KB 2793: Fail-over d’authentification Kerberos/NTLM

Publié le 20 décembre 2023

Réaliser une authentification NTLM lorsque l’authentification Kerberos n’est pas possible.

Contexte

Dans certains contextes, il peut être nécessaire d’activer le fail-over d’authentification Kerberos/NTLM. En effet certaines d’applications ne sachant pas répondre à un challenge Kerberos pourraient ne pas pouvoir accéder à internet si une autre méthode ne leur ait pas proposée.

Procédure

1. Sélectionner l’authentification Kerberos dans Proxy Avancé>HTTP>Configuration>Authentification

2. Ajouter les lignes ci-dessous pour le NTLM dans Proxy Avancé>HTTP>Configuration>Configuration Avancée>Avant l’authentification

auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 on-persistent-overload=ERR
auth_param ntlm keep_alive off

Ainsi une application qui ne peut pas repondre à un challenge Kerberos aura la possibilité de basculer vers le NTLM, le navigateur affichera par exemple une fenêtre d’authentification pour permettre à l’utilisateur d’un poste hors domaine de s’authentifier.

Ce qui donne :

Une mise à jour peut commenter ses lignes, nous vous recommandons donc de consulter ce menu après chaque mise à jour et si besoin de les décommenter.

 

Comportement du proxy sans le failover NTLM :

Le mode d’authentification proposé est le « Negotiate » (Kerberos) , il n’y a pas d’autre alternative.

Comportement du proxy avec le failover NTLM :

Cette fois-ci, le proxy propose le « Negotiate » (Kerberos) et le NTLM.

Des articles relatifs à l’authentification Kerberos et NTLM sont disponibles dans la documentation :

Authentification NTLM  ici
Authentification Kerberos ici