Настройка NTLM-аутентификации

Рекомендуется использовать Kerberos-аутентификацию, так как данный механизм является самым надежным. При NTLM-аутентификации злоумышленники могут получить доступ к паролям пользователей, перехватив сетевой трафик.

После выхода обновления Microsoft ADV190023 LDAP Channel Binding and LDAP Signing NTLM-аутентификация пользователей в Kaspersky Web Traffic Security работать не будет.

Чтобы настроить NTLM-аутентификацию на прокси-сервере, выполните следующие действия:

1. В веб-интерфейсе программы выберите раздел Параметры → Встроенный прокси-сервер → Аутентификация.
2. В поле NTLM перейдите по ссылке Настроить.

   Откроется окно Параметры NTLM-аутентификации.

3. Переведите переключатель в положение Включено.
4. В поле Имя домена введите имя домена, для которого вы хотите настроить аутентификацию.

   Поиск контроллера домена осуществляется по SRV-записям.

   Для успешного поиска контроллера домена на DNS-сервере должны быть созданы SRV-записи для указанного домена. Обычно эти записи создаются автоматически при развертывании Active Directory. Однако при необходимости вы можете добавить их вручную.

   Стандарт в DNS, определяющий местоположение, то есть имя хоста и номер порта серверов для определенных служб.

   Проверить наличие SRV-записей, а также правильность их полей вы можете с помощью следующих команд:

   • Для операционных систем Linux вы можете использовать любую из следующих команд:
     • host -t srv _ldap._tcp.<указанное имя домена>
     • dig _ldap._tcp.<указанное имя домена> srv
     • nslookup -type=srv _ldap._tcp.<указанное имя домена>

     Предварительно требуется настроить в DNS-клиенте использование DNS-сервера, ответственного за указанную DNS-зону.

   • Для операционных систем Windows используйте команду:

     nslookup –type=srv _ldap._tcp.<указанное имя домена>

   Поиск контроллера домена осуществляется по следующему алгоритму:

   1. Программа получает список SRV-записей, найденных по строке _ldap._tcp.<указанное имя домена>.
   2. Все записи группируются по значению поля priority в очередности от более высокого приоритета к более низкому. Внутри каждой группы SRV-записи сортируются по значению поля weight.

      Вы можете изменять поля SRV-записей (Priority и Weight) на DNS-сервере, чтобы задать порядок подключения к контроллерам домена.

   3. Программа пытается установить соединение последовательно с каждым сервером из списка до первого успешного подключения.

   4. Если не удалось установить соединение ни с одним сервером из списка, алгоритм выполняется повторно.
5. Если вы хотите проверить соединение с контроллером домена по заданным параметрам, нажмите на кнопку Проверить соединение.

   Результат проверки отобразится справа от кнопки.

6. Нажмите на кнопку Сохранить.

   Прокси-сервер будет перезагружен. До завершения перезагрузки обработка трафика будет приостановлена.

NTLM-аутентификация будет настроена. Прокси-сервер будет обрабатывать запросы только от тех пользователей, которые пройдут процедуру аутентификации.