これは、Ubuntu Online、Fedora Online、Windowsオンラインエミュレータ、MAC OSオンラインエミュレータなど、複数の無料オンラインワークステーションのいずれかを使用して、OnWorks無料ホスティングプロバイダーで実行できるコマンドntlm_authです。
プログラム:
NAME
ntlm_auth - WinbindのNTLM認証機能への外部アクセスを許可するツール
SYNOPSIS
ntlm_auth
DESCRIPTION
このツールは、 サンバ(7)スイート。
ntlm_authはNT/LM認証を使用してユーザーを認証するヘルパーユーティリティです。
ユーザーが正常に認証された場合は 0 を返し、アクセスが拒否された場合は 1 を返します。ntlm_auth
winbindはドメインのユーザーと認証データにアクセスするために使用します。このユーティリティは
他のプログラム(現在はSquidとmod_ntlm_winbind)で使用されることを意図しています
オペレーショナル 募集要項
当学校区の ウィンバインド(8)これらのコマンドの多くを実行するにはデーモンが動作している必要があります。
これらのコマンドのいくつかは、winbindd_privilegedディレクトリへのアクセスも必要とします。
$LOCKDIR。これは、このコマンドをrootとして実行するか、グループを指定して実行する必要があります。
winbindd_privilegedディレクトリへのアクセス。セキュリティ上の理由から、このディレクトリは
世界からアクセスできない。
OPTIONS
--helper-protocol=PROTO
stdioベースのヘルパーとして動作します。有効なヘルパープロトコルは以下のとおりです。
squid-2.4-基本
Squid 2.4 の基本 (プレーンテキスト) 認証で使用するサーバー側ヘルパー。
squid-2.5-基本
Squid 2.5 の基本 (プレーンテキスト) 認証で使用するサーバー側ヘルパー。
squid-2.5-ntlmssp
Squid 2.5 の NTLMSSP 認証で使用するサーバー側ヘルパー。
$LOCKDIRのwinbindd_privilegedディレクトリへのアクセスが必要です。プロトコル
使用されるものについてはここで説明します。
http://devel.squid-cache.org/ntlm/squid_helper_protocol.htmlこのプロトコルは
NTLMSSPネゴシエートパケットを引数として含めることができるように拡張されました
YR コマンドに渡されます (これにより、プロトコル交換における情報の損失を回避できます)。
ntlmssp-クライアント-1
任意の外部プログラムで使用するためのクライアント側ヘルパー
Samba の NTLMSSP 認証に関する知識。
このヘルパーはクライアントなので、どのユーザーでも実行できます。使用されるプロトコルは
実質的には以前のプロトコルの逆である。YRコマンド(
引数) によって認証交換が開始されます。
gss-spnego
GSS-SPNEGOを実装するサーバー側ヘルパー。これはほぼ
squid-2.5-ntlmsspと同じですが、いくつかの微妙な違いがあります。
この段階ではソース以外では文書化されていません。
$LOCKDIR 内の winbindd_privileged ディレクトリへのアクセスが必要です。
gss-spnego-クライアント
GSS-SPNEGOを実装したクライアント側ヘルパー。これも同様のプロトコルを使用します。
上記のヘルパーに適用されますが、現在は文書化されていません。
ntlmサーバー1
RADIUSサーバーまたは「winbind」で使用するためのサーバー側ヘルパープロトコル
MSCHAP および MSCHAPv2 認証を提供するための pppd 用プラグイン。
このプロトコルは、パラメータ: 値とパラメータ::の形式の行で構成されています。
Base64エンコードされた値。ピリオド「.」がXNUMXつある場合は、片側が
ヘルパーがもう一方のヘルパーにデータを提供した時点で、
ユーザーを認証します。
現在、外部プログラムからヘルパーに実装されているパラメータは次のとおりです。
ユーザー名はSambaの UNIX 文字セット.
例:
ユーザー名: bob
ユーザー名:: Ym9i
NTドメイン
ユーザーのドメイン。Sambaの UNIX 文字セット.
例:
NTドメイン: ワークグループ
NTドメイン:: V09SS0dST1VQ
フルユーザー名
Sambaの完全修飾ユーザー名。 UNIX 文字セット
資格を有する ウィンバインド セパレーター.
例:
フルユーザー名: WORKGROUP\bob
フルユーザー名:: V09SS0dST1VQYm9i
LANMANチャレンジ
サーバーによってランダムに生成される8バイトのLANMANチャレンジ値、または(
MSCHAPv2などのケースでは、サーバーとクライアントの両方によって何らかの方法で生成された
クライアント。
例:
LANMAN-チャレンジ: 0102030405060708
LANMANレスポンス
ユーザーのパスワードと
提供されたLANMANチャレンジ。通常、これはネットワーク経由で提供される。
認証を希望するクライアント。
例:
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
NTレスポンス
ユーザーのパスワードと
提供されたLANMANチャレンジ。通常、これはネットワーク経由で提供される。
認証を希望するクライアント。
例:
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
パスワード
ユーザーのパスワード。ヘルパーがネットワーククライアントから提供する場合、
平文のパスワードが露出する従来の状況で使用されている
ウェイ
例:
パスワード: samba2
パスワード:: c2FtYmEy
リクエストユーザーセッションキー
認証が成功すると、関連付けられたユーザーセッションキーを返します。
ログイン。
例:
リクエストユーザーセッションキー: はい
リクエスト-LanMan-セッションキー
認証が成功したら、関連付けられたLANMANセッションキーを返します。
ログイン。
例:
リクエストLanManセッションキー: はい
警告
実装者は、あらゆるデータ(例えば、
改行文字などの悪意のあるユーザーデータが含まれている可能性のあるユーザー名/パスワード。
ヘルパーからの文字列をデコードする必要があるかもしれないが、これも同様に
base64 でエンコードされています。
--username = USERNAME
認証するユーザーのユーザー名を指定します
--domain=ドメイン
認証するユーザーのドメインを指定する
--workstation=ワークステーション
ユーザーが認証したワークステーションを指定する
--チャレンジ=文字列
NTLMチャレンジ(16進数)
--lm-response=レスポンス
チャレンジに対するLMの応答(16進数)
--nt-response=レスポンス
チャレンジに対する NT または NTLMv2 レスポンス (XNUMX 進数)
--password = PASSWORD
ユーザーのプレーンテキストパスワード
コマンドラインで指定されていない場合は、必要に応じて入力を求められます。
NTLMSSPベースのサーバーロールの場合、このパラメータは期待されるパスワードを指定します。
winbindd を動作させずにテストを可能にします。
--request-lm-key
LMセッションキーを取得する
--request-nt-key
NTキーを要求する
--診断
認証チェーンの診断を実行します。--password または
XNUMXつのプロンプト。
--require-membership-of={SID|名前}
ユーザーが指定されたグループ(名前またはSID)のメンバーであることを要求します
認証が成功します。
--pam-winbind-conf=ファイル名
pam_winbind.conf ファイルへのパスを定義します。
--target-hostname=ホスト名
ターゲットホスト名を定義します。
--target-service=サービス
ターゲット サービスを定義します。
--キャッシュされた認証情報を使用する
winbindd によってキャッシュされた資格情報を使用するかどうか。
--configfile=
指定されたファイルには、サーバーに必要な構成の詳細が含まれています。 の
このファイル内の情報には、printcap などのサーバー固有の情報が含まれます。
使用するファイル、およびサーバーが使用するすべてのサービスの説明
提供。 詳細については、smb.conf を参照してください。 デフォルトの設定ファイル名は次のとおりです。
コンパイル時に決定されます。
-V |-バージョン
プログラムのバージョン番号を出力します。
-?|--ヘルプ
コマンドラインオプションの概要を出力します。
- 利用方法
簡単な使用法メッセージを表示します。
実施例 セットアップ
squid 2.5で基本認証とNTLMSSP認証の両方を使用するためにntlm_authを設定するには、
以下を squid.conf ファイルに配置する必要があります。
auth_param ntlm プログラム ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param 基本プログラム ntlm_auth --helper-protocol=squid-2.5-basic
auth_param 基本子 5
auth_param 基本レルム Squid プロキシキャッシュ Web サーバー
auth_param 基本認証情報ttl 2時間
注意
この例では、ntlm_authがパスにインストールされており、
winbindd_privileged のグループ権限は上記のとおりです。
上記に加えてグループ制限付きのsquid 2.5で使用するためにntlm_authを設定するには
たとえば、squid.conf ファイルに次の内容を追加する必要があります。
auth_param ntlm プログラム ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='WORKGROUP\Domain Users'
auth_param 基本プログラム ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='WORKGROUP\Domain Users'
トラブルシューティング
MSで実行されているInternet Explorerの認証に問題がある場合は、
Windows 9X または Millennium Edition と ntlm_auth の NTLMSSP 認証ヘルパー
(--helper-protocol=squid-2.5-ntlmssp) の場合は、Microsoft Knowledge Base をお読みください。
記事番号 239869 を参照し、そこに記載されている手順に従ってください。
VERSION
このマニュアルページは、Sambaスイートのバージョン3に適しています。
onworks.net サービスを使用して ntlm_auth をオンラインで使用する
