Це команда ntlm_auth, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
ntlm_auth - інструмент для надання зовнішнього доступу до функції аутентифікації NTLM Winbind
СИНТАКСИС
ntlm_auth
ОПИС
Цей інструмент є частиною самба(7) люкс.
ntlm_auth — це допоміжна утиліта, яка автентифікує користувачів за допомогою аутентифікації NT/LM. Це
повертає 0, якщо користувачі пройшли успішну автентифікацію, і 1, якщо у доступі було відмовлено. ntlm_auth
використовує winbind для доступу до даних користувача та автентифікації для домену. Ця утиліта є лише
призначений для використання іншими програмами (наразі Squid і mod_ntlm_winbind)
Оперативний ВИМОГИ
Команда winbindd(8) демон повинен працювати, щоб багато з цих команд функціонували.
Деякі з цих команд також вимагають доступу до каталогу winbindd_privileged
$LOCKDIR. Це потрібно зробити, запустивши цю команду від імені root, або надавши групу
доступ до каталогу winbindd_privileged. З міркувань безпеки цей каталог має
не бути доступним у всьому світі.
ВАРІАНТИ
--helper-protocol=PROTO
Працюйте як помічник на основі stdio. Дійсними допоміжними протоколами є:
кальмар-2.4-основний
Помічник на стороні сервера для використання з базовою автентифікацією Squid 2.4 (відкритий текст).
кальмар-2.5-основний
Помічник на стороні сервера для використання з базовою автентифікацією Squid 2.5 (відкритий текст).
кальмар-2.5-ntlmssp
Помічник на стороні сервера для використання з автентифікацією NTLMSSP Squid 2.5.
Потрібен доступ до каталогу winbindd_privileged в $LOCKDIR. Протокол
використовується описано тут:
http://devel.squid-cache.org/ntlm/squid_helper_protocol.html. Цей протокол має
було розширено, щоб дозволити пакет NTLMSSP Negotiate бути включеним як аргумент
команді YR. (Таким чином можна уникнути втрати інформації в протоколі обміну).
ntlmssp-клієнт-1
Помічник на стороні клієнта для використання з довільними зовнішніми програмами, які можуть бути використані
Знання автентифікації NTLMSSP Samba.
Цей помічник є клієнтом, і як такий може працювати будь-який користувач. Використовується протокол
фактично протилежний попередньому протоколу. Команда YR (без будь-яких
аргументи) розпочинає обмін аутентифікацією.
гсс-спнего
Помічник на стороні сервера, який реалізує GSS-SPNEGO. Для цього використовується протокол, який майже
те саме, що і squid-2.5-ntlmssp, але має деякі незначні відмінності
на цьому етапі не задокументовано за межами джерела.
Потрібен доступ до каталогу winbindd_privileged в $LOCKDIR.
gss-spnego-клієнт
Помічник на стороні клієнта, який реалізує GSS-SPNEGO. Тут також використовується подібний протокол
до вищезазначених помічників, але наразі не задокументований.
ntlm-сервер-1
Допоміжний протокол на стороні сервера, призначений для використання сервером RADIUS або 'winbind'
плагін для pppd, для надання аутентифікації MSCHAP і MSCHAPv2.
Цей протокол складається з рядків у вигляді: Параметр: значення і Параметр::
Значення кодування Base64. Наявність єдиного періоду. вказує на те, що одна сторона
закінчив передачу даних іншому. (Що, у свою чергу, може призвести до того, що помічник
аутентифікувати користувача).
На даний момент реалізовані параметри від зовнішньої програми до помічника:
ім'я користувача
Ім’я користувача, як очікується, буде в Samba UNIX набір.
Приклади:
Ім'я користувача: bob
Ім'я користувача:: Ym9i
NT-домен
Очікується, що домен користувача буде в Samba UNIX набір.
Приклади:
NT-Домен: РОБОЧА ГРУПА
NT-домен:: V09SS0dST1VQ
Повне ім'я користувача
Повне ім’я користувача, як очікується, буде в Samba UNIX набір та
кваліфікований з Winbind роздільник.
Приклади:
Повне ім’я користувача: WORKGROUP\bob
Повне ім’я користувача:: V09SS0dST1VQYm9i
LANMAN-Виклик
8-байтове значення LANMAN Challenge, згенероване випадковим чином сервером, або (в
випадки, такі як MSCHAPv2), які певним чином генеруються як сервером, так і
клієнт.
Приклади:
LANMAN-Виклик: 0102030405060708
LANMAN-Відповідь
24-байтове значення відповіді LANMAN, обчислене на основі пароля користувача та
постачається LANMAN Challenge. Як правило, це надається через мережу a
клієнта, який бажає пройти автентифікацію.
Приклади:
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
NT-Відповідь
Відповідь NT розміром >= 24 байта обчислюється на основі пароля користувача та
постачається LANMAN Challenge. Як правило, це надається через мережу a
клієнта, який бажає пройти автентифікацію.
Приклади:
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
Пароль
Пароль користувача. Це буде надано мережевим клієнтом, якщо помічник
використовується в застарілій ситуації, яка відкриває паролі відкритого тексту
шлях.
Приклади:
Пароль: samba2
Пароль:: c2FtYmEy
Запит-Користувач-Ключ сесії
Після успішної аутентифікації поверніть ключ сеансу користувача, пов’язаний з
логін.
Приклади:
Request-User-Session-Key: Так
Request-LanMan-Session-Key
Після успішної аутентифікації поверніть ключ сеансу LANMAN, пов’язаний з
логін.
Приклади:
Request-LanMan-Session-Key: Так
попередження
Розробники повинні подбати про те, щоб base64 кодувати будь-які дані (наприклад
імена користувачів/паролі), які можуть містити шкідливі дані користувача, наприклад, новий рядок. Вони
може також знадобитися декодувати рядки з помічника, що також могло бути
закодований base64.
--username=ІМ'Я КОРИСТУВАЧА
Вкажіть ім’я користувача для автентифікації
--domain=ДОМЕН
Вкажіть домен користувача для автентифікації
--робоча станція=РОБОЧА СТАНЦІЯ
Вкажіть робочу станцію, з якої користувач пройшов автентифікацію
--challenge=STRING
Завдання NTLM (шістнадцятковим)
--lm-response=ВІДПОВІДЬ
LM Відповідь на виклик (у шістнадцятковому)
--nt-response=ВІДПОВІДЬ
Відповідь на виклик NT або NTLMv2 (шістнадцятковим)
--пароль=ПАРОЛЬ
Відкритий пароль користувача
Якщо не вказано в командному рядку, це запитується, коли потрібно.
Для ролей сервера на основі NTLMSSP цей параметр визначає очікуваний пароль,
дозволяє тестувати без winbindd.
--request-lm-key
Отримати ключ сеансу LM
--request-nt-key
Запит ключа NT
--діагностика
Виконайте діагностику в ланцюжку аутентифікації. Використовує пароль з --password або
підказки для одного.
--require-membership-of={SID|Назва}
Вимагати, щоб користувач був членом зазначеної групи (ім’я або SID) для
аутентифікація для успіху.
--pam-winbind-conf=НАЗВА ФАЙЛУ
Визначте шлях до файлу pam_winbind.conf.
--target-hostname=НАЗВА ХОСТУ
Визначте цільове ім’я хоста.
--target-service=СЕРВІС
Визначте цільову службу.
--use-cached-creds
Чи використовувати облікові дані, кешовані winbindd.
--configfile=
Вказаний файл містить деталі конфігурації, необхідні серверу. The
інформація в цьому файлі містить специфічну для сервера інформацію, наприклад, який printcap
файл для використання, а також описи всіх служб, якими призначено сервер
забезпечити. Для отримання додаткової інформації див. smb.conf. Ім’я файлу конфігурації за замовчуванням – це
визначається під час компіляції.
-V|--версія
Друкує номер версії програми.
-?|--допоможіть
Роздрукуйте підсумок параметрів командного рядка.
--використання
Відобразити коротке повідомлення про використання.
приклад НАСТРОЙКА
Щоб налаштувати ntlm_auth для використання в squid 2.5 з базовою автентифікацією та автентифікацією NTLMSSP,
наступне слід розмістити у файлі squid.conf.
auth_param програма ntlm ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param базова програма ntlm_auth --helper-protocol=squid-2.5-basic
auth_param базові діти 5
auth_param базова область Squid проксі-кешування веб-сервера
auth_param основні облікові дані 2 години
Примітка:
У цьому прикладі передбачається, що ntlm_auth було встановлено у вашому шляху, і що файл
групові дозволи на winbindd_privileged такі, як описано вище.
Щоб налаштувати ntlm_auth для використання squid 2.5 з обмеженнями групи на додаток до вищезазначеного
Наприклад, до файлу squid.conf слід додати наступне.
auth_param ntlm програма ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='WORKGROUP\Domain Users'
auth_param базова програма ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='WORKGROUP\Domain Users'
ВИРІШЕННЯ ПРОБЛЕМ
Якщо у вас виникли проблеми з автентифікацією Internet Explorer під керуванням MS
Windows 9X або Millennium Edition проти помічника автентифікації NTLMSSP ntlm_auth
(--helper-protocol=squid-2.5-ntlmssp), то прочитайте базу знань Microsoft
статтю №239869 і дотримуйтесь інструкцій, описаних там.
Версія
Ця довідкова сторінка правильна для версії 3 пакету Samba.
Використовуйте ntlm_auth онлайн за допомогою служб onworks.net