Il s'agit de la commande ntlm_auth qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ntlm_auth - outil pour autoriser l'accès externe à la fonction d'authentification NTLM de Winbind
SYNOPSIS
ntlm_auth
DESCRIPTION
Cet outil fait partie du samba(7) Suite.
ntlm_auth est un utilitaire d'assistance qui authentifie les utilisateurs à l'aide de l'authentification NT/LM. Ce
renvoie 0 si les utilisateurs sont authentifiés avec succès et 1 si l'accès a été refusé. ntlm_auth
utilise winbind pour accéder aux données d'utilisateur et d'authentification d'un domaine. Cet utilitaire est uniquement
destiné à être utilisé par d'autres programmes (actuellement Squid et mod_ntlm_winbind)
OPÉRATIONNEL EXIGENCES
Le manuel de formation Winbind(8) le démon doit être opérationnel pour que bon nombre de ces commandes fonctionnent.
Certaines de ces commandes nécessitent également un accès au répertoire winbindd_privileged dans
$REPLOCK. Cela doit être fait en exécutant cette commande en tant que root ou en fournissant un groupe
accès au répertoire winbindd_privileged. Pour des raisons de sécurité, ce répertoire doit
ne pas être accessible au monde.
OPTIONS
--helper-protocol=PROTO
Fonctionne comme une aide basée sur stdio. Les protocoles d'assistance valides sont :
calmar-2.4-basique
Aide côté serveur à utiliser avec l'authentification de base (texte en clair) de Squid 2.4.
calmar-2.5-basique
Aide côté serveur à utiliser avec l'authentification de base (texte en clair) de Squid 2.5.
calmar-2.5-ntlmssp
Aide côté serveur à utiliser avec l'authentification NTLMSSP de Squid 2.5.
Nécessite un accès au répertoire winbindd_privileged dans $LOCKDIR. Le protocole
utilisé est décrit ici :
http://devel.squid-cache.org/ntlm/squid_helper_protocol.html. Ce protocole a
été étendu pour permettre au paquet NTLMSSP Negotiate d'être inclus en tant qu'argument
à la commande YR. (Evitant ainsi la perte d'informations dans le protocole d'échange).
ntlmssp-client-1
Aide côté client à utiliser avec des programmes externes arbitraires qui peuvent souhaiter utiliser
Connaissances en authentification NTLMSSP de Samba.
Cet assistant est un client, et en tant que tel peut être exécuté par n'importe quel utilisateur. Le protocole utilisé est
en fait l'inverse du protocole précédent. Une commande YR (sans aucune
arguments) démarre l'échange d'authentification.
gss-spnego
Aide côté serveur qui implémente GSS-SPNEGO. Cela utilise un protocole qui est presque
le même que squid-2.5-ntlmssp, mais a quelques différences subtiles qui sont
sans papiers en dehors de la source à ce stade.
Nécessite un accès au répertoire winbindd_privileged dans $LOCKDIR.
gss-spnego-client
Assistant côté client qui implémente GSS-SPNEGO. Cela utilise également un protocole similaire
aux aides ci-dessus, mais est actuellement sans papiers.
ntlm-serveur-1
Protocole d'assistance côté serveur, destiné à être utilisé par un serveur RADIUS ou le « winbind »
plugin pour pppd, pour la fourniture de l'authentification MSCHAP et MSCHAPv2.
Ce protocole est composé de lignes de la forme : Paramètre : valeur et Paramètre ::
Valeur d'encodage Base64. La présence d'une seule période. indique qu'un côté
a fini de fournir des données à l'autre. (Ce qui à son tour pourrait amener l'assistant à
authentifier l'utilisateur).
Les paramètres actuellement implémentés du programme externe à l'assistant sont :
Nom d'utilisateur
Le nom d'utilisateur, qui devrait être dans Samba unix jeu de caractères.
Exemples :
Nom d'utilisateur : bob
Nom d'utilisateur :: Ym9i
NT-domaine
Le domaine de l'utilisateur, censé être dans celui de Samba unix jeu de caractères.
Exemples :
Domaine NT : WORKGROUP
Domaine NT :: V09SS0dST1VQ
Nom d'utilisateur complet
Le nom d'utilisateur complet, qui devrait être dans Samba unix jeu de caractères et
qualifié avec le winbind séparateur.
Exemples :
Nom d'utilisateur complet : WORKGROUP\bob
Nom d'utilisateur complet :: V09SS0dST1VQYm9i
LANMAN-Défi
La valeur LANMAN Challenge de 8 octets, générée aléatoirement par le serveur, ou (en
cas tels que MSCHAPv2) générés d'une manière ou d'une autre par le serveur et le
client.
Exemples :
LANMAN-Défi : 0102030405060708
LANMAN-Réponse
La valeur de réponse LANMAN de 24 octets, calculée à partir du mot de passe de l'utilisateur et du
fourni LANMAN Challenge. En général, cela est fourni sur le réseau par un
client souhaitant s'authentifier.
Exemples :
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
NT-Réponse
La réponse NT >= 24 octets calculée à partir du mot de passe de l'utilisateur et de la
fourni LANMAN Challenge. En général, cela est fourni sur le réseau par un
client souhaitant s'authentifier.
Exemples :
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
Mot de passe
Le mot de passe de l'utilisateur. Cela serait fourni par un client réseau, si l'assistant
est utilisé dans une situation héritée qui expose des mots de passe en clair dans ce
façon.
Exemples :
Mot de passe : samba2
Mot de passe :: c2FtYmey
Demande-utilisateur-session-clé
Une fois l'authentification réussie, renvoyez la clé de session utilisateur associée à
la connexion.
Exemples :
Request-User-Session-Key : Oui
Demande-LanMan-Session-Key
Une fois l'authentification réussie, renvoyez la clé de session LANMAN associée à
la connexion.
Exemples :
Request-LanMan-Session-Key : Oui
Avertissement
Les implémenteurs doivent prendre soin d'encoder en base64 toutes les données (telles que
noms d'utilisateur/mots de passe) qui peuvent contenir des données d'utilisateur malveillantes, comme une nouvelle ligne. Ils
peut également avoir besoin de décoder les chaînes de l'assistant, qui peut également avoir été
encodé en base64.
--username=NOM D'UTILISATEUR
Spécifiez le nom d'utilisateur de l'utilisateur à authentifier
--domain=DOMAINE
Spécifier le domaine de l'utilisateur à authentifier
--workstation=STATION DE TRAVAIL
Spécifiez le poste de travail à partir duquel l'utilisateur s'est authentifié
--challenge=CHAINE
Défi NTLM (en HEXADECIMAL)
--lm-response=RÉPONSE
LM Réponse au défi (en HEXADECIMAL)
--nt-response=RÉPONSE
NT ou NTLMv2 Réponse au challenge (en HEXADECIMAL)
--password=MOT DE PASSE
Mot de passe en clair de l'utilisateur
S'il n'est pas spécifié sur la ligne de commande, cela est demandé si nécessaire.
Pour les rôles de serveur basés sur NTLMSSP, ce paramètre spécifie le mot de passe attendu,
permettant des tests sans winbindd opérationnel.
--request-lm-clé
Récupérer la clé de session LM
--request-nt-clé
Demander la clé NT
--Diagnostique
Effectuez des diagnostics sur la chaîne d'authentification. Utilise le mot de passe de --password ou
en demande un.
--require-membership-of={SID|Nom}
Exiger qu'un utilisateur soit membre du groupe spécifié (nom ou SID) pour
l'authentification pour réussir.
--pam-winbind-conf=NOM DE FICHIER
Définissez le chemin d'accès au fichier pam_winbind.conf.
--target-hostname=NOM D'HTE
Définissez le nom d'hôte cible.
--target-service=SERVICE
Définir le service cible.
--use-cached-crédits
S'il faut utiliser les informations d'identification mises en cache par winbindd.
--configfile=
Le fichier spécifié contient les détails de configuration requis par le serveur. Les
les informations de ce fichier incluent des informations spécifiques au serveur telles que ce que printcap
fichier à utiliser, ainsi que des descriptions de tous les services que le serveur doit
apporter. Voir smb.conf pour plus d'informations. Le nom du fichier de configuration par défaut est
déterminé au moment de la compilation.
-V|--version
Imprime le numéro de version du programme.
-?|--aide
Imprimez un résumé des options de la ligne de commande.
--usage
Afficher un bref message d'utilisation.
EXEMPLE SETUP
Pour configurer ntlm_auth pour une utilisation par squid 2.5, avec à la fois l'authentification de base et NTLMSSP, le
qui suit doit être placé dans le fichier squid.conf.
auth_param programme ntlm ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param programme de base ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basique enfants 5
auth_param basic realm serveur Web de mise en cache proxy Squid
auth_param basic credentialsttl 2 heures
Note
Cet exemple suppose que ntlm_auth a été installé dans votre chemin et que le
les autorisations de groupe sur winbindd_privileged sont telles que décrites ci-dessus.
Pour configurer ntlm_auth pour une utilisation par squid 2.5 avec une limitation de groupe en plus de ce qui précède
exemple, ce qui suit doit être ajouté au fichier squid.conf.
auth_param programme ntlm ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='WORKGROUP\Domain Users'
auth_param programme de base ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='WORKGROUP\Domain Users'
DÉPANNAGE
Si vous rencontrez des problèmes d'authentification d'Internet Explorer sous MS
Windows 9X ou Millennium Edition par rapport à l'assistant d'authentification NTLMSSP de ntlm_auth
(--helper-protocol=squid-2.5-ntlmssp), alors veuillez lire la base de connaissances Microsoft
article #239869 et suivez les instructions qui y sont décrites.
VERSION
Cette page de manuel est correcte pour la version 3 de la suite Samba.
Utilisez ntlm_auth en ligne en utilisant les services onworks.net
