Dies ist der Befehl cntlm, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
cntlm - Authentifizierung des HTTP(S)-Proxys mit TCP/IP-Tunneling und -Beschleunigung
ZUSAMMENFASSUNG
cntlm [ -AaBcDdFfgHhillMPprSsTUuvw ] [ host1 port1 | host1:port1 ] ... ... hostN HafenN
BESCHREIBUNG
Cntlm ist ein NTLM/NTLM SR/NTLMv2-Authentifizierungs-HTTP-Proxy. Es steht zwischen deinem
Anwendungen und den Unternehmens-Proxy und fügt spontan NTLM-Authentifizierung hinzu. Du kannst
Geben Sie mehrere "übergeordnete" Proxys an und Cntlm versucht es nacheinander, bis einer funktioniert. Alle
authentifizierte Verbindungen werden zwischengespeichert und wiederverwendet, um eine hohe Effizienz zu erzielen. Zeigen Sie einfach auf Ihre Apps
Proxy-Einstellungen bei Cntlm, füllen Sie cntlm.conf (cntlm.ini) aus und Sie sind bereit. Das ist
nützlich unter Windows, aber unerlässlich für Nicht-Microsoft-Betriebssysteme. Proxy-IP-Adressen können sein
über CLI angegeben (host1:port1 zu HostN:PortN) oder die Konfigurationsdatei.
Eine andere Möglichkeit ist zu haben cntlm authentifizieren Sie Ihre lokalen Webverbindungen ohne Eltern
Stellvertreter. Es kann im Standalone-Modus arbeiten, genau wie Squid oder ISA. Standardmäßig alle
Anfragen werden an übergeordnete Proxys weitergeleitet, aber der Benutzer kann eine "NoProxy"-Liste erstellen, eine Liste von
URL-Abgleich mit Platzhaltermustern, die zwischen Direkt- und Weiterleitungsmodus weiterleiten. Cntlm kann
Erkennen Sie auch, wenn alle Ihre Unternehmens-Proxys nicht verfügbar sind, und wechseln Sie zu Stand-Alone
Modus automatisch (und dann wieder zurück). Abgesehen von WWW und PROXY Authentifizierung, cntlm
bietet eine nützliche Funktion, die es Benutzern ermöglicht, ihre Laptops zwischen Arbeit und Zuhause zu migrieren
ohne die Proxy-Einstellungen in ihren Anwendungen zu ändern (mit cntlm die ganze Zeit). Cntlm
integriert auch eine transparente TCP/IP-Portweiterleitung (Tunneling). Jeder Tunnel öffnet einen neuen
Listening-Socket auf dem lokalen Computer und leitet alle Verbindungen an den Zielhost weiter
hinter dem übergeordneten Proxy. Anstelle dieser SSH-ähnlichen Tunnel kann der Benutzer auch einen eingeschränkten
SOCKS5-Schnittstelle.
Kernbereich cntlm Funktion war dem späten NTLMAPS ähnlich, aber heute cntlm hat sich so entwickelt
über alles hinaus, was jede andere Anwendung dieser Art bieten kann. Die Feature-Liste unten
spricht für sich selbst. Cntlm hat viele Sicherheits-/Datenschutzfunktionen wie NTLMv2 Unterstützung und
Passwortschutz - es ist möglich, Passwort-Hashes zu ersetzen (die erhältlich sind
Verwendung von -H) anstelle des eigentlichen Passworts oder um das Passwort interaktiv einzugeben (auf
Inbetriebnahme oder über "einfache" HTTP-Auth-Übersetzung). Wenn ein Klartext-Passwort verwendet wird, ist es
beim Start automatisch gehasht und alle Spuren davon werden aus dem Prozess entfernt
Speicher.
Neben minimalem Einsatz von Systemressourcen, cntlm erreicht höheren Durchsatz auf a
angegebenen Link. Durch das Zwischenspeichern authentifizierter Verbindungen fungiert es als HTTP-Beschleuniger; Dies
Auf diese Weise wird der 5-Wege-Authentifizierungs-Handshake für jede Verbindung transparent eliminiert, sodass
meistens sofortiger Zugriff. Cntlm speichert einen Anforderungs-/Antworttext nie im Speicher, in
Tatsächlich wird kein Verkehr erzeugt, außer dem Austausch von Auth-Headern, bis der Client <->
Serververbindung wird vollständig ausgehandelt. Erst dann findet eine echte Datenübertragung statt. Cntlm is
in optimiertem C geschrieben und erreicht leicht fünfzehnmal schnellere Antworten als andere.
Ein Beispiel für cntlm im Vergleich zu NTMAPS: cntlm ergab durchschnittlich 76 kB/s bei einer maximalen CPU-Auslastung von
0.3%, während es bei NTLMAPS durchschnittlich 48 kB/s waren, mit einer Spitzen-CPU von 98% (Pentium M 1.8 GHz). Die
Der extreme Unterschied in der Ressourcennutzung ist einer von vielen wichtigen Vorteilen für die Verwendung von Laptops.
Spitzenspeicherverbrauch (mehrere komplexe Sites, 50 parallele Verbindungen/Threads; Werte
sind in KiB):
VSZ-RSS-CMD
3204 1436 ./cntlm -f -c ./cntlm.conf -P PID
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg
Ein inhärenter Bestandteil der Entwicklung ist die Profilerstellung und das Speichermanagement-Screening unter Verwendung von
Valgrind. Die Quelldistribution enthält eine Datei namens valgrind.txt, wo Sie sehen können
der Bericht bestätigt null Lecks, keinen Zugriff auf nicht zugewiesenen Speicher, keine Verwendung von
nicht initialisierte Daten - alle bis zu jedem in Valgrinds virtuellen emulierten Befehl verfolgt
CPU während einer typischen Produktionslebensdauer des Proxys.
OPTIONAL
Die meisten Optionen können in einer Konfigurationsdatei voreingestellt werden. Eine Option mehr als einmal angeben
ist kein Fehler, aber cntlm ignoriert alle Vorkommnisse außer dem letzten. Dies trifft nicht zu
zu Optionen wie -L, von denen jede eine neue Instanz eines Features erstellt. Cntlm kann sein
erstellt mit einer hartcodierten Konfigurationsdatei (zB /etc/cntlm.conf), die immer geladen wird,
wenn möglich. Sehen -c Option zum Überschreiben einiger oder aller seiner Einstellungen.
Verwenden Sie die -h um die verfügbaren Optionen mit einer kurzen Beschreibung anzuzeigen.
-A IP/Maske (Erlauben)
ACL-Regel zulassen. Zusammen mit -D (Ablehnen) Dies sind die beiden Regeln, die in ACL . erlaubt sind
Politik. Es ist üblicher, dies in einer Konfigurationsdatei zu haben, aber Cntlm folgt
die Prämisse, dass Sie auf der Befehlszeile dasselbe tun können wie mit der
Konfigurationsdatei. Wann Cntlm erhält eine Verbindungsanfrage, entscheidet es, ob es erlaubt wird
oder leugne es. Alle ACL-Regeln werden in einer Liste in der angegebenen Reihenfolge gespeichert.
Cntlm geht dann die Liste und die erste IP/Maske Regel, die der Anfrage entspricht
Quelladresse wird übernommen. Die Maske" kann eine beliebige Zahl von 0 bis 32 sein, wobei 32 die ist
default (das ist die genaue IP-Übereinstimmung). Diese Notation wird auch als CIDR bezeichnet. Falls Sie es wollen
um zu allem zu passen, verwenden Sie 0/0 oder ein Sternchen. ACLs auf der Befehlszeile nehmen
Vorrang vor denen in der Konfigurationsdatei. In diesem Fall sehen Sie Informationen über
das im Protokoll (unter der Liste der nicht verwendeten Optionen). Dort können Sie auch Warnungen sehen
über möglicherweise falsche Subnetzspezifikation, dann ist die IP Teil hat mehr Bits als
du erklärst durch Maske" (zB 10.20.30.40/24 sollte 10.20.30.0/24 sein).
-a NTLMv2 | NTLM2SR | NT | NTLM | LM (Auth)
Authentifizierungsart. NTLM(v2) besteht aus einer oder zwei gehashten Antworten, NT und LM
oder NTLM2SR oder NTv2 und LMv2, die aus dem Passwort-Hash berechnet werden. Jeder
Antwort verwendet einen anderen Hashing-Algorithmus; als neue Antworttypen erfunden wurden,
stärkere Algorithmen verwendet wurden. Bei der ersten Installation cntlm, finde den stärksten
was für Sie funktioniert (vorzugsweise mit -M). Oben sind sie vom stärksten bis aufgelistet
am schwächsten. Sehr alte Server oder dedizierte HW-Proxys können möglicherweise nicht verarbeitet werden
alles andere als LM. Wenn keines davon funktioniert, sehen Sie sich die Option Kompatibilitätsflags an -F oder einreichen
eine Supportanfrage.
WICHTIG: Obwohl NTLMv2 nicht weit verbreitet (dh erzwungen) ist, wird es unterstützt
auf allen Windows seit NT 4.0 SP4. Das ist für a sehr lange Zeit! Ich empfehle dringend
Sie verwenden es, um Ihre Anmeldeinformationen online zu schützen. Sie sollten auch Klartext ersetzen
Passwort Optionen mit Hashwert Bestanden[NTLMv2|NT|LM] Äquivalente. NTLMv2 ist das meiste und
möglicherweise die einzige sichere Authentifizierung der NTLM-Familie.
-B (NTLMToBasic)
Diese Option aktiviert "NTLM-to-Basic", wodurch Sie eines verwenden können cntlm für mehrere
Benutzer. Bitte beachten Sie, dass auf diese Weise die gesamte Sicherheit von NTLM verloren geht. Basic Auth verwendet nur
ein einfacher Verschlüsselungsalgorithmus, um Ihre Anmeldeinformationen zu "verstecken", und es ist mäßig einfach,
schnuppern sie.
WICHTIG: Das HTTP-Protokoll verfügt offensichtlich über die Möglichkeit, die Autorisierung vorher auszuhandeln
lässt Sie durch, aber TCP/IP nicht (dh offener Port ist offener Port). Wenn du benutzt
NTLM-to-Basic und geben Sie KEINEN Benutzernamen/Passwort in der Konfigurationsdatei an,
Sie müssen Tunneling-Features verlieren, weil cntlm allein wird dich nicht kennen
Referenzen.
Da die NTLM-Identifikation aus mindestens drei Teilen besteht (Benutzername, Passwort, Domäne)
und die Basisauthentifizierung bietet nur zwei Felder (Benutzername, Passwort), Sie
muss den Domain-Teil irgendwohin schmuggeln. Sie können die Domain config/cmd-Zeile
Parameter, der dann für alle Benutzer verwendet wird, die ihre Domain nicht angeben als
ein Teil des Benutzernamens. Um dies zu tun und die globale Domäneneinstellung zu überschreiben, verwenden Sie dies
anstelle des reinen Benutzernamens im Passwortdialog: "Domäne\Benutzername".
-c
Konfigurationsdatei. Befehlszeilenoptionen, falls verwendet, überschreiben die einzelnen Optionen oder
werden oben in der Liste für Mehrfachoptionen hinzugefügt (Tunnel, übergeordnete Proxys usw.)
mit Ausnahme von ACLs, die vollständig überschrieben werden. Verwenden / dev / null zu
Deaktivieren Sie eine beliebige Konfigurationsdatei.
-D IP/Maske (Aberkennen)
ACL-Regel verweigern. Siehe Option -A zu teilen.
-d (Domain)
Die Domäne oder Arbeitsgruppe des Proxykontos. Dieser Wert kann auch als a . angegeben werden
Teil des Benutzernamens mit -u.
-F (Flaggen)
NTLM-Authentifizierungsflags. Diese Option ist für die Bewertung heikel und ich empfehle sie nicht
Ändern Sie die integrierten Standardwerte, es sei denn, Sie hatten keinen Erfolg mit der übergeordneten Proxy-Authentifizierung
und versuchte magische automatische Erkennung (-M) und alle möglichen Werte für die Auth zu erhalten
(-a). Denken Sie daran, dass jede NT/LM-Hash-Kombination unterschiedliche Flags erfordert. Dies
Option ist eine Art vollständige "manuelle Überschreibung" und Sie müssen sich damit befassen
dich selber.
-f In der Konsole als Vordergrundjob ausführen, nicht in den Hintergrund verzweigen. In diesem Modus sind alle
syslog-Meldungen werden an die Konsole ausgegeben (auf Plattformen, die syslog . unterstützen)
LOG_PERROR-Option). Obwohl cntlm ist in erster Linie als klassischer UNIX-Daemon konzipiert
mit syslogd-Protokollierung bietet es einen detaillierten ausführlichen Modus, ohne sich vom
Kontrollterminal; sehen -v. In jedem Fall sind alle Fehler- und Diagnosemeldungen
immer an den Systemlogger gesendet.
-G (ISAScannerAgent)
User-Agent-Matching (Groß-/Kleinschreibung nicht beachten) für das trans-isa-scan-Plugin (siehe -S für
Erläuterung). Positive Übereinstimmung identifiziert Anfragen (Bewerbungen), für die die
Plugin sollte aktiviert werden, ohne die Größe des Downloads zu berücksichtigen (siehe -S). Sie
kann Shell-Platzhalterzeichen verwenden, nämlich "*", "?" und "[]". Bei Verwendung ohne -S or
ISAScannerGröße, der max_size_in_kb ist intern auf unendlich gesetzt, also das Plugin
ist NUR für ausgewählte User-Agents aktiv, unabhängig von der Downloadgröße.
-g (Tor)
Gateway-Modus, cntlm hört auf allen Netzwerkschnittstellen. Standard ist, nur zu binden
Rückschleife. Auf diese Weise können nur lokale Prozesse eine Verbindung herstellen cntlm. Im Gateway-Modus
obwohl, cntlm hört auf allen Schnittstellen und ist für andere Maschinen auf dem
Netzwerk. Bitte beachten Sie, dass bei dieser Option die Befehlszeilenreihenfolge von Bedeutung ist, wenn
Angeben von lokalen (hörenden) Proxy- oder Tunnel-Ports. Die, die positioniert sind, bevor es wird
nur Loopback binden; die nachher werden öffentlich sein.
WICHTIG: Alle oben genannten Punkte gelten nur für lokale Ports, für die Sie dies nicht getan haben
Geben Sie eine beliebige Quelladresse an. Wenn du. .. getan hast, cntlm versucht den angegebenen Port nur an zu binden
die angegebene Schnittstelle (bzw. IP-Adresse).
-H Verwenden Sie diese Option, um Hashes für die kennwortlose Konfiguration abzurufen. In diesem Modus cntlm
druckt die Ergebnisse und beendet. Sie können einfach kopieren und direkt in die Konfigurationsdatei einfügen.
Sie sollten diese Option mit expliziten verwenden -u und -d, weil einige Hashes enthalten
der Benutzername und der Domänenname in der Berechnung. Sehen -a für die Sicherheit
Empfehlungen.
-h Hilfe anzeigen (verfügbare Optionen mit kurzer Beschreibung) und beenden.
-I Interaktive Passwortabfrage. Alle Passworteinstellungen über die Befehlszeile oder Konfiguration
Datei wird ignoriert und es wird eine Passwortabfrage ausgegeben. Verwenden Sie diese Option nur von der Shell aus.
-L [ :] : : (Tunnel)
Tunneldefinition. Die Syntax ist dieselbe wie bei der lokalen Weiterleitung von OpenSSH (-L),
mit einem neuen optionalen Präfix, traurig - die Quell-IP-Adresse zum Binden der lport nach.
Cntlm lauscht auf eingehende Verbindungen auf dem lokalen Port lport, Weiterleitung
jede neue Verbindung über den übergeordneten Proxy zum rhost:rport (Authentifizierung an
das geht). Diese Option kann mehrmals für eine unbegrenzte Anzahl von Tunneln verwendet werden,
mit oder ohne die traurig Möglichkeit. Sehen -g für die Details zum lokalen Hafen
verbindlich, wenn traurig ist nicht benutzt.
Bitte beachten Sie, dass viele Unternehmens-Proxys keine Verbindungen zu anderen Ports zulassen
als 443 (https), aber wenn Sie Ihren Zieldienst auf diesem Port ausführen, sollten Sie
sicher. Eine Verbindung zu HTTPS ist "immer" erlaubt, sonst könnte es niemand
durchsuchen Sie https://-Sites. Versuchen Sie auf jeden Fall zuerst, ob Sie eine Verbindung herstellen können
durch den Tunnel, bevor Sie sich darauf verlassen. Diese Funktion erfüllt die gleiche Aufgabe wie Werkzeuge
Gefällt mir Korkenzieher(1), aber anstatt über ein Terminal zu kommunizieren, cntlm behält es
TCP / IP.
-l [ :] (Hören)
Lokaler Hafen für die cntlm Proxy-Dienst. Verwenden Sie die hier gewählte Nummer und die
Hostname der laufenden Maschine cntlm (evtl. localhost) als Proxy-Einstellungen in
Ihren Browser und/oder die Umgebung. Die meisten Anwendungen (einschließlich Konsole) unterstützen
der Begriff des Proxys, um sich mit anderen Hosts zu verbinden. Stellen Sie auf POSIX Folgendes ein
zu verwendende Variablen zB wget(1) ohne Probleme (geben Sie die tatsächliche Adresse von . an
cntlm):
$ export ftp_proxy=http://localhost: 3128
$ exportieren http_proxy=$ftp_proxy
$ exportieren https_proxy=$ftp_proxy
Sie können den Proxy-Dienst auf mehr als einem Port ausführen, in diesem Fall einfach
Verwenden Sie diese Option so oft wie nötig. Aber im Gegensatz zur Tunneldefinition, cntlm
kann nicht gestartet werden, wenn nicht alle Proxy-Dienstports gebunden werden können. Proxy-Service-Port
kann auch selektiv gebunden werden. Verwenden traurig um die Quell-IP-Adresse auszuwählen, um die zu binden
lport zu. So können Sie beispielsweise den Dienst auf verschiedenen Ports für
Subnetz A und B und machen Sie es für Subnetz C unsichtbar. Siehe -g für die Details
bezüglich lokaler Portbindung, wenn traurig ist nicht benutzt.
-M
Führen Sie die magische NTLM-Dialekterkennung aus. In diesem Modus cntlm versucht einige bekannte Arbeiten
Voreinstellungen gegen Ihren Proxy. Sondierungsanfragen werden für die angegebenen Testurl, mit
die stärksten hashes gehen zuerst. Wenn Sie fertig sind, Einstellungen für die sichersten
Setup gedruckt werden. Obwohl die Erkennung Ihnen sagt, welche und wie Sie es verwenden müssen Auth,
Flags und Passwort-Hash-Optionen müssen Sie zumindest Ihre Zugangsdaten konfigurieren
und Proxy-Adresse zuerst. Sie können verwenden -I um Ihr Passwort interaktiv einzugeben.
-N [, (Kein Vertreter)
Vermeiden Sie einen übergeordneten Proxy für diese Hostnamen. Alle übereinstimmenden URLs werden weitergeleitet
Direkt by cntlm als eigenständiger Proxy. Cntlm unterstützt dabei die WWW-Authentifizierung
Modus, sodass Sie mit NTLM des Unternehmens auf lokale Intranet-Sites zugreifen können
Authentifizierung. Hoffentlich brauchen Sie dieses virtualisierte MSIE nicht mehr. :)
-O [ :] (SOCKS5Proxy)
Aktivieren Sie den SOCKS5-Proxy und lassen Sie ihn auf dem lokalen Port lauschen Port-Nummer (Quell-IP-Spezifikation ist
auch möglich, wie bei allen Optionen). Standardmäßig gibt es keine Einschränkungen, da
wer diesen Service nutzen kann. Einige Clients unterstützen nicht einmal die SOCKS5-Authentifizierung
(zB fast alle Browser). Wenn Sie die Authentifizierung erzwingen möchten, verwenden Sie -R oder ihre
gleichwertige Möglichkeit, SOCKS5Benutzer. Wie beim Port-Tunneling liegt es am übergeordneten Proxy
ob es eine Verbindung zu einem angeforderten host:port erlaubt. Diese Funktion kann
benutzt mit Socken(1) um die meisten TCP/IP-Anwendungen über den Proxy laufen zu lassen, anstatt
direkt (nur ausgehende Verbindungen funktionieren natürlich). Damit Apps funktionieren
ohne DNS-Server ist es wichtig, dass sie sich nicht selbst auflösen, sondern mit
SOCKEN. ZB hat Firefox diese Option über den URI "about:config", Schlüsselname
network.proxy.socks_remote_dns, die auf eingestellt sein muss was immer dies auch sein sollte.. Proxy nicht bekannt
SockenApps, müssen mit IP-Adressen konfiguriert werden, um sie zu verhindern
von der DNS-Auflösung.
-P
Erstellen Sie eine PID-Datei pid-Datei beim Start. Wenn die angegebene Datei existiert, ist sie
abgeschnitten und überschrieben. Diese Option ist für die Verwendung mit Start stop-
Daemon(8) und andere Wartungsmechanismen. Bitte beachten Sie, dass die PID-Datei erstellt wird
NACHDEM löscht der Prozess seine Privilegien und Forks. Wenn der Daemon sauber beendet ist,
die Datei wird entfernt.
-p (Passwort, PassNT, ...)
Passwort des Proxy-Kontos. Cntlm löscht das Passwort aus dem Speicher, um es zu machen
unsichtbar in / proc oder mit Inspektionswerkzeugen wie ps(1), aber der vorzuziehende Weg
Das Einstellungskennwort ist die Konfigurationsdatei. Zu diesem Zweck können Sie Passwort
Option (für Klartext, menschenlesbares Format) oder "verschlüsseln" Sie Ihr Passwort über -H
Und dann verwenden Bestehen Sie NTLMv2, PassNT und / oder PassLM.
-R : (SOCKS5Benutzer)
Wenn der SOCKS5-Proxy aktiviert ist, kann diese Option nur für diejenigen zugänglich sein, die
autorisiert worden sind. Es kann mehrmals verwendet werden, um eine ganze Liste von
Konten (zulässige Benutzer:Pass-Kombinationen).
-S (ISAScanner-Größe)
Aktiviert das Plugin für den transparenten Umgang mit dem gefürchteten ISA AV-Scanner, der
gibt eine interaktive HTTP-Seite zurück (die den Scan-Fortschritt anzeigt) anstelle der
Datei/Daten, die Sie angefordert haben, jedes Mal, wenn Sie den Inhalt scannen möchten. Dies
anmaßendes Verhalten unterbricht jeden automatisierten Downloader, Updater und im Grunde
JEDE Anwendung, die auf Downloads angewiesen ist (zB wget, apt-get).
Der Parameter max_size_in_kb ermöglicht es Ihnen, die maximale Download-Größe auszuwählen, die Sie möchten
handhaben durch das Plugin (siehe unten, warum Sie das vielleicht wollen). Wenn die Dateigröße
größer als das, cntlm leitet Ihnen die interaktive Seite weiter und deaktiviert effektiv
das Plugin für diesen Download. Null bedeutet keine Begrenzung. Verwenden -G/ISAScannerAgent zu
Anwendungen identifizieren, für die max_size_in_kb ignoriert werden (erzwingen der
Plugin). Es funktioniert durch den Abgleich des User-Agent-Headers und ist z. B. für wget,
apt-get und yum, was fehlschlagen würde, wenn die Antwort eine HTTP-Seite statt einer wäre
angeforderten Daten.
So funktioniert es: Der Kunde fragt nach einer Datei, cntlm erkennt die Bullshit-Antwort von ISA und
wartet auf den geheimen Link zum Cache von ISA, der nicht früher kommt, als die Datei ist
heruntergeladen und von ISA gescannt. Nur dann kann cntlm stellen Sie die zweite Anfrage für die
real-Datei und leitet sie zusammen mit den korrekten Headern an den Client weiter. Der Kunde
keine Zeitüberschreitung beim Warten darauf, b/c cntlm schickt regelmäßig ein Extra
"keepalive" -Header, aber der Benutzer könnte nervös werden, wenn er den Fortschrittsbalken nicht sieht
Bewegung. Es ist natürlich rein psychologisch egal, es gibt keinen Unterschied, wenn cntlm or
Ihr Browser fordert die gescannte Datei an - Sie müssen warten, bis ISA seine Arbeit erledigt und
dann herunterladen. Sie erwarten nur, dass sich eine Fortschrittsanzeige bewegt, das ist alles
was die ISA-Seite macht: Sie zeigt den HTML-Countdown an.
Wenn das Plugin die interaktive Seite aus irgendeinem Grund nicht analysieren kann (unbekannt
Formatierung usw.), wird es beendet und die Seite wird an Sie weitergeleitet - sie ist nie "verloren".
Der Keepalive-Header heißt ISA-Scanner und zeigt den Fortschritt von ISA an, zB:
HTTP / 1.1 200 OK
ISA-Scanner: 1000 von 10000
ISA-Scanner: 2000 von 10000
...
-r " : " (Header)
Header-Ersetzung. Jede Kundenanfrage wird bearbeitet und alle Header
definiert mit -r oder in der Konfigurationsdatei hinzugefügt wird. Falls die
Header bereits vorhanden ist, wird sein Wert ersetzt.
-s Serialisiert alle Anfragen, indem keine gleichzeitigen Threads für den Proxy verwendet werden (Tunneling immer noch
arbeitet parallel). Dies hat schreckliche Auswirkungen auf die Leistung und ist nur verfügbar
für Debugging-Zwecke. Bei Verwendung mit -v, es ergibt ein schönes sequentielles Debug-Log,
wo sich die Anfragen abwechseln.
-T
Wird in Kombination mit verwendet -v um die Debug-Ausgabe in einer Trace-Datei zu speichern. Es sollte
als erster Parameter in der Befehlszeile platziert werden. Um Datenverlust zu vermeiden,
überschreibt niemals eine vorhandene Datei. Sie müssen einen eindeutigen Namen oder manuell auswählen
lösche die alte Datei.
-U
Wenn Sie als root ausgeführt werden, tun Sie die Dinge, die solche Berechtigungen benötigen (Read config, bind
Ports usw.) und dann sofort die Berechtigungen verwerfen und zu wechseln uid. Dieser Parameter
kann entweder eine Nummer oder ein Systembenutzername sein. Wenn Sie eine Zahl verwenden, werden sowohl uid als auch gid von . verwendet
der Prozess wird auf diesen Wert gesetzt; Wenn Sie einen Benutzernamen angeben, werden uid und gid
entsprechend der Benutzer-UID und der primären Gid, wie in definiert, eingestellt werden / etc / passwd. Sie
sollte letzteres verwenden, möglicherweise mit einem dedizierten cntlm Konto. Wie bei jedem
Dämon, du bist starker empfohlen zu laufen cntlm unter einem nicht privilegierten Konto.
-u [@ ] (Nutzername)
Proxy-Konto/Benutzername. Es kann auch eine Domäne eingegeben werden.
-v Debugging-Informationen drucken. Aktiviert automatisch (-f).
-w (Arbeitsplatz)
NetBIOS-Name der Arbeitsstation. Verwenden Sie hier keinen vollqualifizierten Domänennamen (FQDN). Gerade
Der erste Teil. Wenn nicht angegeben, cntlm versucht, den Hostnamen des Systems zu erhalten und wenn
das fehlschlägt, verwendet "cntlm" - weil einige Proxys erfordern, dass dieses Feld nicht leer ist.
CONFIGURATION
Die Konfigurationsdatei ist im Grunde eine INI-Datei, außer dass es kein "=" zwischen Schlüsseln und gibt
Werte. Es besteht aus durch Leerzeichen getrennten Schlüsselwort- und Wertpaaren. Abgesehen davon,
es gibt auch Abschnitte, sie haben die übliche Syntax von "[Abschnittsname]". Kommentar beginnt
mit einem Raute "#" oder einem Semikolon ";" und kann sich überall in der Datei befinden. Alles nach dem
markieren, bis EOL ein Kommentar ist. Werte können beliebige Zeichen enthalten, einschließlich Leerzeichen.
Du kann Verwenden Sie doppelte Anführungszeichen um den Wert, um eine Zeichenfolge mit Sonderzeichen festzulegen
wie Leerzeichen, Nummernzeichen usw. In Zeichenfolgen in Anführungszeichen sind keine Escape-Sequenzen zulässig.
Es gibt zwei Arten von Keywords, aus einer regionalen und globale . Lokale Optionen geben die Authentifizierung an
Details pro Domain (oder Standort). Globale Schlüsselwörter gelten für alle Abschnitte und Proxys. Sie
sollte vor allen Abschnitten stehen, ist aber nicht notwendig. Sie sind: Zulassen, Verweigern,
Gateway, Listen, SOCKS5Proxy, SOCKS5User, NTLMToBasic, Tunnel.
Alle verfügbaren Schlüsselwörter sind hier aufgelistet, vollständige Beschreibungen finden Sie im Abschnitt OPTIONEN:
Erlauben [/ ]
ACL-Zulassungsregel, siehe -A.
Auth NTLMv2 | NTLM2SR | NT | NTLM | LM
Wählen Sie eine beliebige Kombination von NTLM-Hashes mit einem einzigen Parameter aus.
Ablehnen [/ ]
ACL-Verweigerungsregel, siehe -A.
Domain
Domänen-/Arbeitsgruppenname des Proxykontos.
Flags
NTLM-Authentifizierungsflags. Sehen -F für weitere Einzelheiten.
Gateway ja|nein
Gateway-Modus. In der Konfigurationsdatei spielt die Reihenfolge keine Rolle. Gateway-Modus gilt
Das gleiche gilt für alle Tunnel.
Kopfzeile <Headername: Wert>
Header-Ersetzung. Sehen -r für Details und denken Sie daran, keine Zitate.
ISAScannerAgent
Wildcard-aktivierte (*, ?, []) Groß-/Kleinschreibung wird nicht beachtet User-Agent-Zeichenfolgenabgleich für die
trans-isa-Plugin. Wenn du nicht definierst ISAScannerGröße, es ist intern auf gesetzt
unendlich, dh Deaktivieren des Plugins für alle Downloads außer denen, die mit dem Agenten übereinstimmen
Einsen. Sehen -G.
ISAScannerGröße
Trans-isa-scan-Plugin aktivieren. Sehen -S für mehr.
Reinhören [ :]
Lokale Portnummer für die cntlmProxy-Dienst. Sehen -l für mehr.
Passwort
Passwort des Proxy-Kontos. Wie bei jeder anderen Option kann der Wert (Passwort) sein
in doppelte Anführungszeichen (") eingeschlossen, falls es Sonderzeichen wie Leerzeichen,
Pfundzeichen usw.
Bestehen Sie NTLMv2, PassNT, PassLM
Hashes des Proxy-Konto-Passworts (siehe -H und -a). Wenn Sie Hashes verwenden möchten
in der config (statt Klartext-Passwort) jeweils Auth Einstellungen erfordert
verschiedene Möglichkeiten:
Einstellungen | Erfordert
--------------+-----------------
Auth NTLMv2 | Bestehen Sie NTLMv2
Authentifizierung NTLM2SR | PassNT
Auth NT | PassNT
Auth NTLM | PassNT + PassLM
Authentifizierung LM | PassLM
Proxy
Übergeordneter Proxy, der eine Authentifizierung erfordert. Das gleiche wie Proxy auf der Befehlszeile,
kann mehr als einmal verwendet werden, um eine beliebige Anzahl von Proxys anzugeben. Sollte man
Proxy-Fehler, cntlm geht automatisch zum nächsten über. Die Verbindungsanfrage schlägt fehl
nur wenn die gesamte Liste der Proxys gescannt und (für jede Anfrage) und als befunden wurde
ungültig. Die Befehlszeile hat Vorrang vor der Konfigurationsdatei.
Kein Vertreter , , ...
Vermeiden Sie einen übergeordneten Proxy für diese Hostnamen. Alle übereinstimmenden URLs werden weitergeleitet
Direkt by cntlm als eigenständiger Proxy. Cntlm unterstützt dabei die WWW-Authentifizierung
Modus, sodass Sie mit NTLM des Unternehmens auf lokale Intranet-Sites zugreifen können
Authentifizierung. Hoffentlich brauchen Sie dieses virtualisierte MSIE nicht mehr. :) Sehen -N
für mehr.
SOCKS5Proxy [ :]
Aktivieren Sie den SOCKS5-Proxy. Sehen -O für mehr.
SOCKS5Benutzer :
Erstellen Sie ein neues SOCKS5-Proxy-Konto. Sehen -R für mehr.
NTLMToBasic ja|nein
Aktivieren/deaktivieren Sie die NTLM-zu-Basis-Authentifizierung. Sehen -B für mehr.
Tunnel [ :] : :
Tunneldefinition. Sehen -L für mehr.
Benutzername
Name des Proxy-Kontos, ohne die Möglichkeit, einen Domänennamen einzuschließen (das Zeichen "at" ist
wörtlich interpretiert).
Arbeitsplatz
Der Hostname Ihrer Workstation.
Verwenden Sie cntlm online mit den onworks.net-Diensten
