Configuration de l'authentification NTLM

Il est recommandé d'utiliser l'authentification Kerberos car ce mécanisme est le plus sûr. En cas d'authentification NTLM, les individus malintentionnés peuvent obtenir l'accès aux mots de passe des utilisateurs, en interceptant le trafic réseau.

Après la publication de la mise à jour de Microsoft (pour plus de détails, consultez les instructions ADV190023 concernant la liaison de canaux LDAP et la signature LDAP), l'authentification NTLM des utilisateurs dans Kaspersky Web Traffic Security ne fonctionnera pas.

Pour configurer les paramètres de l'authentification NTLM sur le serveur proxy, procédez comme suit :

1. Dans la fenêtre de l'interface Internet de l'application, sélectionnez la section Paramètres → Serveur proxy intégré → Authentification.
2. Dans le champ NTLM cliquez sur le lien Configurer.

   La fenêtre Paramètres de l'authentification NTLM s'ouvre.

3. Faites glisser le commutateur en position Activé.
4. Dans le champ Nom du domaine, saisissez le nom du domaine pour lequel vous souhaitez configurer l'authentification.

   Le contrôleur de domaine est recherché via des entrées SRV.

   Afin de trouver le bon contrôleur de domaine sur le serveur DNS, les entrées SRV doivent être créées pour le domaine spécifié. En général, ces entrées sont créées automatiquement lorsque vous déployez Active Directory. Toutefois, vous pouvez les ajouter manuellement si nécessaire.

   Une norme DNS qui définit l'emplacement, c'est-à-dire le nom d'hôte et le numéro de port des serveurs pour des services spécifiques.

   Vous pouvez vérifier que les entrées SRV sont présentes et que leurs champs sont correctement remplis à l'aide des commandes suivantes :

   • Pour les systèmes d'exploitation Linux, vous pouvez utiliser l'une des commandes suivantes :
     • host -t srv _ldap._tcp.<nom de domaine spécifié>
     • dig _ldap._tcp.<nom de domaine spécifié> srv
     • nslookup -type=srv _ldap._tcp.<nom de domaine spécifié>

     Vous devez configurer le client DNS au préalable pour utiliser le serveur DNS responsable de la zone DNS spécifiée.

   • Pour les systèmes d'exploitation Windows, utilisez la commande suivante :

     nslookup –type=srv _ldap._tcp.<nom de domaine spécifié>

   Le contrôleur de domaine est recherché via l'algorithme suivant :

   1. L'application obtient une liste des entrées SRV trouvées sur la ligne _ldap._tcp.<nom de domaine spécifié>.
   2. Toutes les entrées sont regroupées en fonction de la valeur du champ priority de la priorité la plus élevée à la priorité la plus faible. Dans chaque groupe, les entrées SRV sont triées selon la valeur du champ weight.

      Vous pouvez modifier les champs des entrées SRV (Priority et Weight) sur le serveur DNS pour spécifier l'ordre de connexion aux contrôleurs de domaine.

   3. L'application essaie d'établir une connexion séquentielle avec chaque serveur de la liste avant que la première connexion ne soit réussie.

   4. Si la connexion à l'un des serveurs de la liste n'a pu être établie, l'algorithme est exécuté à nouveau.
5. Si vous souhaitez analyser la connexion au contrôleur de domaine en utilisant les paramètres spécifiés, cliquez sur le bouton Vérifier la connexion.

   Le résultat de l'analyse est affiché à droite du bouton.

6. Cliquez sur le bouton Enregistrer.

   Le serveur proxy sera redémarré. Le traitement du trafic sera suspendu avant que le redémarrage ne soit terminé.

L'authentification NTLM sera configurée. Le serveur proxy ne traitera que les demandes des utilisateurs ayant été authentifiés.