KB 2793: Fail-over d’authentification Kerberos/NTLM
Réaliser une authentification NTLM lorsque l’authentification Kerberos n’est pas possible.
Contexte
Dans certains contextes, il peut être nécessaire d’activer le fail-over d’authentification Kerberos/NTLM. En effet certaines d’applications ne sachant pas répondre à un challenge Kerberos pourraient ne pas pouvoir accéder à internet si une autre méthode ne leur ait pas proposée.
Procédure
1. Sélectionner l’authentification Kerberos dans Proxy Avancé>HTTP>Configuration>Authentification
2. Ajouter les lignes ci-dessous pour le NTLM dans Proxy Avancé>HTTP>Configuration>Configuration Avancée>Avant l’authentification
auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 on-persistent-overload=ERR
auth_param ntlm keep_alive off
Ainsi une application qui ne peut pas repondre à un challenge Kerberos aura la possibilité de basculer vers le NTLM, le navigateur affichera par exemple une fenêtre d’authentification pour permettre à l’utilisateur d’un poste hors domaine de s’authentifier.
Ce qui donne :
Une mise à jour peut commenter ses lignes, nous vous recommandons donc de consulter ce menu après chaque mise à jour et si besoin de les décommenter.
Comportement du proxy sans le failover NTLM :
Le mode d’authentification proposé est le « Negotiate » (Kerberos) , il n’y a pas d’autre alternative.
Comportement du proxy avec le failover NTLM :
Cette fois-ci, le proxy propose le « Negotiate » (Kerberos) et le NTLM.
Des articles relatifs à l’authentification Kerberos et NTLM sont disponibles dans la documentation :