Ito ang command na ntlm_auth na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
ntlm_auth - tool upang payagan ang panlabas na pag-access sa function ng pagpapatunay ng NTLM ng Winbind
SINOPSIS
ntlm_auth
DESCRIPTION
Ang tool na ito ay bahagi ng samba(7) suite.
Ang ntlm_auth ay isang helper utility na nagpapatotoo sa mga user gamit ang NT/LM authentication. Ito
nagbabalik ng 0 kung matagumpay na napatotohanan ang mga user at 1 kung tinanggihan ang pag-access. ntlm_auth
gumagamit ng winbind upang ma-access ang user at data ng pagpapatunay para sa isang domain. Ang utility na ito ay lamang
nilayon upang magamit ng iba pang mga programa (kasalukuyang Squid at mod_ntlm_winbind)
OPERATIONAL MGA KINAKAILANGAN
Ang winbindd(8) dapat na gumagana ang daemon para gumana ang marami sa mga utos na ito.
Ang ilan sa mga utos na ito ay nangangailangan din ng access sa direktoryo na winbindd_privileged in
$LOCKDIR. Dapat itong gawin alinman sa pamamagitan ng pagpapatakbo ng command na ito bilang ugat o pagbibigay ng grupo
access sa winbindd_privileged directory. Para sa mga kadahilanang pangseguridad, ang direktoryong ito ay dapat
hindi naa-access sa mundo.
Opsyon
--helper-protocol=PROTO
Gumana bilang isang stdio-based na katulong. Ang mga wastong protocol ng helper ay:
pusit-2.4-basic
Server-side helper para gamitin sa pangunahing (plaintext) na pagpapatotoo ng Squid 2.4.
pusit-2.5-basic
Server-side helper para gamitin sa pangunahing (plaintext) na pagpapatotoo ng Squid 2.5.
pusit-2.5-ntlmssp
Server-side helper para magamit sa pagpapatotoo ng NTLMSSP ng Squid 2.5.
Nangangailangan ng access sa direktoryo na winbindd_privileged sa $LOCKDIR. Ang protocol
ginamit ay inilarawan dito:
http://devel.squid-cache.org/ntlm/squid_helper_protocol.html. Ang protocol na ito ay may
ay pinalawig upang payagan ang NTLMSSP Negotiate packet na maisama bilang argumento
sa utos ng YR. (Kaya iniiwasan ang pagkawala ng impormasyon sa palitan ng protocol).
ntlmssp-client-1
Katulong sa panig ng kliyente para gamitin sa mga di-makatwirang panlabas na programa na maaaring gustong gamitin
Ang kaalaman sa pagpapatunay ng NTLMSSP ng Samba.
Ang katulong na ito ay isang kliyente, at dahil dito ay maaaring patakbuhin ng sinumang user. Ang protocol na ginamit ay
epektibong kabaligtaran ng nakaraang protocol. Isang utos ng YR (nang walang anumang
arguments) ay magsisimula sa pagpapalit ng pagpapatunay.
gss-spnego
Server-side helper na nagpapatupad ng GSS-SPNEGO. Gumagamit ito ng isang protocol na halos
kapareho ng squid-2.5-ntlmssp, ngunit may ilang mga banayad na pagkakaiba na
hindi dokumentado sa labas ng pinagmulan sa yugtong ito.
Nangangailangan ng access sa direktoryo na winbindd_privileged sa $LOCKDIR.
gss-spnego-client
Katulong sa panig ng kliyente na nagpapatupad ng GSS-SPNEGO. Gumagamit din ito ng katulad na protocol
sa mga katulong sa itaas, ngunit kasalukuyang hindi dokumentado.
ntlm-server-1
Server-side helper protocol, inilaan para sa paggamit ng isang RADIUS server o ang 'winbind'
plugin para sa pppd, para sa probisyon ng pagpapatunay ng MSCHAP at MSCHAPv2.
Ang protocol na ito ay binubuo ng mga linya sa anyong: Parameter: value at Parameter::
Base64-encode na halaga. Ang pagkakaroon ng isang solong panahon. ay nagpapahiwatig na ang isang panig
ay tapos na ang pagbibigay ng data sa isa pa. (Na maaaring maging sanhi ng katulong
patotohanan ang gumagamit).
Ang kasalukuyang ipinapatupad na mga parameter mula sa panlabas na programa hanggang sa katulong ay:
username
Ang username, inaasahang nasa Samba's Unix charset.
Halimbawa:
Username: bob
Username:: Ym9i
NT-Domain
Ang domain ng user, inaasahang nasa Samba's Unix charset.
Halimbawa:
NT-Domain: WORKGROUP
NT-Domain:: V09SS0dST1VQ
Buong-Username
Ang ganap na kwalipikadong username, inaasahang nasa Samba's Unix charset at
kwalipikado sa winbind panghiwalay.
Halimbawa:
Buong-Username: WORKGROUP\bob
Buong-Username:: V09SS0dST1VQYm9i
LANMAN-Challenge
Ang 8 byte LANMAN Challenge value, random na nabuo ng server, o (sa
mga kaso gaya ng MSCHAPv2) na nabuo sa ilang paraan ng parehong server at ng
client.
Halimbawa:
LANMAN-Hamon: 0102030405060708
LANMAN-Tugon
Ang 24 byte LANMAN Response value, na kinakalkula mula sa password ng user at ang
ibinigay ng LANMAN Challenge. Karaniwan, ito ay ibinibigay sa network ng a
kliyenteng gustong magpatotoo.
Halimbawa:
LANMAN-Response: 0102030405060708090A0B0C0D0E0F101112131415161718
NT-Tugon
Ang >= 24 byte NT Response na kinakalkula mula sa password ng user at ang
ibinigay ng LANMAN Challenge. Karaniwan, ito ay ibinibigay sa network ng a
kliyenteng gustong magpatotoo.
Halimbawa:
NT-Response: 0102030405060708090A0B0C0D0E0F10111213141516171
password
Ang password ng gumagamit. Ito ay ibibigay ng isang network client, kung ang katulong
ay ginagamit sa isang legacy na sitwasyon na naglalantad ng mga plaintext na password dito
paraan.
Halimbawa:
Password: samba2
Password:: c2FtYmEy
Request-User-Session-Key
Sa matagumpay na pag-authenticaiton, ibalik ang session key ng user na nauugnay sa
ang login.
Halimbawa:
Request-User-Session-Key: Oo
Request-LanMan-Session-Key
Sa matagumpay na pag-authenticaiton, ibalik ang LANMAN session key na nauugnay sa
ang login.
Halimbawa:
Request-LanMan-Session-Key: Oo
babala
Dapat mag-ingat ang mga nagpapatupad sa base64 na mag-encode ng anumang data (tulad ng
mga username/password) na maaaring naglalaman ng malisyosong data ng user, gaya ng bagong linya. sila
maaaring kailanganin ding mag-decode ng mga string mula sa helper, na maaaring ganoon din
naka-encode ng base64.
--username=USERNAME
Tukuyin ang username ng user upang patotohanan
--domain=DOMAIN
Tukuyin ang domain ng user upang patotohanan
--workstation=WORKSTATION
Tukuyin ang workstation kung saan na-authenticate ng user
--challenge=STRING
NTLM challenge (sa HEXADECIMAL)
--lm-response=RESPONSE
LM Tugon sa hamon (sa HEXADECIMAL)
--nt-response=RESPONSE
NT o NTLMv2 Tugon sa hamon (sa HEXADECIMAL)
--password=PASSWORD
Ang plaintext na password ng user
Kung hindi tinukoy sa command line, ipo-prompt ito kapag kinakailangan.
Para sa mga tungkulin ng server na nakabatay sa NTLMSSP, tinutukoy ng parameter na ito ang inaasahang password,
pinapayagan ang pagsubok nang walang winbindd operational.
--hiling-lm-key
Kunin ang LM session key
--request-nt-key
Humiling ng NT key
--diagnostics
Magsagawa ng Diagnostics sa authentication chain. Gumagamit ng password mula sa --password o
prompt para sa isa.
--require-membership-of={SID|Pangalan}
Hihilingin na ang isang user ay maging miyembro ng tinukoy na grupo (pangalan man o SID) para sa
pagpapatunay upang magtagumpay.
--pam-winbind-conf=FILENAME
Tukuyin ang path sa pam_winbind.conf file.
--target-hostname=HOSTNAME
Tukuyin ang target na hostname.
--target-service=SERVICE
Tukuyin ang target na serbisyo.
--use-cached-creds
Kung gagamit ng mga kredensyal na naka-cache ng winbindd.
--configfile=
Ang file na tinukoy ay naglalaman ng mga detalye ng pagsasaayos na kinakailangan ng server. Ang
Kasama sa impormasyon sa file na ito ang impormasyong partikular sa server tulad ng kung ano ang printcap
file na gagamitin, pati na rin ang mga paglalarawan ng lahat ng mga serbisyong gagawin ng server
ibigay. Tingnan ang smb.conf para sa higit pang impormasyon. Ang default na pangalan ng configuration file ay
tinutukoy sa oras ng pag-compile.
-V|--bersyon
Ini-print ang numero ng bersyon ng programa.
-?|--tulong
Mag-print ng buod ng mga opsyon sa command line.
--gamit
Ipakita ang maikling mensahe ng paggamit.
Halimbawa SETUP
Upang i-setup ang ntlm_auth para sa paggamit ng squid 2.5, na may parehong basic at NTLMSSP authentication, ang
sumusunod ay dapat ilagay sa squid.conf file.
auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic
auth_param pangunahing mga bata 5
auth_param basic realm Squid proxy-caching web server
auth_param pangunahing kredensyalsttl 2 oras
nota
Ipinapalagay ng halimbawang ito na ang ntlm_auth ay na-install sa iyong landas, at ang
ang mga pahintulot ng pangkat sa winbindd_privileged ay tulad ng inilarawan sa itaas.
Upang i-setup ang ntlm_auth para sa paggamit ng squid 2.5 na may limitasyon ng grupo bilang karagdagan sa itaas
halimbawa, ang sumusunod ay dapat idagdag sa squid.conf file.
auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='WORKGROUP\Domain Users'
auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='WORKGROUP\Domain Users'
Pag-areglo
Kung nakakaranas ka ng mga problema sa pag-authenticate ng Internet Explorer na tumatakbo sa ilalim ng MS
Windows 9X o Millennium Edition laban sa ntlm_auth's NTLMSSP authentication helper
(--helper-protocol=squid-2.5-ntlmssp), pagkatapos ay pakibasa ang Microsoft Knowledge Base
artikulo #239869 at sundin ang mga tagubiling inilarawan doon.
VERSION
Ang man page na ito ay tama para sa bersyon 3 ng Samba suite.
Gumamit ng ntlm_auth online gamit ang mga serbisyo ng onworks.net
