NTLM-Authentifizierung konfigurieren

Es wird empfohlen, die Kerberos-Authentifizierung zu verwenden, da diese Authentifizierungsmethode am zuverlässigsten ist. Bei der NTLM-Authentifizierung können Angreifer den Zugriff auf Benutzerkennwörter erhalten, indem sie den Netzwerkverkehr abfangen.

Nach der Veröffentlichung des Microsoft-Updates (Näheres s. ADV190023 LDAP Channel Binding and LDAP Signing) kann die NTLM-Authentifizierung von Benutzern in Kaspersky Web Traffic Security nicht mehr verwendet werden.

Gehen Sie wie folgt vor, um die NTLM-Authentifizierung auf dem Proxyserver zu konfigurieren:

1. Wählen Sie in der Webschnittstelle des Programms den Abschnitt Einstellungen → Integrierter Proxyserver → Authentifizierung aus.
2. Klicken Sie im Feld NTLM auf den Link Anpassen.

   Das Fenster Einstellungen der NTLM-Authentifizierung wird geöffnet.

3. Setzen Sie den Schalter auf Aktiviert.
4. Geben Sie im Feld Domänenname den Namen der Domäne ein, für die Sie die Authentifizierung anpassen möchten.

   Die Suche des Domänencontrollers erfolgt anhand von SRV-Records.

   Für eine erfolgreiche Suche des Domänencontrollers müssen auf dem DNS-Server SRV-Records für die angegebene Domäne erstellt werden. In der Regel werden diese Records automatisch während der Bereitstellung des Active Directory erstellt. Bei Bedarf können sie jedoch auch manuell hinzugefügt werden.

   Standard im DNS, der den Standort bestimmt (d. h. den Hostnamen und die Portnummer der Server für bestimmte Dienste).

   Mithilfe der folgenden Befehle prüfen Sie, ob SRV-Records vorhanden sind und ob deren Felder korrekt sind:

   • Für Linux-Betriebssysteme können Sie einen der folgenden Befehle verwenden:
     • host -t srv _ldap._tcp.<angegebener Domänenname>
     • dig _ldap._tcp.<angegebener Domänenname> srv
     • nslookup -type=srv _ldap._tcp.<angegebener Domänenname>

     Zuvor muss im DNS-Client die Verwendung des DNS-Servers eingerichtet werden, der für die festgelegte DNS-Zone zuständig ist.

   • Verwenden Sie für Windows-Betriebssysteme den folgenden Befehl:

     nslookup –type=srv _ldap._tcp.<angegebener Domänenname>

   Die Suche nach dem Domänencontroller erfolgt anhand des folgenden Algorithmus:

   1. Das Programm erhält eine Liste mit SRV-Records, die anhand der Zeile _ldap._tcp.<angegebener Domänenname> zusammengestellt werden.
   2. Alle Records werden anhand des Wertes im Feld priority in absteigender Reihenfolge ihrer Priorität gruppiert. Innerhalb jeder Gruppe werden die SRV-Records anhand des Wertes im Feld weight sortiert.

      Sie können die Felder der SRV-Records (Priority und Weight) auf dem DNS-Server bearbeiten, um eine Reihenfolge für den Aufbau von Verbindungen mit Domänencontrollern festzulegen.

   3. Das Programm versucht, mit jedem Server in der Liste der Reihe nach eine Verbindung herzustellen, bis es erfolgreich die erste Verbindung aufgebaut hat.

   4. Wenn zu keinem der Server in der Liste eine Verbindung hergestellt werden konnte, wird der Algorithmus erneut ausgeführt.
5. Um die Verbindung zum Domänencontroller mit den festgelegten Einstellungen zu überprüfen, klicken Sie auf Verbindung prüfen.

   Das Ergebnis der Überprüfung wird rechts neben der Schaltfläche angezeigt.

6. Klicken Sie auf Speichern.

   Der Proxyserver wird neu gestartet. Die Verarbeitung des Datenverkehrs wird bis zum Abschluss des Neustarts angehalten.

Die NTLM-Authentifizierung wird konfiguriert. Der Proxyserver verarbeitet nur Anfragen von Benutzern, die den Authentifizierungsvorgang erfolgreich beendet haben.