Este es el comando ntlm_auth que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ntlm_auth: herramienta para permitir el acceso externo a la función de autenticación NTLM de Winbind
SINOPSIS
ntlm_auth
DESCRIPCIÓN
Esta herramienta es parte del samba(7) conjunto.
ntlm_auth es una utilidad auxiliar que autentica a los usuarios mediante la autenticación NT / LM. Eso
devuelve 0 si los usuarios se autentican correctamente y 1 si se denegó el acceso. ntlm_auth
utiliza winbind para acceder al usuario y a los datos de autenticación de un dominio. Esta utilidad es solo
destinado a ser utilizado por otros programas (actualmente Squid y mod_ntlm_winbind)
OPERATIVO REQUISITOS
El winbind(8) el demonio debe estar operativo para que funcionen muchos de estos comandos.
Algunos de estos comandos también requieren acceso al directorio winbindd_privileged en
$ LOCKDIR. Esto debe hacerse ejecutando este comando como root o proporcionando un grupo
acceso al directorio winbindd_privileged. Por razones de seguridad, este directorio debe
no ser accesible a todo el mundo.
OPCIONES
--helper-protocol = PROTO
Opere como un ayudante basado en stdio. Los protocolos de ayuda válidos son:
calamar-2.4-básico
Ayudante del lado del servidor para usar con la autenticación básica (texto sin formato) de Squid 2.4.
calamar-2.5-básico
Ayudante del lado del servidor para usar con la autenticación básica (texto sin formato) de Squid 2.5.
calamar-2.5-ntlmssp
Ayudante del lado del servidor para usar con la autenticación NTLMSSP de Squid 2.5.
Requiere acceso al directorio winbindd_privileged en $ LOCKDIR. El protocolo
utilizado se describe aquí:
http://devel.squid-cache.org/ntlm/squid_helper_protocol.html. Este protocolo tiene
se ha ampliado para permitir que el paquete NTLMSSP Negotiate se incluya como argumento
al comando YR. (Evitando así la pérdida de información en el intercambio de protocolos).
ntlmssp-cliente-1
Ayudante del lado del cliente para usar con programas externos arbitrarios que pueden desear usar
Conocimiento de autenticación NTLMSSP de Samba.
Este ayudante es un cliente y, como tal, puede ser ejecutado por cualquier usuario. El protocolo utilizado es
efectivamente, el reverso del protocolo anterior. Un comando YR (sin ningún
argumentos) inicia el intercambio de autenticación.
gss-spnego
Ayudante del lado del servidor que implementa GSS-SPNEGO. Esto usa un protocolo que es casi
lo mismo que squid-2.5-ntlmssp, pero tiene algunas diferencias sutiles que son
indocumentados fuera de la fuente en esta etapa.
Requiere acceso al directorio winbindd_privileged en $ LOCKDIR.
gss-spnego-cliente
Ayudante del lado del cliente que implementa GSS-SPNEGO. Esto también usa un protocolo similar
a los ayudantes anteriores, pero actualmente no está documentado.
ntlm-servidor-1
Protocolo de ayuda del lado del servidor, diseñado para ser utilizado por un servidor RADIUS o el 'winbind'
complemento para pppd, para la provisión de autenticación MSCHAP y MSCHAPv2.
Este protocolo consta de líneas en la forma: Parámetro: valor y Parámetro ::
Valor de codificación Base64. La presencia de un solo período. indica que un lado
ha terminado de suministrar datos al otro. (Lo que a su vez podría hacer que el ayudante
autenticar al usuario).
Los parámetros actualmente implementados desde el programa externo al ayudante son:
Usuario
El nombre de usuario, que se espera que esté en Samba UNIX charset.
Ejemplos:
Nombre de usuario: bob
Nombre de usuario :: Ym9i
Dominio NT
El dominio del usuario, que se espera que esté en el de Samba. UNIX charset.
Ejemplos:
Dominio NT: GRUPO DE TRABAJO
Dominio NT :: V09SS0dST1VQ
Nombre de usuario completo
El nombre de usuario completamente calificado, que se espera que esté en el UNIX charset y
calificado con el winbind separador.
Ejemplos:
Nombre de usuario completo: WORKGROUP \ bob
Nombre de usuario completo :: V09SS0dST1VQYm9i
Desafío LANMAN
El valor de desafío LANMAN de 8 bytes, generado aleatoriamente por el servidor, o (en
casos como MSCHAPv2) generados de alguna manera tanto por el servidor como por el
cliente.
Ejemplos:
Desafío LANMAN: 0102030405060708
Respuesta de LANMAN
El valor de respuesta LANMAN de 24 bytes, calculado a partir de la contraseña del usuario y la
suministrado LANMAN Challenge. Normalmente, esto lo proporciona a través de la red un
cliente que desea autenticarse.
Ejemplos:
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
NT-Respuesta
La respuesta NT> = 24 bytes calculada a partir de la contraseña del usuario y la
suministrado LANMAN Challenge. Normalmente, esto lo proporciona a través de la red un
cliente que desea autenticarse.
Ejemplos:
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
Contraseña
La contraseña del usuario. Esto lo proporcionaría un cliente de red, si el ayudante
se está utilizando en una situación heredada que expone contraseñas de texto sin formato en este
.
Ejemplos:
Contraseña: samba2
Contraseña :: c2FtYmEy
Solicitar clave de sesión de usuario
Tras la autenticación exitosa, devuelva la clave de sesión de usuario asociada con
el inicio de sesión.
Ejemplos:
Solicitar clave de sesión de usuario: Sí
Solicitar clave de sesión de LanMan
Una vez realizada la autenticación, devuelva la clave de sesión LANMAN asociada con
el inicio de sesión.
Ejemplos:
Request-LanMan-Session-Key: Sí
advertencia
Los implementadores deben tener cuidado de codificar en base64 cualquier dato (como
nombres de usuario / contraseñas) que pueden contener datos de usuario maliciosos, como una nueva línea. Ellos
También puede ser necesario decodificar cadenas del ayudante, que también puede haber sido
codificado en base64.
--username = USERNAME
Especifique el nombre de usuario del usuario para autenticar
--dominio = DOMINIO
Especifique el dominio del usuario para autenticar
--workstation = ESTACIÓN DE TRABAJO
Especifique la estación de trabajo desde la que se autenticó el usuario
--challenge = STRING
Desafío NTLM (en HEXADECIMAL)
--lm-response = RESPUESTA
Respuesta de LM al desafío (en HEXADECIMAL)
--nt-response = RESPUESTA
Respuesta de NT o NTLMv2 al desafío (en HEXADECIMAL)
--password = CONTRASEÑA
Contraseña de texto sin formato del usuario
Si no se especifica en la línea de comando, se solicita cuando sea necesario.
Para los roles de servidor basados en NTLMSSP, este parámetro especifica la contraseña esperada,
permitiendo realizar pruebas sin winbindd operativo.
--request-lm-clave
Recuperar la clave de sesión de LM
--solicitud-nt-clave
Solicitar clave NT
--diagnósticos
Realice diagnósticos en la cadena de autenticación. Utiliza la contraseña de --password o
solicita uno.
--require-member-of = {SID | Nombre}
Requerir que un usuario sea miembro de un grupo específico (nombre o SID) para
autenticación para tener éxito.
--pam-winbind-conf = NOMBRE DE ARCHIVO
Defina la ruta al archivo pam_winbind.conf.
--target-hostname = HOSTNAME
Defina el nombre de host de destino.
--target-service = SERVICIO
Defina el servicio de destino.
--use-cache-creds
Si usar credenciales almacenadas en caché por winbindd.
--configfile =
El archivo especificado contiene los detalles de configuración requeridos por el servidor. los
La información de este archivo incluye información específica del servidor, como qué printcap
archivo a utilizar, así como descripciones de todos los servicios que el servidor
proveer. Consulte smb.conf para obtener más información. El nombre del archivo de configuración predeterminado es
determinado en el momento de la compilación.
-V | --versión
Imprime el número de versión del programa.
-? | --ayuda
Imprima un resumen de las opciones de la línea de comandos.
--uso
Muestra un breve mensaje de uso.
EJEMPLO CONFIGURACIÓN
Para configurar ntlm_auth para que lo use squid 2.5, con autenticación tanto básica como NTLMSSP,
lo siguiente debe colocarse en el archivo squid.conf.
auth_param programa ntlm ntlm_auth --helper-protocol = squid-2.5-ntlmssp
auth_param programa básico ntlm_auth --helper-protocol = squid-2.5-basic
auth_param basic niños 5
auth_param servidor web de almacenamiento en caché proxy Squid basic realm
auth_param basic credentialsttl 2 horas
Nota
Este ejemplo asume que ntlm_auth se ha instalado en su ruta, y que el
los permisos de grupo en winbindd_privileged son los descritos anteriormente.
Para configurar ntlm_auth para que lo use squid 2.5 con limitación de grupo además de lo anterior
Por ejemplo, se debe agregar lo siguiente al archivo squid.conf.
auth_param programa ntlm ntlm_auth --helper-protocol = squid-2.5-ntlmssp --require-members-of = 'WORKGROUP \ Domain Users'
auth_param programa básico ntlm_auth --helper-protocol = squid-2.5-basic --require-members-of = 'WORKGROUP \ Domain Users'
SOLUCIÓN DE PROBLEMAS
Si tiene problemas para autenticar Internet Explorer que se ejecuta en MS
Windows 9X o Millennium Edition contra el asistente de autenticación NTLMSSP de ntlm_auth
(--helper-protocol = squid-2.5-ntlmssp), luego lea Microsoft Knowledge Base
artículo # 239869 y siga las instrucciones que se describen allí.
VERSION
Esta página de manual es correcta para la versión 3 de la suite Samba.
Use ntlm_auth en línea usando los servicios de onworks.net