cntlm - En ligne dans le Cloud

PROGRAMME:

Nom

cntlm - authentification du proxy HTTP(S) avec tunneling TCP/IP et accélération

SYNOPSIS

cntlm [ -AaBcDdFfgHhILlMPprSsTUuvw ] [ host1 port1 | host1:port1 ]... hôteN portN

DESCRIPTION

Contrôle est un proxy HTTP d'authentification NTLM/NTLM SR/NTLMv2. Il se tient entre votre
applications et le proxy d'entreprise, en ajoutant l'authentification NTLM à la volée. Vous pouvez
spécifiez plusieurs proxys "parents" et Cntlm essaiera l'un après l'autre jusqu'à ce que l'un d'eux fonctionne. Tous
Les connexions auth'd sont mises en cache et réutilisées pour atteindre une efficacité élevée. Pointez simplement vos applications
paramètres proxy sur Cntlm, remplissez cntlm.conf (cntlm.ini) et vous êtes prêt à le faire. C'est
utile sous Windows, mais essentiel pour les systèmes d'exploitation non Microsoft. Les adresses IP proxy peuvent être
spécifié via CLI (hôte1:port1 à hôteN:portN) ou le fichier de configuration.

Une autre option est d'avoir cntlm authentifiez vos connexions Web locales sans aucun parent
mandataires. Il peut fonctionner en mode autonome, tout comme Squid ou ISA. Par défaut, tout
les requêtes sont transmises aux proxys parents, mais l'utilisateur peut définir une liste "NoProxy", une liste de
URL correspondant aux modèles de caractères génériques, qui passent entre les modes direct et direct. Contrôle vous
reconnaître également lorsque tous vos proxys d'entreprise sont indisponibles et passer en mode autonome
mode automatiquement (puis de nouveau). À part WWW ainsi que PROCURATION authentification, cntlm
fournit une fonctionnalité utile permettant aux utilisateurs de migrer leurs ordinateurs portables entre le travail et la maison
sans modifier les paramètres de proxy dans leurs applications (en utilisant cntlm tout le temps). Contrôle
intègre également une redirection de port TCP/IP transparente (tunneling). Chaque tunnel ouvre un nouveau
socket d'écoute sur la machine locale et transmet toutes les connexions à l'hôte cible
derrière le proxy parent. Au lieu de ces tunnels de type SSH, l'utilisateur peut également choisir un nombre limité
Interface SOCKS5.

Core cntlm fonction avait été similaire à la fin NTMAPS, mais aujourd'hui, cntlm a évolué de manière
au-delà de tout ce que toute autre application de ce type peut offrir. La liste des fonctionnalités ci-dessous
parle pour lui-même. Contrôle a de nombreuses fonctionnalités de sécurité/confidentialité comme NTLMv2 soutien et
protection par mot de passe - il est possible de remplacer les hachages de mot de passe (qui peuvent être obtenus
en utilisant -H) à la place du mot de passe réel ou pour saisir le mot de passe de manière interactive (sur
démarrage ou via une traduction d'authentification HTTP "de base"). Si un mot de passe en clair est utilisé, il est
automatiquement haché lors du démarrage et toutes les traces de celui-ci sont supprimées du processus
mémoire.

En plus d'une utilisation minimale des ressources système, cntlm atteint un débit plus élevé sur un
lien donné. En mettant en cache les connexions authentifiées, il agit comme un accélérateur HTTP ; Cette
manière, la poignée de main d'authentification à 5 voies pour chaque connexion est éliminée de manière transparente, fournissant
accès immédiat la plupart du temps. Contrôle ne met jamais en cache un corps de requête/réponse en mémoire, dans
en fait, aucun trafic n'est généré à l'exception de l'échange d'en-têtes d'authentification jusqu'à ce que le client <->
la connexion au serveur est entièrement négociée. Ce n'est qu'alors qu'un véritable transfert de données a lieu. Contrôle is
écrit en C optimisé et obtient facilement des réponses quinze fois plus rapides que les autres.

Un exemple de cntlm par rapport à NTMAPS : cntlm a donné une moyenne de 76 ko/s avec une utilisation maximale du processeur de
0.3 % alors qu'avec NTLMAPs, il était en moyenne de 48 ko/s avec un processeur de pointe à 98 % (Pentium M 1.8 GHz). Les
La différence extrême dans l'utilisation des ressources est l'un des nombreux avantages importants de l'utilisation d'un ordinateur portable.
Consommation de mémoire maximale (plusieurs sites complexes, 50 connexions/threads parallèles ; valeurs
sont en KiB) :

CMD RSS VSZ
3204 1436 ./cntlm -f -c ./cntlm.conf -P pid
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg

Une partie inhérente du développement est le profilage et le criblage de la gestion de la mémoire à l'aide de
Valgrind. La distribution source contient un fichier appelé valgrind.txt, où vous pouvez voir
le rapport confirmant l'absence de fuite, aucun accès à la mémoire non allouée, aucune utilisation de
données non initialisées - toutes tracées jusqu'à chaque instruction émulée dans le virtuel de Valgrind
CPU pendant une durée de vie de production typique du proxy.

OPTIONS

La plupart des options peuvent être prédéfinies dans un fichier de configuration. Spécification d'une option plusieurs fois
n'est pas une erreur, mais cntlm ignore toutes les occurrences sauf la dernière. Cela ne s'applique pas
à des options comme -L, dont chacun crée une nouvelle instance d'une fonctionnalité. Contrôle peuvent être
construit avec un fichier de configuration codé en dur (par exemple /etc/cntlm.conf), qui est toujours chargé,
si possible. Voir -c option sur la façon de remplacer certains ou tous ses paramètres.

Utilisez -h pour voir les options disponibles avec une brève description.

-A IP/masque (Permettre)
Autoriser la règle ACL. Ensemble avec -D (Refuser) ce sont les deux règles autorisées dans ACL
politique. Il est plus courant de l'avoir dans un fichier de configuration, mais Contrôle suit
la prémisse que vous pouvez faire la même chose sur la ligne de commande que vous pouvez en utilisant le
fichier de configuration. Lorsque Contrôle reçoit une demande de connexion, il décide d'autoriser
ou le nier. Toutes les règles ACL sont stockées dans une liste dans le même ordre que celui spécifié.
Contrôle puis parcourt la liste et le premier IP/masque règle qui correspond à la demande
l'adresse source est appliquée. Les masque peut être n'importe quel nombre de 0 à 32, où 32 est le
par défaut (c'est la correspondance IP exacte). Cette notation est également connue sous le nom de CIDR. Si tu veux
pour tout faire correspondre, utilisez 0/0 ou un astérisque. Les listes de contrôle d'accès sur la ligne de commande prennent
priorité sur ceux du fichier de configuration. Dans ce cas, vous verrez des informations sur
que dans le journal (parmi la liste des options inutilisées). Là, vous pouvez également voir des avertissements
à propos d'une spécification de sous-réseau éventuellement incorrecte, c'est à ce moment-là que le IP la partie a plus de bits que
vous déclarez par masque (par exemple, 10.20.30.40/24 devrait être 10.20.30.0/24).

-a NTLMv2 | NTLM2SR | NT | NTLM | LM (Authentification)
Type d'identification. NTLM(v2) comprend une ou deux réponses hachées, NT et LM
ou NTLM2SR ou NTv2 et LMv2, qui sont calculés à partir du hachage du mot de passe. Chaque
la réponse utilise un algorithme de hachage différent ; à mesure que de nouveaux types de réponses ont été inventés,
des algorithmes plus puissants ont été utilisés. Lors de la première installation cntlm, trouve le plus fort
qui fonctionne pour vous (de préférence en utilisant -M). Ci-dessus, ils sont classés du plus fort au
le plus faible. Les serveurs très anciens ou les proxys matériels dédiés peuvent être incapables de traiter
tout sauf LM. Si aucun de ces éléments ne fonctionne, consultez l'option des indicateurs de compatibilité -F ou soumettre
une demande d'assistance.

IMPORTANT: Bien que NTLMv2 ne soit pas largement adopté (c'est-à-dire appliqué), il est pris en charge
sur tous les Windows depuis NT 4.0 SP4. C'est pour a très Long fiable! je suggère fortement
vous l'utilisez pour protéger vos informations d'identification en ligne. Vous devez également remplacer le texte brut
Mot de Passe options avec hachage Passer[NTLMv2|NT|LM] équivalents. NTLMv2 est le plus et
peut-être la seule authentification sécurisée de la famille NTLM.

-B (NTLMVersBasique)
Cette option active "NTLM-to-basic", ce qui vous permet d'utiliser un cntlm pour plusieurs
utilisateurs. Veuillez noter que toute la sécurité de NTLM est perdue de cette façon. L'authentification de base utilise juste
un algorithme d'encodage simple pour « cacher » vos informations d'identification et il est relativement facile de
les renifler.

IMPORTANT : le protocole HTTP a évidemment des moyens de négocier l'autorisation avant
vous laissant passer, mais TCP/IP ne le fait pas (c'est-à-dire qu'un port ouvert est un port ouvert). Si tu utilises
NTLM-to-basic et NE PAS spécifier de nom d'utilisateur/mot de passe dans le fichier de configuration,
vous êtes lié à des fonctionnalités de tunnel desserrées, car cntlm seul ne connaîtra pas votre
lettres de créance.

Parce que l'identification NTLM comporte au moins trois parties (nom d'utilisateur, mot de passe, domaine)
et l'authentification de base ne fournit des champs que pour deux (nom d'utilisateur, mot de passe), vous
devez faire passer la partie du domaine en contrebande quelque part. Vous pouvez définir le Domaine config/ligne cmd
paramètre, qui sera ensuite utilisé pour tous les utilisateurs, qui ne spécifient pas leur domaine comme
une partie du nom d'utilisateur. Pour ce faire et remplacer le paramètre de domaine global, utilisez ceci
au lieu du simple nom d'utilisateur dans la boîte de dialogue du mot de passe : "domaine\nom d'utilisateur".

-c
Fichier de configuration. Les options de ligne de commande, si elles sont utilisées, remplacent ses options uniques ou
sont ajoutés en haut de la liste pour les options multiples (tunnels, proxys parents, etc.)
à l'exception des ACL, qui sont complètement remplacées. Utilisation / dev / null à
désactiver n'importe quel fichier de configuration.

-D IP/masque (Refuser)
Refuser la règle ACL. Voir l'option -A au dessus.

-d (Domaine)
Le domaine ou le groupe de travail du compte proxy. Cette valeur peut également être spécifiée comme un
partie du nom d'utilisateur avec -u.

-F (Drapeaux)
Indicateurs d'authentification NTLM. Cette option est assez délicate et je ne recommande pas de
modifiez les valeurs intégrées par défaut à moins que vous n'ayez eu aucun succès avec l'authentification du proxy parent
et essayé la détection automatique magique (-M) et toutes les valeurs possibles pour le Auth option
(-a). N'oubliez pas que chaque combinaison de hachage NT/LM nécessite des indicateurs différents. Cette
L'option est en quelque sorte une "modification manuelle" complète et vous devrez vous en occuper
toi même.

-f Exécutez dans la console en tant que tâche de premier plan, ne passez pas à l'arrière-plan. Dans ce mode, tout
les messages syslog seront renvoyés à la console (sur les plates-formes qui prennent en charge syslog
option LOG_PERROR). Bien que cntlm est principalement conçu comme un démon UNIX classique
avec la journalisation syslogd, il fournit un mode détaillé sans se détacher du
terminal de contrôle ; voir -v. Dans tous les cas, tous les messages d'erreur et de diagnostic sont
toujours envoyé à l'enregistreur système.

-G (ISAScannerAgent)
Correspondance User-Agent (insensible à la casse) pour le plugin trans-isa-scan (voir -S en
explication). Une correspondance positive identifie les demandes (applications) pour lesquelles le
plugin doit être activé sans tenir compte de la taille du téléchargement (voir -S). Toi
peut utiliser des caractères génériques shell, à savoir "*", "?" et "[]". Si utilisé sans -S or
ISAScannerTaille, taille_max_en_kb est réglé en interne sur l'infini, donc le plugin
sera actif UNIQUEMENT pour les User-Agents sélectionnés, quelle que soit la taille du téléchargement.

-g (Passerelle)
Mode passerelle, cntlm écoute sur toutes les interfaces réseau. La valeur par défaut est de lier juste
bouclage. De cette façon, seuls les processus locaux peuvent se connecter à cntlm. En mode passerelle
bien que, cntlm écoute sur toutes les interfaces et est accessible aux autres machines sur le
réseau. Veuillez noter qu'avec cette option, l'ordre de la ligne de commande est important lorsque
en spécifiant les ports locaux (d'écoute) proxy ou tunnel. Ceux qui sont placés avant
lier uniquement le bouclage ; ceux d'après seront publics.
IMPORTANT : tout ce qui précède s'applique uniquement aux ports locaux pour lesquels vous n'avez pas
spécifiez n'importe quelle adresse source. Si vous l'avez fait, cntlm essaie de lier le port donné uniquement sur
l'interface spécifiée (ou plutôt l'adresse IP).

-H Utilisez cette option pour obtenir des hachages pour une configuration sans mot de passe. Dans ce mode, cntlm
imprime les résultats et quitte. Vous pouvez simplement copier et coller directement dans le fichier de configuration.
Vous devez utiliser cette option avec explicite -u ainsi que -d, car certains hachages incluent
le nom d'utilisateur et le nom de domaine dans le calcul. Voir -a pour la sécurité
recommandations.

-h Affichez l'aide (options disponibles avec une brève description) et quittez.

-I Invite de mot de passe interactive. Tous les paramètres de mot de passe de la ligne de commande ou de la configuration
fichier est ignoré et une invite de mot de passe est émise. Utilisez cette option uniquement à partir du shell.

-L [ :] : : (Tunnel)
Définition des tunnels. La syntaxe est la même que dans le transfert local d'OpenSSH (-L),
avec un nouveau préfixe facultatif, triste - l'adresse IP source pour lier le importation à.
Contrôle écoutera les connexions entrantes sur le port local importation, transmission
chaque nouvelle connexion via le proxy parent au hôte:rapport (authentification sur
le feu vert). Cette option peut être utilisée plusieurs fois pour un nombre illimité de tunnels,
avec ou sans le triste option. Voir -g pour les détails concernant le port local
contraignant lorsque triste N'est pas utilisé.

Veuillez noter que de nombreux proxys d'entreprise n'autorisent pas les connexions aux ports d'autres
que 443 (https), mais si vous exécutez votre service cible sur ce port, vous devriez être
en sécurité. Se connecter à HTTPS est "toujours" autorisé, sinon personne ne pourrait le faire
parcourir les sites https://. Dans tous les cas, essayez d'abord si vous pouvez établir une connexion
à travers le tunnel, avant de vous y fier. Cette fonctionnalité fait le même travail que les outils
comme un tire-bouchon(1), mais au lieu de communiquer via un terminal, cntlm le garde
TCP / IP.

-l [ :] (Ecoutez)
Port local pour le cntlm service proxy. Utilisez le numéro que vous avez choisi ici et le
nom d'hôte de la machine en cours d'exécution cntlm (éventuellement localhost) en tant que paramètres de proxy dans
votre navigateur et/ou l'environnement. Prise en charge de la plupart des applications (y compris la console)
la notion de proxy pour se connecter à d'autres hôtes. Sur POSIX, définissez les éléments suivants
variables à utiliser, par exemple wget(1) sans aucun problème (remplir l'adresse réelle de
cntlm):

$ exporter ftp_proxy=http://localhost: 3128
$ exporter http_proxy=$ftp_proxy
$ exporter https_proxy=$ftp_proxy

Vous pouvez choisir d'exécuter le service proxy sur plusieurs ports, dans ce cas, il suffit
utilisez cette option autant de fois que nécessaire. Mais contrairement à la définition du tunnel, cntlm
ne démarre pas s'il ne peut pas lier tous les ports du service proxy. Port de service proxy
peuvent également être liés sélectivement. Utilisation triste pour choisir l'adresse IP source pour lier le
importation à. Cela vous permet, par exemple, d'exécuter le service sur différents ports pour
sous-réseau A et B et le rendre invisible pour le sous-réseau C. Voir -g pour les détails
concernant la liaison de port local lorsque triste N'est pas utilisé.

-M
Exécutez la détection magique du dialecte NTLM. Dans ce mode, cntlm essaie un fonctionnement connu
préréglages contre votre proxy. Les demandes de sonde sont faites pour le tester, avec
les hachages les plus forts en premier. Une fois terminé, les paramètres pour le plus sécurisé
configuration sont imprimés. Bien que la détection vous dira quoi et comment utiliser Auth,
Drapeaux et les options de hachage de mot de passe, vous devez configurer au moins vos informations d'identification
et l'adresse proxy en premier. Vous pouvez utiliser -I pour saisir votre mot de passe de manière interactive.

-N [, (Aucun proxy)
Évitez le proxy parent pour ces noms d'hôte. Toutes les URL correspondantes seront proxy
directement by cntlm en tant que proxy autonome. Contrôle prend en charge l'authentification WWW dans ce
mode, vous permettant ainsi d'accéder à des sites intranet locaux avec NTLM d'entreprise
authentification. Espérons que vous n'aurez plus besoin de ce MSIE virtualisé. :)

-O [ :] (SOCKS5Procuration)
Activer le proxy SOCKS5 et le faire écouter sur le port local numéro de port (la spécification IP source est
également possible, comme pour toutes les options). Par défaut, il n'y aura pas de restrictions car
à qui peut utiliser ce service. Certains clients ne prennent même pas en charge l'authentification SOCKS5
(par exemple presque tous les navigateurs). Si vous souhaitez appliquer l'authentification, utilisez -R ou ses
option équivalente, SOCKS5Utilisateur. Comme pour le tunneling de port, il appartient au proxy parent
s'il autorisera la connexion à n'importe quel hôte:port demandé. Cette fonctionnalité peut être
utilisé avec chaussettes(1) pour que la plupart des applications TCP/IP passent par le proxy plutôt que
directement (seules les connexions sortantes fonctionneront, évidemment). Pour faire fonctionner les applications
sans serveur DNS, il est important qu'ils ne se résolvent pas, mais en utilisant
DES CHAUSSETTES. Par exemple, Firefox a cette option disponible via l'URI "about:config", nom de la clé
réseau.proxy.socks_remote_dns, qui doit être réglé sur oui. Proxy ignorant
chaussettesifiées, devront être configurées à l'aide d'adresses IP pour les empêcher
de la résolution DNS.

-P
Créer un fichier PID fichier pid au démarrage. Si le fichier spécifié existe, il est
tronqué et écrasé. Cette option est destinée à être utilisée avec commencer arrêter-
démon(8) et d'autres mécanismes d'entretien. Veuillez noter que le fichier PID est créé
APRÈS que le processus abandonne ses privilèges et fourches. Lorsque le démon se termine proprement,
le fichier est supprimé.

-p (Mot de passe, PassNT, ...)
Mot de passe du compte proxy. Contrôle supprime le mot de passe de la mémoire, pour le rendre
invisible dans / proc ou avec des outils d'inspection comme ps(1), mais la meilleure façon de
le mot de passe de réglage est le fichier de configuration. Pour cela, vous pouvez utiliser Mot de Passe
option (pour le texte brut, format lisible par l'homme), ou "chiffrez" votre mot de passe via -H
Puis utilisez Pass NTLMv2, PassNT (facultatif) PassLM.

-R : (utilisateur SOCKS5)
Si le proxy SOCKS5 est activé, cette option peut le rendre accessible uniquement à ceux qui
ont été autorisés. Il peut être utilisé plusieurs fois, pour créer toute une liste de
comptes (combinaisons utilisateur/passe autorisées).

-S (ISAScannerTaille)
Active le plugin pour une gestion transparente du redoutable scanner ISA AV, qui
renvoie une page HTTP interactive (affichant la progression de l'analyse) au lieu du
fichier/données que vous avez demandé, chaque fois que vous avez envie de scanner le contenu. Cette
un comportement présomptueux brise chaque téléchargeur, programme de mise à jour automatisé et fondamentalement
CHAQUE application reposant sur des téléchargements (par exemple wget, apt-get).

Le paramètre taille_max_en_kb vous permet de choisir la taille de téléchargement maximale que vous souhaitez
gérer par le plugin (voir ci-dessous pourquoi vous pourriez vouloir cela). Si la taille du fichier est
plus grand que ça, cntlm vous renvoie la page interactive, désactivant efficacement
le plugin pour ce téléchargement. Zéro signifie pas de limite. Utilisation -G/ISAScannerAgent à
identifier les applications pour lesquelles taille_max_en_kb doit être ignoré (en forçant le
brancher). Cela fonctionne en faisant correspondre l'en-tête User-Agent et est nécessaire pour, par exemple, wget,
apt-get et yum, qui échoueraient si la réponse est une page HTTP au lieu de
données demandées.

Comment ça marche : le client demande un dossier, cntlm détecte la réponse de conneries d'ISA et
attend le lien secret vers le cache d'ISA, qui n'arrive pas plus tôt que le fichier est
téléchargé et scanné par ISA. Alors seulement peut cntlm faire la deuxième demande de
fichier réel et le transmettre avec les en-têtes corrects au client. Le client
n'expire pas en l'attendant, b/c cntlm envoie périodiquement un supplément
En-tête "keepalive", mais l'utilisateur peut devenir nerveux de ne pas voir la barre de progression
mouvement. c'est bien sur purement psychologique importe, il n'y a pas de différence si cntlm or
votre navigateur demande le fichier scanné - vous devez attendre que ISA fasse son travail et
télécharger alors. Vous vous attendez simplement à voir un indicateur de progression bouger, ce qui est tout
ce que fait la page de l'ISA : elle affiche le compte à rebours HTML.

Si le plugin ne peut pas analyser la page interactive pour une raison quelconque (inconnu
formatage, etc.), il se ferme et la page vous est transmise - elle n'est jamais "perdue".

L'en-tête keepalive s'appelle ISA-Scanner et montre la progression de l'ISA, par exemple :

HTTP / 1.1 200 OK
ISA-Scanner : 1000 sur 10000
ISA-Scanner : 2000 sur 10000


-r " : " (Entête)
Remplacement d'en-tête. La demande de chaque client sera traitée et tous les en-têtes
défini à l'aide -r ou dans le fichier de configuration y sera ajouté. Au cas où le
header est déjà présent, sa valeur sera remplacée.

-s Sérialise toutes les requêtes en n'utilisant pas de threads simultanés pour le proxy (le tunneling reste
fonctionne en parallèle). Cela a un impact horrible sur les performances et n'est disponible que
à des fins de débogage. Lorsqu'il est utilisé avec -v, cela donne un joli journal de débogage séquentiel,
où les demandes se relaient.

-T
Utilisé en combinaison avec -v pour enregistrer la sortie de débogage dans un fichier de trace. Cela devrait
être placé comme premier paramètre sur la ligne de commande. Pour éviter la perte de données, il
n'écrase jamais un fichier existant. Vous devez choisir un nom unique ou manuellement
supprimez l'ancien fichier.

-U
Lorsqu'il est exécuté en tant que root, faites les choses qui ont besoin de telles autorisations (lire la configuration, lier
ports, etc.), puis supprimez immédiatement les privilèges et passez à uid. Ce paramètre
peut être un numéro ou un nom d'utilisateur système. Si vous utilisez un nombre, à la fois uid et gid de
le processus sera réglé sur cette valeur ; si vous spécifiez un nom d'utilisateur, uid et gid seront
être défini en fonction de l'uid et du gid principal de cet utilisateur, tels que définis dans / Etc / passwd. Vous
devrait utiliser ce dernier, éventuellement en utilisant un cntlm Compte. Comme pour tout
démon, tu es fortement conseillé de courir cntlm sous un compte non privilégié.

-u [@ ] (Nom d'utilisateur)
Compte proxy/nom d'utilisateur. Le domaine peut également être saisi.

-v Imprimer les informations de débogage. Active automatiquement (-f).

-w (Poste de travail)
Nom NetBIOS du poste de travail. N'utilisez pas de nom de domaine complet (FQDN) ici. Seulement
la première partie. Si non spécifié, cntlm essaie d'obtenir le nom d'hôte du système et si
qui échoue, utilise "cntlm" - c'est parce que certains proxys exigent que ce champ ne soit pas vide.

CONFIGURATION

Le fichier de configuration est essentiellement un fichier INI, sauf qu'il n'y a pas de "=" entre les touches et
valeurs. Il comprend des paires de mots-clés et de valeurs délimités par des espaces. Mis à part cela,
il y a aussi des sections, elles ont la syntaxe habituelle "[nom_section]". Commentaire commence
avec un dièse "#" ou un point-virgule ";" et peut être n'importe où dans le fichier. Tout après le
marquer jusqu'à ce qu'EOL soit un commentaire. Les valeurs peuvent contenir n'importe quel caractère, y compris des espaces.
Vous vous utilisez des guillemets doubles autour de la valeur pour définir une chaîne contenant des caractères spéciaux
comme les espaces, les dièses, etc. Aucune séquence d'échappement n'est autorisée dans les chaînes entre guillemets.

Il existe deux types de mots-clés, locales ainsi que de défis. Les options locales spécifient l'authentification
détails par domaine (ou emplacement). Les mots-clés globaux s'appliquent à toutes les sections et proxys. Ils
doit être placé avant toutes les sections, mais ce n'est pas nécessaire. Ils sont : Autoriser, Refuser,
Passerelle, Écouter, SOCKS5Proxy, SOCKS5User, NTLMToBasic, Tunnel.

Tous les mots-clés disponibles sont répertoriés ici, les descriptions complètes se trouvent dans la section OPTIONS :

Autoriser [/ ]
Règle d'autorisation ACL, voir -A.

Auth NTLMv2 | NTLM2SR | NT | NTLM | LM
Sélectionnez n'importe quelle combinaison possible de hachages NTLM à l'aide d'un seul paramètre.

Refuser [/ ]
Règle de refus d'ACL, voir -A.

Domaine
Nom de domaine/groupe de travail du compte proxy.

Drapeaux
Indicateurs d'authentification NTLM. Voir -F pour en savoir plus.

Réseau oui|non
Mode passerelle. Dans le fichier de configuration, l'ordre n'a pas d'importance. Le mode passerelle s'applique
la même pour tous les tunnels.

En-tête <nom d'en-tête : valeur>
Remplacement d'en-tête. Voir -r pour plus de détails et rappelez-vous, pas de citation.

ISAScannerAgent
Correspondance de chaîne User-Agent insensible à la casse (*, ?, []) avec caractères génériques pour le
trans-isa-plugin. Si vous ne définissez pas ISAScannerTaille, il est réglé en interne sur
à l'infini, c'est-à-dire en désactivant le plugin pour tous les téléchargements, à l'exception de ceux correspondant à l'agent
ceux. Voir -G.

ISAScannerTaille
Activez le plug-in trans-isa-scan. Voir -S pour plus d'information.

Écoutez [ :]
Numéro de port local pour le cntlmle service proxy de. Voir -l pour plus d'information.

Mot de Passe
Mot de passe du compte proxy. Comme pour toute autre option, la valeur (mot de passe) peut être
entouré de guillemets (") au cas où il contient des caractères spéciaux comme des espaces,
signes dièse, etc.

Passer NTLMv2, PassNT, PassLM
Hachages du mot de passe du compte proxy (voir -H ainsi que -a). Quand vous voulez utiliser des hachages
dans la configuration (au lieu du mot de passe en clair), chaque Auth les paramètres nécessitent
différentes possibilités :

Paramètres | A besoin
--------------+-----------------
Authentification NTLMv2 | Pass NTLMv2
Authentification NTLM2SR | PassNT
Authentification NT | PassNT
Authentification NTLM | PassNT + PassLM
Auth LM | PassLM

procuration
Proxy parent, qui nécessite une authentification. Identique au proxy sur la ligne de commande,
peut être utilisé plusieurs fois pour spécifier un nombre arbitraire de proxys. Faut-il
échec du proxy, cntlm passe automatiquement au suivant. La demande de connexion échoue
uniquement si l'ensemble de la liste des mandataires est scanné et (pour chaque demande) et trouvé
invalide. La ligne de commande a priorité sur le fichier de configuration.

Pas de proxy , ,
Évitez le proxy parent pour ces noms d'hôte. Toutes les URL correspondantes seront proxy
directement by cntlm en tant que proxy autonome. Contrôle prend en charge l'authentification WWW dans ce
mode, vous permettant ainsi d'accéder à des sites intranet locaux avec NTLM d'entreprise
authentification. Espérons que vous n'aurez plus besoin de ce MSIE virtualisé. :) Voir -N
pour plus d'information.

SOCKS5Proxy [ :]
Activez le proxy SOCKS5. Voir -O pour plus d'information.

SOCKS5Utilisateur :
Créez un nouveau compte proxy SOCKS5. Voir -R pour plus d'information.

NTLMVersBasique oui|non
Activer/désactiver l'authentification NTLM-à-base. Voir -B pour plus d'information.

Tunnel [ :] : :
Définition des tunnels. Voir -L pour plus d'information.

Nom d'utilisateur
Nom du compte proxy, sans possibilité d'inclure le nom de domaine (le signe "at" est
interprété littéralement).

Poste de travail
Le nom d'hôte de votre poste de travail.

Utiliser cntlm en ligne à l'aide des services onworks.net