זוהי הפקודה ntlm_auth שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות החינמיות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS.
תָכְנִית:
שֵׁם
ntlm_auth - כלי המאפשר גישה חיצונית לפונקציית האימות NTLM של Winbind
תַקצִיר
ntlm_auth
תיאור
כלי זה הוא חלק מה- סמבה(7) סוויטה.
ntlm_auth הוא כלי עזר שמאמת משתמשים באמצעות אימות NT/LM.
מחזירה 0 אם המשתמש אומת בהצלחה ו-1 אם הגישה נדחתה. ntlm_auth
משתמש ב-winbind כדי לגשת לנתוני המשתמש והאימות עבור דומיין. כלי זה מיועד רק
מיועד לשימוש על ידי תוכנות אחרות (כיום Squid ו- mod_ntlm_winbind)
מִבצָעִי דרישות
השמיים ווינבינד(8) הדמון חייב להיות פעיל כדי שרבות מהפקודות הללו יפעלו.
חלק מהפקודות הללו דורשות גם גישה לספרייה winbindd_privileged ב-
$LOCKDIR. יש לעשות זאת על ידי הפעלת פקודה זו כ-root או על ידי מתן group
גישה לספרייה winbindd_privileged. מסיבות אבטחה, ספרייה זו צריכה להיות
לא להיות נגיש לעולם.
אפשרויות
--פרוטוקול-עזר=PROTO
לפעול כעוזר מבוסס stdio. פרוטוקולי עוזר תקפים הם:
דיונון-2.4-בסיסי
עוזר בצד השרת לשימוש עם אימות בסיסי (טקסט רגיל) של Squid 2.4.
דיונון-2.5-בסיסי
עוזר בצד השרת לשימוש עם אימות בסיסי (טקסט רגיל) של Squid 2.5.
דיונון-2.5-ntlmssp
עוזר בצד השרת לשימוש עם אימות NTLMSSP של Squid 2.5.
דורש גישה לתיקייה winbindd_privileged ב-$LOCKDIR. הפרוטוקול
בשימוש מתואר כאן:
http://devel.squid-cache.org/ntlm/squid_helper_protocol.htmlלפרוטוקול זה יש
הורחב כדי לאפשר לכלול את חבילת NTLMSSP Negotiate כארגומנט
לפקודת YR. (ובכך נמנעים מאובדן מידע בחילופי הפרוטוקולים).
ntlmssp-לקוח-1
עוזר צד-לקוח לשימוש עם תוכניות חיצוניות שרירותיות שעשויות לרצות להשתמש
ידע באימות NTLMSSP של סמבה.
עוזר זה הוא לקוח, וככזה יכול להיות מופעל על ידי כל משתמש. הפרוטוקול בו נעשה שימוש הוא
למעשה, ההפך הגמור מהפרוטוקול הקודם. פקודת YR (ללא כל
(arguments) מתחיל את חילופי האימות.
gss-spnego
עוזר בצד השרת שמיישם את GSS-SPNEGO. זה משתמש בפרוטוקול שכמעט
זהה ל-squid-2.5-ntlmssp, אבל יש בו כמה הבדלים עדינים שהם
לא מתועד מחוץ למקור בשלב זה.
דורש גישה לתיקייה winbindd_privileged ב-$LOCKDIR.
לקוח gss-spnego
עוזר צד-לקוח שמיישם את GSS-SPNEGO. גם זה משתמש בפרוטוקול דומה
לעוזרים הנ"ל, אך כרגע אינו מתועד.
שרת ntlm-1
פרוטוקול עוזר בצד השרת, המיועד לשימוש על ידי שרת RADIUS או ה-'winbind'
תוסף עבור pppd, לאספקת אימות MSCHAP ו-MSCHAPv2.
פרוטוקול זה מורכב משורות בצורה: פרמטר: ערך ו- פרמטר::
ערך קידוד Base64. נוכחות של נקודה אחת . מצביעה על כך שצד אחד
סיים לספק נתונים לאחר. (מה שבתורו עלול לגרום לעוזר
אימות המשתמש).
הפרמטרים המיושמים כעת מהתוכנית החיצונית לעוזר הם:
שם משתמש
שם המשתמש, שצפוי להיות ב-Samba יוניקס ערכה.
דוגמאות:
שם משתמש: בוב
שם משתמש:: Ym9i
NT-דומיין
הדומיין של המשתמש, שצפוי להיות בדומיין של סמבה יוניקס ערכה.
דוגמאות:
NT-Domain: קבוצת עבודה
NT-Domain:: V09SS0dST1VQ
שם משתמש מלא
שם המשתמש המלא, שצפוי להיות ב-Samba יוניקס ערכה ו
מוסמך עם ה- winbind מפריד.
דוגמאות:
שם משתמש מלא: WORKGROUP\bob
שם משתמש מלא:: V09SS0dST1VQYm9i
אתגר למן
ערך אתגר LANMAN באורך 8 בייט, שנוצר באופן אקראי על ידי השרת, או (ב
מקרים כמו MSCHAPv2) שנוצרו בצורה כלשהי הן על ידי השרת והן על ידי
לקוחות.
דוגמאות:
LANMAN-Challenge: 0102030405060708
תגובת LANMAN
ערך תגובת LANMAN באורך 24 בייט, המחושב מסיסמת המשתמש ומ-
סיפק את אתגר LANMAN. בדרך כלל, זה מסופק דרך הרשת על ידי
לקוח שמעוניין לאמת.
דוגמאות:
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
תגובת NT
תגובת ה-NT באורך >= 24 בתים המחושבת מסיסמת המשתמש ומ-
סיפק את אתגר LANMAN. בדרך כלל, זה מסופק דרך הרשת על ידי
לקוח שמעוניין לאמת.
דוגמאות:
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
סיסמה
סיסמת המשתמש. סיסמה זו תסופק על ידי לקוח רשת, אם המסייע
נמצא בשימוש במצב מדור קודם שחושף סיסמאות טקסט רגיל בזה
דרך.
דוגמאות:
סיסמה: סמבה2
סיסמה:: c2FtYmEy
בקשת-משתמש-מפתח-הפעלה
לאחר אימות מוצלח, יש להחזיר את מפתח הפעלת המשתמש המשויך ל
ההתחברות.
דוגמאות:
בקשת משתמש-מפתח-הפעלה: כן
בקשת-LanMan-Session-Key
לאחר אימות מוצלח, יש להחזיר את מפתח הסשן של LANMAN המשויך ל-
ההתחברות.
דוגמאות:
בקשת-LanMan-Session-Key: כן
אזהרה
על המיישמים לדאוג לקודד base64 כל נתונים (כגון
שמות משתמש/סיסמאות) שעשויים להכיל נתוני משתמש זדוניים, כגון שורה חדשה. הם
ייתכן שיהיה צורך גם לפענח מחרוזות מהעוזר, אשר גם הוא היה עשוי להיות
מקודד base64.
--username=USERNAME
ציין שם משתמש לצורך אימות
--domain=DOMAIN
ציין את הדומיין של המשתמש לאימות
--תחנת עבודה=תחנת עבודה
ציין את תחנת העבודה שממנה אומת המשתמש
--אתגר=STRING
אתגר NTLM (בקובץ הקסדצימלי)
--lm-response=תגובה
תגובת LM לאתגר (באותיות הקסדצימליות)
--nt-response=תגובה
תגובת NT או NTLMv2 לאתגר (באותיות הקסדצימליות)
--סיסמה=PASSWORD
סיסמת המשתמש בטקסט רגיל
אם לא צוין בשורת הפקודה, תתבקש לעשות זאת בעת הצורך.
עבור תפקידי שרת מבוססי NTLMSSP, פרמטר זה מציין את הסיסמה הצפויה,
מאפשר בדיקה ללא שימוש ב-winbindd.
--בקשת-lm-מפתח
אחזור מפתח סשן LM
--בקשת-nt-מפתח
בקשת מפתח NT
--אבחון
בצע אבחון על שרשרת האימות. משתמש בסיסמה מ--password או
מבקש אחד.
--דרישת-חברות-ב={SID|שם}
דרוש שמשתמש יהיה חבר בקבוצה מוגדרת (שם או SID) עבור
אימות כדי להצליח.
--pam-winbind-conf=שם קובץ
הגדר את הנתיב לקובץ pam_winbind.conf.
--שם-מארח-יעד=שם-מארח
הגדר את שם המארח של היעד.
--target-service=שירות
הגדירו את שירות היעד.
--השתמש-ב-המאוחד-ב-מטמון
האם להשתמש באישורים המאוחסנים במטמון על ידי winbindd.
--קובץ תצורה=
הקובץ שצוין מכיל את פרטי התצורה הנדרשים על ידי השרת. ה
המידע בקובץ זה כולל מידע ספציפי לשרת כגון מה printcap
קובץ לשימוש, כמו גם תיאורים של כל השירותים שהשרת מיועד אליהם
לְסַפֵּק. ראה smb.conf למידע נוסף. שם קובץ התצורה המוגדר כברירת מחדל הוא
נקבע בזמן ההידור.
-V|--גרסה
מדפיס את מספר גרסת התוכנית.
-?|--עזרה
הדפס סיכום של אפשרויות שורת הפקודה.
--נוֹהָג
הצג הודעת שימוש קצרה.
דוגמא להכין
כדי להגדיר ntlm_auth לשימוש על ידי squid 2.5, עם אימות בסיסי וגם עם אימות NTLMSSP, ה-
יש למקם את הפרטים הבאים בקובץ squid.conf.
auth_param תוכנית ntlm ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param תוכנית בסיסית ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ילדים בסיסיים 5
שרת אינטרנט אחסון פרוקסי במטמון של Squid של auth_param בסיסי
auth_param אישורים בסיסיים שעתיים
הערות
דוגמה זו מניחה ש-ntlm_auth הותקן בנתיב שלך, וכי ה-
הרשאות קבוצה ב- winbindd_privileged הן כמתואר לעיל.
כדי להגדיר ntlm_auth לשימוש על ידי squid 2.5 עם הגבלת קבוצות בנוסף לאמור לעיל
לדוגמה, יש להוסיף את הפרטים הבאים לקובץ squid.conf.
auth_param תוכנית ntlm ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='קבוצת עבודה\משתמשי תחום'
auth_param תוכנית בסיסית ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='קבוצת עבודה\משתמשי תחום'
פתרון תקלות
אם אתם נתקלים בבעיות באימות Internet Explorer הפועל תחת MS
Windows 9X או Millennium Edition כנגד עוזר האימות NTLMSSP של ntlm_auth
(--helper-protocol=squid-2.5-ntlmssp), אנא קרא את מאגר הידע של מיקרוסופט
מאמר מספר 239869 ופעל לפי ההוראות המתוארות שם.
גִרְסָה
דף אדם זה מתאים לגרסה 3 של חבילת Samba.
השתמש ב-ntlm_auth באופן מקוון באמצעות שירותי onworks.net