectionner l'authentification Kerberos dans Proxy Avancé>HTTP>Configuration>Authentification

 2. Ajouter les lignes ci-dessous pour le NTLM dans Proxy Avancé>HTTP>Configuration>Configuration Avancée>Avant l'authentification

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 on-persistent-overload=ERR
auth_param ntlm keep_alive off

 

Ainsi une application qui ne peut pas repondre à un challenge Kerberos aura la possibilité de basculer vers le NTLM, le navigateur affichera par exemple une fenêtre d'authentification pour permettre à l'utilisateur d'un poste hors domaine de s'authentifier. 

Ce qui donne :

Une mise à jour peut commenter ses lignes, nous vous recommandons donc de consulter ce menu après chaque mise à jour et si besoin de les décommenter.

 

Comportement du proxy sans le failover NTLM :

Le mode d'authentification proposé est le "Negotiate" (Kerberos) , il n'y a pas d'autre alternative.

Comportement du proxy avec le failover NTLM :

 

Cette fois-ci, le proxy propose le "Negotiate" (Kerberos) et le NTLM.

 

Des articles relatifs à l'authentification Kerberos et NTLM sont disponibles dans la documentation :

Authentification NTLM  ici
Authentification Kerberos ici

Avez-vous trouvé cet article utile ?
Revenir à la liste des articles
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok