cntlm - Trực tuyến trên đám mây

CHƯƠNG TRÌNH:

TÊN

cntlm - xác thực proxy HTTP (S) với đường hầm TCP / IP và tăng tốc

SYNOPSIS

cntlm [ -AaBcDdFfgHhILlMPprSsTUuvw ] [ host1 cổng1 | host1:cổng1 ] ... máy chủN cảngN

MÔ TẢ

Cntlm là một proxy HTTP xác thực NTLM / NTLM SR / NTLMv2. Nó đứng giữa
ứng dụng và proxy của công ty, bổ sung xác thực NTLM một cách nhanh chóng. Bạn có thể
chỉ định một số proxy "cha" và Cntlm sẽ thử lần lượt cho đến khi một proxy hoạt động. Tất cả
các kết nối auth'd được lưu vào bộ nhớ đệm và tái sử dụng để đạt được hiệu quả cao. Chỉ cần trỏ các ứng dụng của bạn
cài đặt proxy tại Cntlm, điền vào cntlm.conf (cntlm.ini) và bạn đã sẵn sàng thực hiện. Đây là
hữu ích trên Windows, nhưng cần thiết cho hệ điều hành không phải của Microsoft. Địa chỉ IP proxy có thể là
được chỉ định qua CLI (host1: port1 đến hostN: portN) hoặc tệp cấu hình.

Một lựa chọn khác là có cntlm xác thực các kết nối web cục bộ của bạn mà không cần cha mẹ nào
proxy. Nó có thể hoạt động ở chế độ độc lập, giống như Squid hoặc ISA. Theo mặc định, tất cả
các yêu cầu được chuyển tiếp tới proxy mẹ, nhưng người dùng có thể đặt danh sách "NoProxy", danh sách
URL khớp với các mẫu ký tự đại diện, định tuyến giữa các chế độ trực tiếp và chuyển tiếp. Cntlm có thể
cũng nhận ra khi tất cả proxy công ty của bạn không khả dụng và chuyển sang hoạt động độc lập
chế độ tự động (và sau đó quay lại một lần nữa). Ngoài ra WWW và PROXY xác thực, cntlm
cung cấp một tính năng hữu ích cho phép người dùng di chuyển máy tính xách tay của họ giữa nơi làm việc và nhà
mà không cần thay đổi cài đặt proxy trong các ứng dụng của họ (sử dụng cntlm mọi lúc). Cntlm
cũng tích hợp chuyển tiếp cổng TCP / IP trong suốt (đường hầm). Mỗi đường hầm mở ra một
ổ cắm nghe trên máy cục bộ và chuyển tiếp tất cả các kết nối đến máy chủ đích
đằng sau proxy cha. Thay vì các đường hầm giống SSH này, người dùng cũng có thể chọn một giới hạn
Giao diện SOCKS5.

Trung tâm cntlm chức năng tương tự như NTLMAPS cuối, nhưng ngày nay, cntlm đã phát triển theo cách
ngoài bất cứ điều gì mà bất kỳ ứng dụng nào khác thuộc loại này có thể cung cấp. Danh sách tính năng bên dưới
nói cho chính nó. Cntlm có nhiều tính năng bảo mật / quyền riêng tư như NTLMv2 hô trợ và
bảo vệ mật khẩu - có thể thay thế các băm mật khẩu (có thể lấy được
sử dụng -H) thay cho mật khẩu thực hoặc để nhập mật khẩu tương tác (trên
khởi động hoặc thông qua bản dịch xác thực HTTP "cơ bản"). Nếu mật khẩu văn bản rõ được sử dụng, nó là
tự động băm trong quá trình khởi động và tất cả các dấu vết của nó sẽ bị xóa khỏi quy trình
ký ức.

Ngoài việc sử dụng tối thiểu tài nguyên hệ thống, cntlm đạt được thông lượng cao hơn trên một
liên kết đã cho. Bằng cách lưu vào bộ nhớ đệm các kết nối đã xác thực, nó hoạt động như một bộ tăng tốc HTTP; Điều này
theo cách này, bắt tay xác thực 5 bước cho mỗi kết nối được loại bỏ một cách minh bạch, cung cấp
truy cập ngay lập tức hầu hết thời gian. Cntlm không bao giờ lưu nội dung yêu cầu / trả lời vào bộ nhớ, trong
thực tế, không có lưu lượng truy cập nào được tạo ngoại trừ việc trao đổi các tiêu đề xác thực cho đến khi máy khách <->
kết nối máy chủ hoàn toàn thương lượng. Chỉ sau đó truyền dữ liệu thực sự mới diễn ra. Cntlm is
được viết bằng C được tối ưu hóa và dễ dàng đạt được phản hồi nhanh hơn mười lăm lần so với những người khác.

Một ví dụ của cntlm so với NTLMAPS: cntlm cho mức trung bình 76 kB / giây với mức sử dụng CPU cao nhất là
0.3% trong khi với NTLMAPS thì trung bình là 48 kB / giây với CPU cao nhất là 98% (Pentium M 1.8 GHz). Các
sự khác biệt lớn trong việc sử dụng tài nguyên là một trong nhiều lợi ích quan trọng đối với việc sử dụng máy tính xách tay.
Tiêu thụ bộ nhớ cao nhất (một số trang web phức tạp, 50 kết nối paralell / luồng; giá trị
đang ở KiB):

VSZ RSS CMD
3204 1436 ./cntlm -f -c ./cntlm.conf -P pid
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg

Một phần vốn có của sự phát triển là sàng lọc quản lý hồ sơ và quản lý bộ nhớ bằng cách sử dụng
Valgrind. Bản phân phối nguồn chứa một tệp được gọi là valgrind.txt, nơi bạn có thể thấy
báo cáo xác nhận không bị rò rỉ, không có quyền truy cập vào bộ nhớ chưa được phân bổ, không sử dụng
dữ liệu chưa được khởi tạo - tất cả đều được truy tìm theo từng lệnh được mô phỏng trong Valgrind's virtual
CPU trong vòng đời sản xuất điển hình của proxy.

LỰA CHỌN

Hầu hết các tùy chọn có thể được đặt trước trong một tệp cấu hình. Chỉ định một tùy chọn nhiều lần
không phải là một lỗi, nhưng cntlm bỏ qua tất cả các lần xuất hiện ngoại trừ lần cuối cùng. Điều này không áp dụng
đến các tùy chọn như -L, mỗi trong số đó tạo ra một phiên bản mới của một số tính năng. Cntlm có thể
được xây dựng bằng tệp cấu hình được mã hóa cứng (ví dụ: /etc/cntlm.conf), tệp này luôn được tải,
nếu có thể. Nhìn thấy -c tùy chọn về cách ghi đè một số hoặc tất cả các cài đặt của nó.

Sử dụng -h để xem các tùy chọn có sẵn với mô tả ngắn.

-A IP / mặt nạ (Cho phép)
Cho phép quy tắc ACL. Cùng với -D (Từ chối) chúng là hai quy tắc được phép trong ACL
chính sách. Thông thường hơn là có điều này trong tệp cấu hình, nhưng Cntlm sau
tiền đề mà bạn có thể làm tương tự trên dòng lệnh như bạn có thể sử dụng
tập tin cấu hình. Khi nào Cntlm nhận được một yêu cầu kết nối, nó sẽ quyết định có cho phép hay không
hoặc từ chối nó. Tất cả các quy tắc ACL được lưu trữ trong một danh sách theo thứ tự như đã chỉ định.
Cntlm sau đó đi qua danh sách và đầu tiên IP / mặt nạ quy tắc phù hợp với yêu cầu
địa chỉ nguồn được áp dụng. Các mặt nạ có thể là bất kỳ số nào từ 0 đến 32, trong đó 32 là
mặc định (đó là khớp IP chính xác). Kí hiệu này còn được gọi là CIDR. Nếu bạn muốn
để phù hợp với mọi thứ, hãy sử dụng 0/0 hoặc một asterix. ACL trên dòng lệnh lấy
ưu tiên hơn những thứ trong tệp cấu hình. Trong trường hợp này, bạn sẽ thấy thông tin về
đó trong nhật ký (trong số danh sách các tùy chọn không sử dụng). Ở đó bạn cũng có thể thấy các cảnh báo
về thông số mạng con có thể không chính xác, đó là khi IP một phần có nhiều bit hơn
bạn tuyên bố bởi mặt nạ (ví dụ: 10.20.30.40/24 phải là 10.20.30.0/24).

-a NTLMv2 | NTLM2SR | NT | NTLM | LM (Xác thực)
Loại xác thực. NTLM (v2) bao gồm một hoặc hai phản hồi được băm, NT và LM
hoặc NTLM2SR hoặc NTv2 và LMv2, được tính từ băm mật khẩu. Mỗi
phản hồi sử dụng một thuật toán băm khác; khi các kiểu phản hồi mới được phát minh,
các thuật toán mạnh hơn đã được sử dụng. Khi bạn cài đặt lần đầu tiên cntlm, tìm cái mạnh nhất
cái nào phù hợp với bạn (tốt hơn là sử dụng -M). Ở trên chúng được liệt kê từ mạnh nhất đến
yếu nhất. Máy chủ rất cũ hoặc proxy HW chuyên dụng có thể không xử lý được
bất cứ điều gì ngoài LM. Nếu không có cách nào trong số đó hoạt động, hãy xem tùy chọn cờ tương thích -F hoặc nộp
một Yêu cầu Hỗ trợ.

QUAN TRỌNG: Mặc dù NTLMv2 không được chấp nhận rộng rãi (nghĩa là được thực thi), nhưng nó được hỗ trợ
trên tất cả Windows kể từ NT 4.0 SP4. Điều đó là để a rất Dài thời gian! Tôi thực sự đề nghị
bạn sử dụng nó để bảo vệ thông tin đăng nhập của mình trực tuyến. Bạn cũng nên thay thế bản rõ
Mật khẩu tùy chọn với băm Vượt qua [NTLMv2 | NT | LM] tương đương. NTLMv2 là nhất và
có thể là xác thực an toàn duy nhất của họ NTLM.

-B (NTLMToBasic)
Tùy chọn này cho phép "NTLM-to-basic", cho phép bạn sử dụng một cntlm cho nhiều
người dùng. Xin lưu ý rằng tất cả bảo mật của NTLM sẽ bị mất theo cách này. Xác thực cơ bản chỉ sử dụng
một thuật toán mã hóa đơn giản để "ẩn" thông tin đăng nhập của bạn và nó vừa phải dễ dàng
đánh hơi chúng.

QUAN TRỌNG: Giao thức HTTP rõ ràng có phương tiện để thương lượng ủy quyền trước
cho phép bạn thông qua, nhưng TCP / IP thì không (nghĩa là cổng mở là cổng mở). Nếu bạn dùng
NTLM-to-basic và KHÔNG chỉ định một số tên người dùng / mật khẩu trong tệp cấu hình,
bạn bị ràng buộc với các tính năng đường hầm lỏng lẻo, bởi vì cntlm một mình sẽ không biết bạn
thông tin xác thực.

Vì nhận dạng NTLM có ít nhất ba phần (tên người dùng, mật khẩu, miền)
và xác thực cơ bản chỉ cung cấp các trường cho hai (tên người dùng, mật khẩu), bạn
phải nhập lậu phần miền ở đâu đó. Bạn có thể đặt miền config / cmd-line
tham số, sau đó sẽ được sử dụng cho tất cả người dùng, những người không chỉ định miền của họ là
một phần của tên người dùng. Để làm điều đó và ghi đè cài đặt miền chung, hãy sử dụng
thay vì tên người dùng thuần túy trong hộp thoại mật khẩu: "domain \ username".

-c
Tập tin cấu hình. Các tùy chọn dòng lệnh, nếu được sử dụng, ghi đè các tùy chọn đơn lẻ của nó hoặc
được thêm vào đầu danh sách cho nhiều tùy chọn (đường hầm, proxy mẹ, v.v.)
ngoại trừ ACL, được ghi đè hoàn toàn. Sử dụng / dev / null đến
vô hiệu hóa bất kỳ tệp cấu hình nào.

-D IP / mặt nạ (Từ chối)
Từ chối quy tắc ACL. Xem tùy chọn -A ở trên.

-d (Miền)
Miền hoặc nhóm làm việc của tài khoản proxy. Giá trị này cũng có thể được chỉ định là
một phần của tên người dùng với -u.

-F (Cờ)
Cờ xác thực NTLM. Tùy chọn này rất tinh vi và tôi không khuyên bạn nên
thay đổi các giá trị tích hợp mặc định trừ khi bạn không thành công với xác thực proxy gốc
và đã thử tự động dò tìm ma thuật (-M) và tất cả các giá trị có thể có cho Xác thực tùy chọn
(-a). Hãy nhớ rằng mỗi tổ hợp băm NT / LM yêu cầu các cờ khác nhau. Điều này
tùy chọn là một "ghi đè thủ công" hoàn chỉnh và bạn sẽ phải đối phó với nó
bản thân bạn.

-f Chạy trong bảng điều khiển như một công việc nền trước, không rẽ vào nền. Trong chế độ này, tất cả
thông báo nhật ký hệ thống sẽ được gửi lại đến bảng điều khiển (trên các nền tảng hỗ trợ nhật ký hệ thống
Tùy chọn LOG_PERROR). Mặc dù cntlm được thiết kế chủ yếu như một daemon UNIX cổ điển
với ghi nhật ký syslogd, nó cung cấp chế độ dài dòng chi tiết mà không tách khỏi
điều khiển thiết bị đầu cuối; Thấy chưa -v. Trong mọi trường hợp, tất cả các thông báo lỗi và chẩn đoán đều
luôn được gửi đến trình ghi nhật ký hệ thống.

-G (Tác nhân ISAScanner)
Đối sánh Tác nhân người dùng (không phân biệt chữ hoa chữ thường) cho plugin quét xuyên isa (xem -S cho
giải trình). Đối sánh tích cực xác định các yêu cầu (ứng dụng) mà
plugin nên được kích hoạt mà không cần xem xét kích thước tải xuống (xem -S). Bạn
có thể sử dụng các ký tự đại diện shell, cụ thể là "*", "?" và "[]". Nếu sử dụng mà không có -S or
ISAScannerKích thước, Các max_size_in_kb được đặt bên trong thành vô cực, vì vậy plugin
sẽ CHỈ hoạt động cho Người dùng-Tác nhân đã chọn, bất kể kích thước tải xuống.

-g (Cổng vào)
Chế độ cổng vào, cntlm lắng nghe trên tất cả các giao diện mạng. Mặc định là chỉ ràng buộc
vòng lặp. Bằng cách đó, chỉ các quy trình cục bộ mới có thể kết nối với cntlm. Trong chế độ cổng
Tuy nhiên, cntlm nghe trên tất cả các giao diện và có thể truy cập vào các máy khác trên
mạng. Xin lưu ý rằng với tùy chọn này, thứ tự dòng lệnh quan trọng khi
chỉ định các cổng (lắng nghe) proxy hoặc đường hầm. Những người được định vị trước nó sẽ
ràng buộc chỉ loopback; những người sau sẽ được công khai.
QUAN TRỌNG: Tất cả những điều trên chỉ áp dụng cho các cổng cục bộ mà bạn không
chỉ định bất kỳ địa chỉ nguồn nào. Nếu bạn đã làm, cntlm cố gắng liên kết chỉ cổng đã cho vào
giao diện được chỉ định (hoặc đúng hơn là địa chỉ IP).

-H Sử dụng tùy chọn này để nhận mã băm cho cấu hình không cần mật khẩu. Trong chế độ này, cntlm
in kết quả và thoát. Bạn chỉ có thể sao chép và dán ngay vào tệp cấu hình.
Bạn nên sử dụng tùy chọn này với -u và -d, bởi vì một số hàm băm bao gồm
tên người dùng và tên miền trong phép tính. Có thấy -a để bảo mật
khuyến nghị.

-h Hiển thị trợ giúp (các tùy chọn có sẵn với mô tả ngắn gọn) và thoát.

-I Mật khẩu tương tác nhắc. Mọi cài đặt mật khẩu từ dòng lệnh hoặc cấu hình
tệp bị bỏ qua và một lời nhắc mật khẩu được đưa ra. Chỉ sử dụng tùy chọn này từ shell.

-L [ :] : : (Đường hầm)
Định nghĩa đường hầm. Cú pháp giống như trong chuyển tiếp cục bộ của OpenSSH (-L),
với một tiền tố tùy chọn mới, Saddr - địa chỉ IP nguồn để liên kết cảng đến.
Cntlm sẽ lắng nghe các kết nối đến trên cổng cục bộ cảng, chuyển tiếp
mọi kết nối mới thông qua proxy gốc đến ma cà rồng:báo cáo (xác thực trên
đi). Tùy chọn này có thể được sử dụng nhiều lần với số lượng đường hầm không giới hạn,
có hoặc không có Saddr Lựa chọn. Nhìn thấy -g để biết các chi tiết liên quan đến cảng địa phương
ràng buộc khi Saddr Không được sử dụng.

Xin lưu ý rằng nhiều proxy công ty không cho phép kết nối với các cổng khác
hơn 443 (https), nhưng nếu bạn chạy dịch vụ mục tiêu của mình trên cổng này, bạn sẽ
an toàn. "Luôn luôn" cho phép kết nối với HTTPS, nếu không sẽ không ai có thể
duyệt các trang web https: //. Trong mọi trường hợp, trước tiên hãy thử nếu bạn có thể thiết lập kết nối
thông qua đường hầm, trước khi bạn dựa vào nó. Tính năng này thực hiện công việc tương tự như các công cụ
Lượt thích nút chai(1), nhưng thay vì giao tiếp qua một thiết bị đầu cuối, cntlm giữ nó
TCP / IP.

-l [ :] (Nghe)
Cổng cục bộ cho cntlm dịch vụ proxy. Sử dụng số bạn đã chọn ở đây và
tên máy chủ của máy đang chạy cntlm (có thể là localhost) làm cài đặt proxy trong
trình duyệt của bạn và / hoặc môi trường. Hỗ trợ hầu hết các ứng dụng (bao gồm cả bảng điều khiển)
khái niệm về proxy để kết nối với các máy chủ khác. Trên POSIX, hãy đặt những điều sau
các biến để sử dụng, ví dụ: wget(1) mà không gặp bất kỳ rắc rối nào (điền vào địa chỉ thực của
cntlm):

$ export ftp_proxy =http://localhost: 3128
$ export http_proxy = $ ftp_proxy
$ export https_proxy = $ ftp_proxy

Bạn có thể chọn chạy dịch vụ proxy trên nhiều cổng, trong trường hợp đó
sử dụng tùy chọn này nhiều lần nếu cần. Nhưng không giống như định nghĩa đường hầm, cntlm
không thể khởi động nếu nó không thể liên kết tất cả các cổng dịch vụ proxy. Cổng dịch vụ proxy
cũng có thể bị ràng buộc một cách chọn lọc. Sử dụng Saddr để chọn địa chỉ IP nguồn để liên kết
cảng đến. Ví dụ, điều này cho phép bạn chạy dịch vụ trên các cổng khác nhau cho
mạng con A và B và làm cho nó ẩn đối với mạng con C. Xem -g để biết chi tiết
liên quan đến ràng buộc cổng cục bộ khi Saddr Không được sử dụng.

-M
Chạy phát hiện phương ngữ NTLM kỳ diệu. Trong chế độ này, cntlm thử một số làm việc đã biết
cài đặt trước chống lại proxy của bạn. Yêu cầu thăm dò được thực hiện cho các kiểm tra, với
hàm băm mạnh nhất đi trước. Khi hoàn tất, cài đặt để bảo mật nhất
thiết lập được in. Mặc dù việc phát hiện sẽ cho bạn biết cái nào và cách sử dụng Xác thực,
Flags và tùy chọn băm mật khẩu, bạn phải định cấu hình ít nhất thông tin đăng nhập của mình
và địa chỉ proxy trước. Bạn có thể dùng -I để nhập mật khẩu của bạn một cách tương tác.

-N [, (Không có proxy)
Tránh proxy gốc cho những tên máy chủ này. Tất cả các URL phù hợp sẽ được ủy quyền
trực tiếp by cntlm như một proxy độc lập. Cntlm hỗ trợ xác thực WWW trong việc này
, do đó cho phép bạn truy cập các trang mạng nội bộ cục bộ với NTLM của công ty
xác thực. Hy vọng rằng bạn sẽ không cần MSIE ảo hóa đó nữa. :)

-O [ :] (SOCKS5Proxy)
Bật proxy SOCKS5 và làm cho nó nghe trên cổng cục bộ cổng_số (thông số IP nguồn là
cũng có thể, như với tất cả các tùy chọn). Theo mặc định, sẽ không có giới hạn như
cho những ai có thể sử dụng dịch vụ này. Một số ứng dụng khách thậm chí không hỗ trợ xác thực SOCKS5
(ví dụ: hầu hết tất cả các trình duyệt). Nếu bạn muốn thực thi xác thực, hãy sử dụng -R hay của nó
tùy chọn tương đương, Người dùng SOCKS5. Như với đường hầm cổng, nó phụ thuộc vào proxy gốc
liệu nó có cho phép kết nối với bất kỳ cổng nào của máy chủ được yêu cầu hay không. Tính năng này có thể
được sử dụng với tất(1) để làm cho hầu hết các ứng dụng TCP / IP đi qua proxy hơn là
trực tiếp (hiển nhiên là chỉ các kết nối gửi đi mới hoạt động). Để làm cho các ứng dụng hoạt động
không có máy chủ DNS, điều quan trọng là chúng không tự giải quyết mà sử dụng
SOCKS. Ví dụ: Firefox có sẵn tùy chọn này thông qua URI "about: config", key name
mạng.proxy.socks_remote_dns, phải được đặt thành đúng. Proxy không biết
tấtcác ứng dụng ified, sẽ phải được định cấu hình bằng địa chỉ IP để ngăn chặn chúng
từ phân giải DNS.

-P
Tạo tệp PID pidfile khi khởi động. Nếu tệp được chỉ định tồn tại, nó là
bị cắt ngắn và ghi đè. Tùy chọn này được thiết kế để sử dụng với băt đâu dưng-
daemon(8) và các cơ chế bảo dưỡng khác. Xin lưu ý rằng tệp PID được tạo
SAU KHI quá trình loại bỏ các đặc quyền và fork của nó. Khi daemon hoàn thành sạch sẽ,
tập tin đã bị xóa.

-p (Mật khẩu, vượt quaNT, ...)
Mật khẩu tài khoản proxy. Cntlm xóa mật khẩu khỏi bộ nhớ, để làm cho nó
vô hình trong / proc hoặc với các công cụ kiểm tra như ps(1), nhưng cách tốt nhất là
đặt mật khẩu là tệp cấu hình. Để đạt được điều đó, bạn có thể sử dụng Mật khẩu
tùy chọn (đối với bản rõ, định dạng con người có thể đọc được) hoặc "mã hóa" mật khẩu của bạn qua -H
Và sau đó sử dụng vượt quaNTLMv2, vượt quaNT và / hoặc ĐạtLM.

-R : (Người dùng SOCKS5)
Nếu proxy SOCKS5 được bật, tùy chọn này có thể làm cho nó chỉ có thể truy cập được đối với những người
đã được ủy quyền. Nó có thể được sử dụng nhiều lần, để tạo toàn bộ danh sách
tài khoản (người dùng được phép: kết hợp vượt qua).

-S (Kích thước ISAScanner)
Bật plugin để xử lý minh bạch máy quét AV ISA đáng sợ,
trả về một trang HTTP tương tác (hiển thị tiến trình quét) thay vì
tệp / dữ liệu bạn đã yêu cầu, mỗi khi quét nội dung. Điều này
hành vi tự phụ phá vỡ mọi trình tải xuống tự động, trình cập nhật và về cơ bản
MỌI ứng dụng dựa vào lượt tải xuống (ví dụ: wget, apt-get).

Thông số max_size_in_kb cho phép bạn chọn kích thước tải xuống tối đa mà bạn muốn
xử lý bởi plugin (xem bên dưới tại sao bạn có thể muốn điều đó). Nếu kích thước tệp là
lớn hơn thế này, cntlm chuyển tiếp cho bạn trang tương tác, vô hiệu hóa một cách hiệu quả
plugin cho bản tải xuống đó. Không có nghĩa là không có giới hạn. Sử dụng -G/Đại lý ISAScanner đến
xác định các ứng dụng max_size_in_kb nên được bỏ qua (buộc
cắm vào). Nó hoạt động bằng cách khớp với tiêu đề Tác nhân người dùng và cần thiết cho ví dụ: wget,
apt-get và yum, sẽ không thành công nếu phản hồi là một số trang HTTP thay vì
Dữ liệu yêu cầu.

Cách hoạt động: khách hàng yêu cầu một tệp, cntlm phát hiện phản ứng nhảm nhí của ISA và
đợi liên kết bí mật đến bộ nhớ cache của ISA, liên kết này đến sớm hơn tệp
được ISA tải xuống và quét. Chỉ khi đó mới có thể cntlm thực hiện yêu cầu thứ hai cho
tệp thực và chuyển tiếp nó cùng với các tiêu đề chính xác đến máy khách. Khách hàng
không hết giờ trong khi chờ đợi nó, b / c cntlm định kỳ gửi thêm
tiêu đề "keepalive", nhưng người dùng có thể lo lắng khi không nhìn thấy thanh tiến trình
di chuyển. Đó là tất nhiên hoàn toàn tâm lý vấn đề, không có sự khác biệt nếu cntlm or
trình duyệt của bạn yêu cầu tệp được quét - bạn phải đợi ISA thực hiện công việc đó và
sau đó tải xuống. Bạn chỉ mong đợi thấy một số động thái của chỉ báo tiến độ, đó là tất cả
những gì trang của ISA thực hiện: nó hiển thị đếm ngược HTML.

Nếu plugin không thể phân tích cú pháp trang tương tác vì lý do nào đó (không xác định
định dạng, v.v.), nó sẽ thoát và trang được chuyển tiếp đến bạn - nó không bao giờ bị "mất".

Tiêu đề keepalive được gọi là ISA-Scanner và hiển thị tiến trình của ISA, ví dụ:

HTTP / 1.1 200 OK
ISA-Scanner: 1000 trên 10000
ISA-Scanner: 2000 trên 10000
hữu ích. Cảm ơn !

-r " : " (Header)
Thay thế tiêu đề. Mọi yêu cầu của khách hàng sẽ được xử lý và mọi tiêu đề
được xác định bằng cách sử dụng -r hoặc trong tệp cấu hình sẽ được thêm vào nó. Trong trường hợp
tiêu đề đã xuất hiện, giá trị của nó sẽ được thay thế.

-s Sắp xếp thứ tự tất cả các yêu cầu bằng cách không sử dụng các chuỗi đồng thời cho proxy (đường hầm vẫn
hoạt động song song). Điều này có tác động khủng khiếp đến hiệu suất và chỉ có sẵn
cho mục đích gỡ lỗi. Khi sử dụng với -v, nó mang lại nhật ký gỡ lỗi tuần tự tốt đẹp,
nơi các yêu cầu thay phiên nhau.

-T
Được sử dụng kết hợp với -v để lưu kết quả gỡ lỗi vào một tệp theo dõi. Nó nên
được đặt làm tham số đầu tiên trên dòng lệnh. Để tránh mất dữ liệu, nó
không bao giờ ghi đè lên một tệp hiện có. Bạn phải chọn một tên duy nhất hoặc theo cách thủ công
xóa tệp cũ.

-U
Khi được thực thi dưới quyền root, hãy thực hiện những thứ cần quyền như vậy (đọc cấu hình, ràng buộc
cổng, v.v.) và sau đó ngay lập tức loại bỏ các đặc quyền và thay đổi thành uid. Tham số này
có thể là số hoặc tên người dùng hệ thống. Nếu bạn sử dụng một số, cả uid và gid của
quy trình sẽ được đặt thành giá trị này; nếu bạn chỉ định tên người dùng, uid và gid sẽ
được đặt theo uid và gid chính của người dùng đó như được định nghĩa trong / etc / passwd. Bạn
nên sử dụng cái sau, có thể sử dụng cntlm tài khoản. Như với bất kỳ
daemon, bạn là mạnh mẽ khuyên nên chạy cntlm dưới một tài khoản không đặc quyền.

-u [@ ] (Tên tài khoản)
Tài khoản proxy / tên người dùng. Miền cũng có thể được nhập.

-v In thông tin gỡ lỗi. Tự động bật (-f).

-w (Máy trạm)
Tên máy trạm NetBIOS. Không sử dụng tên miền đủ điều kiện (FQDN) tại đây. Chỉ cần
phần đầu tiên. Nếu không được chỉ định, cntlm cố gắng lấy tên máy chủ hệ thống và nếu
không thành công, sử dụng "cntlm" - đó là vì một số proxy yêu cầu trường này không trống.

CẤU HÌNH

Tệp cấu hình về cơ bản là tệp INI, ngoại trừ không có "=" giữa các khóa và
các giá trị. Nó bao gồm các cặp từ khóa và giá trị được phân tách bằng khoảng trắng. Ngoài điều đó ra,
cũng có những phần, chúng có cú pháp "[tên_mục]" thông thường. Nhận xét bắt đầu
với dấu thăng "#" hoặc dấu chấm phẩy ";" và có thể ở bất kỳ đâu trong tệp. Mọi thứ sau khi
đánh dấu cho đến khi EOL là một nhận xét. Giá trị có thể chứa bất kỳ ký tự nào, kể cả khoảng trắng.
Bạn có thể sử dụng dấu ngoặc kép xung quanh giá trị để đặt một chuỗi chứa các ký tự đặc biệt
như dấu cách, dấu thăng, v.v. Không cho phép chuỗi thoát trong chuỗi được trích dẫn.

Có hai loại từ khóa, địa phương và toàn cầu. Tùy chọn cục bộ chỉ định xác thực
chi tiết cho mỗi miền (hoặc vị trí). Từ khóa toàn cầu áp dụng cho tất cả các phần và proxy. Họ
nên được đặt trước tất cả các phần, nhưng nó không cần thiết. Đó là: Cho phép, Từ chối,
Cổng, Nghe, SOCKS5Proxy, SOCKS5User, NTLMToBasic, Đường hầm.

Tất cả các từ khóa có sẵn được liệt kê ở đây, mô tả đầy đủ có trong phần TÙY CHỌN:

Cho phép [/ ]
Quy tắc cho phép ACL, xem -A.

Xác thực NTLMv2 | NTLM2SR | NT | NTLM | LM
Chọn bất kỳ sự kết hợp có thể có của các băm NTLM bằng cách sử dụng một tham số duy nhất.

Từ chối [/ ]
Quy tắc từ chối ACL, xem -A.

miền
Tên miền / nhóm làm việc của tài khoản proxy.

Flags
Cờ xác thực NTLM. Nhìn thấy -F để biết thêm chi tiết.

Cổng có | không
Chế độ cổng vào. Trong tệp cấu hình, thứ tự không quan trọng. Chế độ cổng áp dụng
giống nhau đối với tất cả các đường hầm.

Tiêu đề <tên tiêu đề: giá trị>
Thay thế tiêu đề. Nhìn thấy -r để biết chi tiết và hãy nhớ, không có trích dẫn.

Đại lý ISAScanner
Đối sánh chuỗi Tác nhân Người dùng không phân biệt chữ hoa chữ thường (*,?, []) Có bật ký tự đại diện cho
trans-isa-plugin. Nếu bạn không xác định ISAScannerKích thước, nó được đặt bên trong thành
vô cực, tức là vô hiệu hóa plugin cho tất cả các lần tải xuống ngoại trừ những tác nhân phù hợp
những cái. Nhìn thấy -G.

ISAScannerKích thước
Bật plugin quét trans-isa. Nhìn thấy -S để biết thêm.

Thanh [ :]
Số cổng cục bộ cho cntlmdịch vụ proxy của. Nhìn thấy -l để biết thêm.

Mật khẩu
Mật khẩu tài khoản proxy. Như với bất kỳ tùy chọn nào khác, giá trị (mật khẩu) có thể là
được đặt trong dấu ngoặc kép (") trong trường hợp nó chứa các ký tự đặc biệt như dấu cách,
dấu thăng, v.v.

vượt quaNTLMv2, vượt quaNT, ĐạtLM
Hàm băm của mật khẩu tài khoản proxy (xem -H và -a). Khi bạn muốn sử dụng hàm băm
trong cấu hình (thay vì mật khẩu văn bản rõ), mỗi Xác thực cài đặt yêu cầu
các tùy chọn khác nhau:

Cài đặt | Đòi hỏi
------------- + -----------------
Xác thực NTLMv2 | vượt quaNTLMv2
Xác thực NTLM2SR | vượt quaNT
Auth NT | vượt quaNT
Xác thực NTLM | PassNT + PassLM
Xác thực LM | PassLM

Proxy
Proxy chính, yêu cầu xác thực. Giống như proxy trên dòng lệnh,
có thể được sử dụng nhiều lần để chỉ định số lượng proxy tùy ý. Nên một
proxy không thành công, cntlm tự động chuyển sang cái tiếp theo. Yêu cầu kết nối không thành công
chỉ khi toàn bộ danh sách proxy được quét và (cho từng yêu cầu) và được phát hiện là
không hợp lệ. Dòng lệnh được ưu tiên hơn tệp cấu hình.

Không có proxy , , hữu ích. Cảm ơn !
Tránh proxy gốc cho những tên máy chủ này. Tất cả các URL phù hợp sẽ được ủy quyền
trực tiếp by cntlm như một proxy độc lập. Cntlm hỗ trợ xác thực WWW trong việc này
, do đó cho phép bạn truy cập các trang mạng nội bộ cục bộ với NTLM của công ty
xác thực. Hy vọng rằng bạn sẽ không cần MSIE ảo hóa đó nữa. :) Nhìn thấy -N
để biết thêm.

SOCKS5Proxy [ :]
Bật proxy SOCKS5. Nhìn thấy -O để biết thêm.

Người dùng SOCKS5 :
Tạo tài khoản proxy SOCKS5 mới. Nhìn thấy -R để biết thêm.

NTLMToCơ bản có | không
Bật / tắt NTLM-to-basic authenticatoin. Nhìn thấy -B để biết thêm.

Tunnel [ :] : :
Định nghĩa đường hầm. Nhìn thấy -L để biết thêm.

Tên đăng nhập (Username)
Tên tài khoản proxy, không có khả năng bao gồm tên miền (dấu 'at' là
hiểu theo nghĩa đen).

Workstation
Tên máy chủ của máy trạm của bạn.

Sử dụng cntlm trực tuyến bằng các dịch vụ onworks.net