Назад | Перейти на главную страницу

Squid, NTLM, Windows 7 и IE8

Я использую Squid 2.7-stable4, Samba 3 и Windows 7 RC с IE8.

У меня есть настройка проверки подлинности NTLM на моем прокси-сервере squid, и она отлично работает для любой комбинации браузера и Windows (включая IE8 в XP и Firefox в Win7), но не работает (продолжает запрашивать аутентификацию) для IE8 в Windows 7.

Я могу заставить его работать с помощью хака реестра LmCompatibilityLevel, но я бы предпочел, чтобы он работал на сервере.

У кого-нибудь есть опыт с этим? Или знаете с чего начать поиск? Журналы самбы мало что раскрывают.

РЕДАКТИРОВАТЬ: Вот что говорит журнал wb-MYDOMAIN, когда я пытаюсь аутентифицироваться:

[2009/08/20 15:13:36, 4] nsswitch/winbindd_dual.c:fork_domain_child(1080)
  child daemon request 13
[2009/08/20 15:13:36, 10] nsswitch/winbindd_dual.c:child_process_request(478)
  process_request: request fn AUTH_CRAP
[2009/08/20 15:13:36, 3] nsswitch/winbindd_pam.c:winbindd_dual_pam_auth_crap(1755)
  [ 4127]: pam auth crap domain: MYDOMAIN user: MYUSER
[2009/08/20 15:13:36, 0] nsswitch/winbindd_pam.c:winbindd_dual_pam_auth_crap(1767)
  winbindd_pam_auth_crap: invalid password length 24/282
[2009/08/20 15:13:36, 2] nsswitch/winbindd_pam.c:winbindd_dual_pam_auth_crap(1931)
  NTLM CRAP authentication for user [MYDOMAIN]\[MYUSER] returned NT_STATUS_INVALID_PARAMETER (PAM: 4)
[2009/08/20 15:13:36, 10] nsswitch/winbindd_cache.c:cache_store_response(2267)
  Storing response for pid 4547, len 3240

Правильным решением является использование программы ntlm_auth из более позднего дистрибутива samba: samba 3.4 и samba 3.5, похоже, без проблем аутентифицируют Win7 с NTLMv2. Samba 3.0 не смогла этого сделать.

Запустите локальный GP на W7 (не помню, но в 2000 и 2003 это gpedit.msc). Найдите политику локального компьютера-> конфигурация компьютера-> настройки Windows-> локальные политики-> параметр безопасности-> Сетевая безопасность: уровень проверки подлинности LAN Manager

Установить LM и NTLM - использовать сеанс NTLMv2, если согласован

Вы не можете этого сделать в NTLM. Вы должны использовать kerberos, как описано в Получение Squid для аутентификации с Kerberos и Windows 2008/2003/7 / XP.