זוהי הפקודה cntlm שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
cntlm - אימות פרוקסי HTTP(S) עם מנהור והאצה של TCP/IP
תַקצִיר
cntlm [ -AaBcDdFfgHhILLMPprSsTUuvw ] [ host1 port1 | host1:port1 ]... מארחN portN
תיאור
Cntlm הוא פרוקסי NTLM/NTLM SR/NTLMv2 המאמת HTTP. זה עומד ביניכם
יישומים והפרוקסי הארגוני, הוספת אימות NTLM תוך כדי תנועה. אתה יכול
ציין מספר פרוקסי "הורה" ו-Cntlm ינסה בזה אחר זה עד שאחד יעבוד. את כל
חיבורים מאושרים נשמרים במטמון ועושים בהם שימוש חוזר כדי להשיג יעילות גבוהה. פשוט כוון את האפליקציות שלך
הגדרות proxy ב-Cntlm, מלא את cntlm.conf (cntlm.ini) ואתה מוכן לעשות זאת. זה
שימושי ב-Windows, אך חיוני למערכות הפעלה שאינן של מיקרוסופט. כתובות IP של פרוקסי יכולות להיות
שצוין באמצעות CLI (host1:port1 ל hostN:portN) או קובץ התצורה.
אפשרות נוספת היא לקבל cntlm לאמת את חיבורי האינטרנט המקומיים שלך ללא כל הורה
פרוקסי. זה יכול לעבוד במצב עצמאי, בדיוק כמו Squid או ISA. כברירת מחדל, הכל
בקשות מועברות ל-proxy הורה, אך המשתמש יכול להגדיר רשימה של "NoProxy", רשימה של
כתובת URL תואמת דפוסי תווים כלליים, הנותבת בין מצב ישיר ומצב קדימה. Cntlm יכול
לזהות גם כאשר כל שרת ה-proxy הארגונית שלך אינו זמינים ולעבור למצב עצמאי
מצב אוטומטי (ואז שוב חזרה). מִלְבַד WWW ו PROXY אימות, cntlm
מספק תכונה שימושית המאפשרת למשתמשים להעביר את המחשבים הניידים שלהם בין העבודה לבית
מבלי לשנות הגדרות פרוקסי ביישומים שלהם (באמצעות cntlm כל הזמן). Cntlm
משלב גם העברת יציאות TCP/IP שקוף (מנהור). כל מנהרה נפתחת חדשה
שקע האזנה במכונה המקומית ומעביר את כל החיבורים למארח היעד
מאחורי פרוקסי האב. במקום מנהרות דמויות SSH אלה, המשתמש יכול גם לבחור מוגבל
ממשק SOCKS5.
ליבה cntlm הפונקציה הייתה דומה ל-NTLMAPS המאוחרת, אבל היום, cntlm התפתח בדרך
מעבר לכל מה שכל אפליקציה אחרת מסוג זה יכולה להציע. רשימת התכונות למטה
מדבר בעד עצמו. Cntlm יש הרבה תכונות אבטחה/פרטיות כמו NTLMv2 תמיכה ו
הגנת סיסמה - אפשר להחליף גיבוב סיסמא (שניתן להשיג
באמצעות -H) במקום הסיסמה בפועל או כדי להזין את הסיסמה באופן אינטראקטיבי (על
הפעלה או באמצעות תרגום HTTP "בסיסי"). אם נעשה שימוש בסיסמת טקסט רגיל, היא כן
גיבוב אוטומטית במהלך האתחול וכל העקבות שלו מוסרים מהתהליך
זיכרון.
בנוסף לשימוש מינימלי במשאבי מערכת, cntlm משיגה תפוקה גבוהה יותר ב-a
קישור נתון. על ידי שמירת חיבורים מאומתים במטמון, הוא פועל כמאיץ HTTP; זֶה
בדרך, לחיצת היד של 5 כיוונים עבור כל חיבור מבוטלת בשקיפות, מספקת
גישה מיידית רוב הזמן. Cntlm לעולם לא שומר גוף בקשה/תשובה בזיכרון, ב
למעשה, לא נוצרת תעבורה למעט החלפת כותרות אישור עד ללקוח <->
חיבור השרת נמצא במשא ומתן מלא. רק אז מתרחשת העברת נתונים אמיתית. Cntlm is
כתוב ב-C אופטימלי ומשיג בקלות פי חמישה עשר תגובות מהירות יותר מאחרות.
דוגמה של cntlm לעומת NTLMAPS: cntlm נתן ממוצע של 76 kB/s עם שיא השימוש במעבד של
0.3% ואילו עם NTLMAPS זה היה ממוצע של 48 kB/s עם שיא מעבד ב-98% (Pentium M 1.8 GHz). ה
הבדל קיצוני בשימוש במשאבים הוא אחד מיתרונות חשובים רבים לשימוש במחשב נייד.
צריכת זיכרון שיא (מספר אתרים מורכבים, 50 חיבורים/שרשורים מקבילים; ערכים
נמצאים ב-KiB):
VSZ RSS CMD
3204 1436 ./cntlm -f -c ./cntlm.conf -P pid
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg
חלק מהותי מהפיתוח הוא פרופיל וניהול זיכרון סינון באמצעות
ולגרינד. הפצת המקור מכילה קובץ בשם valgrind.txt, שבו אתה יכול לראות
הדוח המאשר אפס דליפות, אין גישה לזיכרון לא מוקצה, אין שימוש ב
נתונים לא מאותחלים - כולם עקבו אחר כל הוראה שחוותה בווירטואלי של Valgrind
מעבד במהלך חיי ייצור טיפוסי של ה-proxy.
אפשרויות
את רוב האפשרויות ניתן להגדיר מראש בקובץ תצורה. ציון אפשרות יותר מפעם אחת
זו לא טעות, אבל cntlm מתעלם מכל ההתרחשויות מלבד האחרונה. זה לא חל
לאפשרויות כמו -L, שכל אחד מהם יוצר מופע חדש של תכונה כלשהי. Cntlm יכול להיות
בנוי עם קובץ תצורה מקודד (למשל /etc/cntlm.conf), שנטען תמיד,
אם אפשר. לִרְאוֹת -c אפשרות כיצד לעקוף חלק מההגדרות שלו או את כולן.
השתמש -h כדי לראות אפשרויות זמינות עם תיאור קצר.
-A IP/מסכה (להתיר)
אפשר כלל ACL. ביחד עם -D (תכחיש) הם שני הכללים המותרים ב-ACL
מְדִינִיוּת. זה יותר רגיל שיש את זה בקובץ תצורה, אבל Cntlm כדלקמן
הנחת היסוד שאתה יכול לעשות את אותו הדבר בשורת הפקודה כפי שאתה יכול באמצעות
קובץ תצורה. מתי Cntlm מקבל בקשת חיבור, הוא מחליט אם לאפשר
או להכחיש זאת. כל כללי ה-ACL מאוחסנים ברשימה באותו סדר כפי שצוין.
Cntlm ואז הולך ברשימה והראשון IP/מסכה כלל התואם את הבקשה
כתובת המקור מופעלת. ה מסכה יכול להיות כל מספר מ-0 עד 32, כאשר 32 הוא ה-
ברירת מחדל (זו התאמה מדויקת של ה-IP). סימון זה ידוע גם בשם CIDR. אם אתה רוצה
כדי להתאים הכל, השתמש 0/0 או אסטריקס. ACLs בשורת הפקודה לקחת
עדיפות על פני אלה בקובץ התצורה. במקרה כזה, תראה מידע על
זה ביומן (בין רשימת האפשרויות שאינן בשימוש). שם גם ניתן לראות אזהרות
לגבי מפרט רשת משנה אולי שגוי, זה הזמן שבו IP לחלק יש יותר ביטים מאשר
אתה מצהיר על ידי מסכה (למשל 10.20.30.40/24 צריך להיות 10.20.30.0/24).
-a NTLMv2 | NTLM2SR | NT | NTLM | LM (אישור)
סוג האימות. NTLM(v2) מורכב מתגובה מגובבת אחת או שתיים, NT ו-LM
או NTLM2SR או NTv2 ו-LMv2, אשר מחושבים מה-hash של הסיסמה. כל אחד
התגובה משתמשת באלגוריתם גיבוב אחר; כאשר הומצאו סוגי תגובות חדשים,
נעשה שימוש באלגוריתמים חזקים יותר. כאשר אתה מתקין לראשונה cntlm, מצא את החזק ביותר
מה שעובד בשבילך (רצוי להשתמש -M). למעלה הם רשומים מהחזקים עד
החלש ביותר. ייתכן ששרתים ישנים מאוד או פרוקסי HW ייעודיים לא יוכלו לעבד
הכל מלבד LM. אם אף אחד מאלה לא עובד, ראה אפשרות דגלי תאימות -F או להגיש
בקשת תמיכה.
חשוב: למרות ש-NTLMv2 אינו מאומץ באופן נרחב (כלומר נאכף), הוא נתמך
בכל Windows מאז NT 4.0 SP4. זה בשביל a מאוד ארוך זמן! אני ממליץ בחום
אתה משתמש בו כדי להגן על האישורים שלך באינטרנט. כדאי גם להחליף טקסט רגיל
סיסמה אפשרויות עם hashed מעבר[NTLMv2|NT|LM] מקבילות. NTLMv2 הוא הכי ו
אולי האימות המאובטח היחיד של משפחת NTLM.
-B (NTLMToBasic)
אפשרות זו מאפשרת "NTLM-to-basic", המאפשר לך להשתמש באחד cntlm עבור מרובים
משתמשים. שים לב שכל האבטחה של NTLM אבדה בדרך זו. אישור בסיסי משתמש רק
אלגוריתם קידוד פשוט כדי "להסתיר" את האישורים שלך וקל במידה בינונית
לרחרח אותם.
חשוב: לפרוטוקול HTTP יש כמובן אמצעים לנהל משא ומתן על הרשאה לפני כן
מאפשר לך לעבור, אבל TCP/IP לא (כלומר יציאה פתוחה היא יציאה פתוחה). אם אתה משתמש
NTLM-to-basic ואל תציין שם משתמש/סיסמה כלשהי בקובץ התצורה,
אתה חייב לאבד תכונות מנהור, כי cntlm לבד לא יכיר את שלך
אישורים.
מכיוון שלזיהוי NTLM יש לפחות שלושה חלקים (שם משתמש, סיסמה, דומיין)
והאימות הבסיסי מספק שדות לשניים בלבד (שם משתמש, סיסמה), אתה
צריך להבריח את החלק של הדומיין לאנשהו. אתה יכול להגדיר את תְחוּם config/cmd-line
פרמטר, שישמש לאחר מכן עבור כל המשתמשים, שאינם מציינים את הדומיין שלהם בתור
חלק משם המשתמש. כדי לעשות זאת ולעקוף את הגדרת הדומיין הגלובלי, השתמש בזה
במקום שם משתמש רגיל בתיבת הדו-שיח של הסיסמה: "דומיין\שם משתמש".
-c
קובץ תצורה. אפשרויות שורת הפקודה, אם נעשה בהן שימוש, עוקפות את האפשרויות הבודדות שלה או
מתווספים בראש הרשימה עבור אפשרויות ריבוי (מנהרות, פרוקסי הורה וכו')
למעט ACLs, אשר מוחקים לחלוטין. להשתמש / dev / null ל
השבת כל קובץ תצורה.
-D IP/מסכה (לְהַכּחִישׁ)
דחיית כלל ACL. ראה אפשרות -A מֵעַל.
-d (תְחוּם)
הדומיין או קבוצת העבודה של חשבון ה-proxy. ניתן לציין ערך זה גם כ-a
חלק משם המשתמש עם -u.
-F (דגלים)
דגלי אימות NTLM. אפשרות זו עדינה למדי ואני לא ממליץ לעשות זאת
שנה את ערכי ברירת המחדל המובנים, אלא אם לא הצלחת עם אישור פרוקסי אב
וניסיתי זיהוי אוטומטי של קסם (-M) וכל הערכים האפשריים עבור ה תודה אוֹפְּצִיָה
(-a). זכור שכל שילוב גיבוב של NT/LM דורש דגלים שונים. זֶה
האפשרות היא מעין "עקיפה ידנית" מוחלטת ואתה תצטרך להתמודד איתה
עַצמְךָ.
-f הפעל בקונסולה כעבודת קדמה, אל תכנס לרקע. במצב זה, הכל
הודעות syslog יוחזרו לקונסולה (בפלטפורמות התומכות ב-syslog
אפשרות LOG_PERROR). אמנם cntlm תוכנן בעיקר בתור דמון UNIX קלאסי
עם רישום syslogd, הוא מספק מצב מילולי מפורט מבלי להתנתק מה-
מסוף שליטה; לִרְאוֹת -v. בכל מקרה, כל הודעות השגיאה והאבחון הן
תמיד נשלח ל-logger של המערכת.
-G (ISAScannerAgent)
התאמת User-Agent (לא רגיש לאותיות גדולות) עבור תוסף trans-isa-scan (ראה -S ל
הֶסבֵּר). התאמה חיובית מזהה בקשות (יישומים) שעבורן
יש להפעיל את התוסף מבלי להתחשב בגודל ההורדה (ראה -S). אתה
יכול להשתמש בתווים כלליים של מעטפת, כלומר "*", "?" ו-"[]". אם משתמשים בלי -S or
ISAScannerSize, ה max_size_in_kb מוגדר באופן פנימי לאינסוף, אז התוסף
יהיה פעיל רק עבור סוכני משתמש נבחרים, ללא קשר לגודל ההורדה.
-g (כְּנִיסָה)
מצב שער, cntlm מאזין בכל ממשקי הרשת. ברירת המחדל היא לאגד רק
loopback. כך, רק תהליכים מקומיים יכולים להתחבר cntlm. במצב שער
עם זאת, cntlm מאזין בכל הממשקים ונגיש למכונות אחרות ב-
רֶשֶׁת. שימו לב שבאפשרות זו סדר שורת הפקודה משנה מתי
ציון יציאות פרוקסי או מנהרה מקומית (האזנה). אלה שיעמדו לפניו יעשו זאת
לאגד רק loopback; אלה שאחרי יהיו ציבוריים.
חשוב: כל האמור לעיל חל רק על יציאות מקומיות שעבורן לא עשית זאת
ציין כתובת מקור כלשהי. אם עשית, cntlm מנסה לאגד את הפורט הנתון רק על
הממשק שצוין (או ליתר דיוק כתובת IP).
-H השתמש באפשרות זו כדי לקבל גיבוב עבור תצורה ללא סיסמה. במצב זה, cntlm
מדפיס את התוצאות ויוצא. אתה יכול פשוט להעתיק ולהדביק ישירות לקובץ התצורה.
אתה צריך להשתמש באפשרות זו עם מפורש -u ו -d, מכיוון שחלק מה-hashs כוללים
שם המשתמש ושם הדומיין בחישוב. תראה -a לביטחון
המלצות.
-h הצג עזרה (אפשרויות זמינות עם תיאור קצר) וצא.
-I בקשת סיסמה אינטראקטיבית. כל הגדרות הסיסמה משורת הפקודה או התצורה
מתעלמים מהקובץ ומונפקת בקשת סיסמה. השתמש באפשרות זו רק מתוך מעטפת.
-L [ :] : : (מִנהָרָה)
הגדרת מנהרה. התחביר זהה לזה בהעברה המקומית של OpenSSH (-L),
עם קידומת אופציונלית חדשה, saddr - כתובת ה-IP המקור לאגד את lport ל.
Cntlm יאזין לחיבורים נכנסים ביציאה המקומית lport, העברה
כל חיבור חדש דרך פרוקסי האב ל- rhost:רפורט (אימות על
ההליכה). אפשרות זו יכולה לשמש מספר פעמים עבור מספר בלתי מוגבל של מנהרות,
עם או בלי saddr אוֹפְּצִיָה. לִרְאוֹת -g לפרטים על הנמל המקומי
מחייב מתי saddr אינו בשימוש.
שימו לב שפרוקסי ארגוניים רבים אינם מאפשרים חיבורים ליציאות אחרות
יותר מ-443 (https), אבל אם אתה מפעיל את שירות היעד שלך ביציאה זו, אתה אמור להיות
בטוח. חיבור ל-HTTPS מותר "תמיד", אחרת אף אחד לא יוכל
דפדף באתרי https://. בכל מקרה, תחילה נסה אם אתה יכול ליצור חיבור
דרך המנהרה, לפני שאתה מסתמך עליה. תכונה זו עושה את אותה עבודה כמו כלים
כמו חוֹלֵץ(1), אבל במקום לתקשר דרך מסוף, cntlm שומר את זה
TCP / IP.
-l [ :] (להקשיב)
נמל מקומי עבור cntlm שירות פרוקסי. השתמש במספר שבחרת כאן וב-
שם המארח של המחשב הפועל cntlm (אולי localhost) כהגדרות פרוקסי ב
הדפדפן שלך ו/או הסביבה. רוב היישומים (כולל קונסולה) תומכים
הרעיון של פרוקסי לחיבור למארחים אחרים. ב-POSIX, הגדר את הדבר הבא
משתנים לשימוש למשל wget(1) ללא כל בעיה (מלא את הכתובת בפועל של
cntlm):
$ export ftp_proxy=http://localhost: 3128
$ export http_proxy=$ftp_proxy
$ export https_proxy=$ftp_proxy
אתה יכול לבחור להפעיל את שירות ה-proxy על יותר מיציאה אחת, רק במקרה כזה
השתמש באפשרות זו כמה פעמים שצריך. אבל בניגוד להגדרת המנהרה, cntlm
לא מצליח להתחיל אם הוא לא יכול לאגד את כל יציאות שירות ה-proxy. יציאת שירות פרוקסי
ניתן גם לקשור באופן סלקטיבי. להשתמש saddr כדי לבחור כתובת IP מקור כדי לאגד את
lport ל. זה מאפשר לך, למשל, להפעיל את השירות ביציאות שונות עבור
תת-רשת A ו-B ולהפוך אותה לבלתי נראית עבור תת-רשת C. ראה -g לפרטים
לגבי כריכת נמל מקומי מתי saddr אינו בשימוש.
-M
הפעל זיהוי ניב NTLM קסום. במצב זה, cntlm מנסה עבודה ידועה
הגדרות קבועות מראש כנגד ה-proxy שלך. בקשות בדיקה מתבצעות עבור המצוין testurlעם
ה-hash החזק ביותר הולך ראשון. בסיום, הגדרות עבור המאובטח ביותר
הגדרות מודפסות. למרות שהזיהוי יגיד לך באיזה ואיך להשתמש תודה,
דגלים ואפשרויות גיבוב סיסמה, עליך להגדיר לפחות את האישורים שלך
וכתובת פרוקסי תחילה. אתה יכול להשתמש -I כדי להזין את הסיסמה שלך באופן אינטראקטיבי.
-N [, (ללא פרוקסי)
הימנע מ-proxy הורה עבור שמות מארחים אלה. כל כתובות האתרים התואמות יקבלו פרוקסי
ישירות by cntlm כפרוקסי עצמאי. Cntlm תומך באימות WWW בכך
מצב, ובכך מאפשר לך לגשת לאתרי אינטראנט מקומיים עם NTLM ארגוני
אימות. אני מקווה שלא תזדקק ל-MSIE הווירטואלי הזה יותר. :)
-O [ :] (SOCKS5Proxy)
אפשר פרוקסי SOCKS5 וגרם לו להאזין ביציאה מקומית port_number (מפרט IP מקור הוא
אפשרי גם, כמו בכל האפשרויות). כברירת מחדל, לא יהיו הגבלות כמו
למי יכול להשתמש בשירות זה. חלק מהלקוחות אפילו לא תומכים באימות SOCKS5
(למשל כמעט כל הדפדפנים). אם ברצונך לאכוף אימות, השתמש -R או שלה
אפשרות שווה ערך, משתמש SOCKS5. כמו במנהור יציאות, זה תלוי בפרוקסי האב
האם זה יאפשר חיבור לכל host:port מבוקש. תכונה זו יכולה להיות
משמש עם מעיק(1) כדי לגרום לרוב יישומי ה-TCP/IP לעבור דרך ה-proxy ולא
ישירות (רק חיבורים יוצאים יעבדו, ברור). כדי לגרום לאפליקציות לעבוד
ללא שרת DNS, חשוב שהם לא יפתרו בעצמם, אלא באמצעות
גרביים. לדוגמה, ל-Firefox יש אפשרות זו דרך URI "about:config", שם המפתח
network.proxy.socks_remote_dns, שיש להגדיר ל נָכוֹן. פרוקסי לא מודע
מעיקיישומים מאושרים, יצטרכו להיות מוגדרים באמצעות כתובות IP כדי למנוע אותם
מפתרון DNS.
-P
צור קובץ PID pidfile עם ההפעלה. אם הקובץ שצוין קיים, הוא כן
קטוע ונכתב. אפשרות זו מיועדת לשימוש עם התחל הפסק-
דמון(8) ומנגנוני שירות אחרים. שים לב שקובץ ה-PID נוצר
לאחר שהתהליך מפיל את ההרשאות שלו ומתפצל. כשהדמון מסיים בצורה נקייה,
הקובץ מוסר.
-p (סיסמה, PassNT, ...)
סיסמת חשבון פרוקסי. Cntlm מוחק את הסיסמה מהזיכרון, כדי להפוך אותה
בלתי נראה ב / proc או עם כלי בדיקה כמו ps(1), אבל הדרך העדיפה של
הגדרת הסיסמה היא קובץ התצורה. לשם כך, אתה יכול להשתמש סיסמה
אפשרות (לטקסט רגיל, פורמט קריא אנושי), או "הצפין" את הסיסמה שלך באמצעות -H
ואז להשתמש PassNTLMv2, PassNT ו / או PassLM.
-R : (משתמש SOCKS5)
אם פרוקסי SOCKS5 מופעל, אפשרות זו יכולה להפוך אותו לנגיש רק למי
קיבלו אישור. ניתן להשתמש בו מספר פעמים, כדי ליצור רשימה שלמה של
חשבונות (שילובי משתמש:מעבר מותרים).
-S (ISAScannerSize)
מאפשר את התוסף לטיפול שקוף בסורק ISA AV האימתני, אשר
מחזירה דף HTTP אינטראקטיבי (המציג את התקדמות הסריקה) במקום
קובץ/נתונים שביקשתם, בכל פעם שמתחשק לסרוק את התוכן. זֶה
התנהגות יומרנית שוברת כל הורדה אוטומטית, עדכון ובעצם
כל אפליקציה המסתמכת על הורדות (למשל wget, apt-get).
הפרמטר max_size_in_kb מאפשר לך לבחור גודל הורדה מקסימלי שתרצה
לטפל על ידי התוסף (ראה למטה מדוע אולי תרצה בכך). אם גודל הקובץ הוא
גדול מזה, cntlm מעביר לך את הדף האינטראקטיבי, ולמעשה משבית אותו
התוסף להורדה זו. אפס אומר אין גבול. להשתמש -G/ISAScannerAgent ל
לזהות יישומים שעבורם max_size_in_kb יש להתעלם (כפיית ה
חיבור). זה עובד על ידי התאמת כותרת User-Agent והוא הכרחי עבור למשל wget,
apt-get ו-yum, מה שיכשל אם התגובה תהיה דף HTTP כלשהו במקום
הנתונים המבוקשים.
איך זה עובד: הלקוח מבקש קובץ, cntlm מזהה את תגובת השטויות של ISA ו
מחכה לקישור הסודי למטמון של ISA, שמגיע לא מוקדם מהקובץ
הורד ונסרק על ידי ISA. רק אז יכול cntlm להגיש את הבקשה השנייה עבור
קובץ אמיתי ולהעביר אותו יחד עם כותרות נכונות ללקוח. הלקוח
לא עובר פסק זמן בזמן ההמתנה לזה, b/c cntlm שולח מעת לעת תוספת
כותרת "keepalive", אך המשתמש עלול להתעצבן מלראות את סרגל ההתקדמות
מהלך \ לזוז \ לעבור. זה כמובן אַך וְרַק פסיכולוגי משנה, אין הבדל אם cntlm or
הדפדפן שלך מבקש את הקובץ הסרוק - עליך להמתין עד ש-ISA תעשה את עבודתה
הורד אז. אתה רק מצפה לראות איזה תנועה של אינדיקטור התקדמות, וזה הכל
מה עושה הדף של הרשות: הוא מציג ספירה לאחור של HTML.
אם התוסף לא יכול לנתח את הדף האינטראקטיבי מסיבה כלשהי (לא ידוע
עיצוב וכו'), הוא נסגר והדף מועבר אליך - הוא אף פעם לא "אבד".
הכותרת Keepalive נקראת ISA-Scanner ומראה את ההתקדמות של ISA, למשל:
HTTP / 1.1 200 אישור
ISA-Scanner: 1000 מתוך 10000
ISA-Scanner: 2000 מתוך 10000
...
-r " : " (Header)
החלפת כותרת. כל בקשה של לקוח תטופל וכל כותרות
מוגדר באמצעות -r או בקובץ התצורה יתווסף אליו. במקרה של
הכותרת כבר קיימת, הערך שלה יוחלף.
-s מסדרת את כל הבקשות על ידי אי שימוש בשרשורים מקבילים עבור פרוקסי (עדיין מנהור
עובד במקביל). יש לזה השפעה איומה על הביצועים והוא זמין בלבד
למטרות ניפוי באגים. בשימוש עם -v, זה מניב יומן ניפוי באגים רציף נחמד,
שבו הבקשות מתחלפות.
-T
משמש בשילוב עם -v כדי לשמור את פלט ניפוי הבאגים בקובץ מעקב. זה אמור
להיות ממוקם כפרמטר הראשון בשורת הפקודה. כדי למנוע אובדן נתונים, זה
לעולם אינו מחליף קובץ קיים. עליך לבחור שם ייחודי או באופן ידני
למחוק את הקובץ הישן.
-U
כאשר מבוצע כ-root, בצע את הדברים שצריכים הרשאות כאלה (קרא תצורה, bind
יציאות וכו') ולאחר מכן שחרר מיד הרשאות ושנה ל uid. פרמטר זה
יכול להיות מספר או שם משתמש של המערכת. אם אתה משתמש במספר, גם uid וגם gid of
התהליך יוגדר לערך זה; אם תציין שם משתמש, uid ו-gid יהיו
יוגדר בהתאם ל-uid ול-gid הראשי של אותו משתמש כפי שהוגדרו ב / etc / passwd. אתה
צריך להשתמש באחרון, אולי באמצעות ייעודי cntlm חֶשְׁבּוֹן. כמו בכל
דמון, אתה בְּתוֹקֶף מומלץ לרוץ cntlm תחת חשבון לא מוגן.
-u [@ ] (שם משתמש)
חשבון פרוקסי/שם משתמש. ניתן להזין דומיין גם כן.
-v הדפס מידע על ניפוי באגים. מפעיל באופן אוטומטי (-f).
-w (עמדת עבודה)
שם NetBIOS של תחנת עבודה. אין להשתמש בשם דומיין מלא (FQDN) כאן. רַק
החלק הראשון. אם לא צוין, cntlm מנסה להשיג את שם המארח של המערכת ואם
זה נכשל, משתמש ב-"cntlm" - זה בגלל שחלק מהפרוקסי דורשים שהשדה הזה לא ריק.
תְצוּרָה
קובץ תצורה הוא בעצם קובץ INI, אלא שאין "=" בין המקשים ל-
ערכים. הוא מורכב מצמדי מילות מפתח וערכים מופרדים ברווח לבן. חוץ מזה,
יש גם קטעים, יש להם את התחביר הרגיל של "[section_name]". ההערה מתחילה
עם hash "#" או נקודה-פסיק ";" ויכול להיות בכל מקום בקובץ. הכל אחרי ה
סמן עד ש-EOL תהיה הערה. ערכים יכולים להכיל כל תווים, כולל רווח לבן.
אתה יכול השתמש במירכאות כפולות סביב הערך כדי להגדיר מחרוזת המכילה תווים מיוחדים
כמו רווחים, סימני פאונד וכו'. אסור להשתמש ברצפי בריחה במחרוזות במירכאות.
ישנם שני סוגים של מילות מפתח, מקומי ו גלוֹבָּלִי. אפשרויות מקומיות מציינות אימות
פרטים לכל דומיין (או מיקום). מילות מפתח גלובליות חלות על כל המקטעים והפרוקסי. הֵם
צריך להיות ממוקם לפני כל החלקים, אבל זה לא הכרחי. הם: אפשר, דחה,
שער, האזנה, SOCKS5Proxy, SOCKS5User, NTLMToBasic, Tunnel.
כל מילות המפתח הזמינות מופיעות כאן, תיאורים מלאים נמצאים בסעיף האפשרויות:
להתיר [/ ]
כלל היתר ACL, ראה -A.
תודה NTLMv2 | NTLM2SR | NT | NTLM | LM
בחר כל שילוב אפשרי של NTLM hashes באמצעות פרמטר בודד.
להכחיש [/ ]
כלל דחיית ACL, ראה -A.
תְחוּם
שם דומיין/קבוצת עבודה של חשבון Proxy.
דגלים
דגלי אימות NTLM. לִרְאוֹת -F לקבלת פרטים.
Gateway כן|לא
מצב שער. בקובץ התצורה, הסדר לא משנה. מצב שער חל
זהה לכל המנהרות.
כותרת <headername: ערך>
החלפת כותרת. לִרְאוֹת -r לפרטים וזכרו, ללא ציטוט.
ISAScannerAgent
התאמת מחרוזת User-Agent ללא רגישות לאותיות רישיות (*, ?, []) התומכת בתווים כלליים עבור
trans-isa-plugin. אם לא תגדיר ISAScannerSize, הוא מוגדר באופן פנימי ל
infinity, כלומר השבתת התוסף עבור כל ההורדות מלבד אלה שתואמות לסוכן
יחידות. לִרְאוֹת -G.
ISAScannerSize
אפשר את התוסף trans-isa-scan. לִרְאוֹת -S לעוד.
בר [ :]
מספר יציאה מקומי עבור cntlmשירות ה-proxy של. לִרְאוֹת -l לעוד.
סיסמה
סיסמת חשבון פרוקסי. כמו בכל אפשרות אחרת, הערך (סיסמה) יכול להיות
מוקף במירכאות כפולות ("") למקרה שהוא מכיל תווים מיוחדים כמו רווחים,
סימני קילו וכו'.
PassNTLMv2, PassNT, PassLM
גיבוב של סיסמת חשבון ה-proxy (ראה -H ו -a). כאשר אתה רוצה להשתמש ב-hash
בתצורה (במקום סיסמת טקסט רגיל), כל אחד תודה ההגדרות דורשות
אפשרויות שונות:
הגדרות | דורש
--------------+-----------------
Auth NTLMv2 | PassNTLMv2
Auth NTLM2SR | PassNT
Auth NT | PassNT
Auth NTLM | PassNT + PassLM
Auth LM | PassLM
פרוקסי
פרוקסי אב, הדורש אימות. זהה ל-proxy בשורת הפקודה,
ניתן להשתמש יותר מפעם אחת כדי לציין מספר שרירותי של פרוקסי. צריך אחד
פרוקסי נכשל, cntlm עובר אוטומטית לשלב הבא. בקשת החיבור נכשלה
רק אם כל רשימת ה-proxies נסרקה ו(עבור כל בקשה) ונמצאת כזו
לא חוקי. שורת הפקודה מקבלת עדיפות על קובץ התצורה.
ללא פרוקסי , , ...
הימנע מ-proxy הורה עבור שמות מארחים אלה. כל כתובות האתרים התואמות יקבלו פרוקסי
ישירות by cntlm כפרוקסי עצמאי. Cntlm תומך באימות WWW בכך
מצב, ובכך מאפשר לך לגשת לאתרי אינטראנט מקומיים עם NTLM ארגוני
אימות. אני מקווה שלא תזדקק ל-MSIE הווירטואלי הזה יותר. :) רואה -N
לעוד.
SOCKS5 פרוקסי [ :]
אפשר פרוקסי SOCKS5. לִרְאוֹת -O לעוד.
משתמש SOCKS5 :
צור חשבון proxy חדש SOCKS5. לִרְאוֹת -R לעוד.
NTLMToBasic כן|לא
הפעל/השבת אימות NTLM-to-basic. לִרְאוֹת -B לעוד.
מנהרה [ :] : :
הגדרת מנהרה. לִרְאוֹת -L לעוד.
שם משתמש
שם חשבון פרוקסי, ללא אפשרות לכלול שם דומיין (סימן 'at' הוא
לפרש מילולית).
תחנת עבודה
שם המארח של תחנת העבודה שלך.
השתמש ב-cntlm באינטרנט באמצעות שירותי onworks.net
