配置 NTLM 身份验证

推荐使用 Kerberos 身份验证，因为它是最可靠的机制。NTLM 身份验证允许黑客通过拦截网络流量来访问用户密码。

Microsoft 更新发布后（请参见ADV190023 LDAP Channel Binding 和 LDAP Signing了解详情），在 Kaspersky Web Traffic Security 中进行 NTLM 用户身份验证将不再有效。

要在代理服务器上配置 NTLM 身份验证：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → 身份验证 区域。
2. 在 NTLM 字段，单击 设置 链接。

   NTLM 身份验证设置 窗口将打开。

3. 设置切换开关到 已启用。
4. 在 域名 字段中，输入想要为其配置身份验证的域的名称。

   SRV 记录 用于搜索域控制器。

   要在 DNS 服务器上成功搜索域控制器，必须为指定域创建 SRV 记录。这些记录通常会在部署 Active Directory 时自动创建。不过，您可以在必要时手动添加它们。

   确定位置的 DNS 标准，即用于具体服务的服务器主机名称和端口号。

   您可以使用以下命令检查 SRV 记录是否可用和验证其字段：

   • 对于 Linux 操作系统，您可以使用以下任何命令：
     • host -t srv _ldap._tcp.<指定域名>
     • dig _ldap._tcp.<指定域名> srv
     • nslookup -type=srv _ldap._tcp.<指定域名>

     您必须先配置 DNS 客户端才能使用负责指定 DNS 区域的 DNS 服务器。

   • 对于 Windows 操作系统，请使用以下命令：

     nslookup –type=srv _ldap._tcp.<指定域名>

   根据以下程序进行域控制器搜索：

   1. 应用程序接收为 _ldap._tcp.<指定域名> 字符串找到的 SRV 记录列表。
   2. 所有记录根据 优先权 字段的值从高到低进行分组。在每个群组内，SRV 记录按照 权重 字段的值进行排序。

      您可以更改 DNS 服务器上的 SRV 记录字段（优先权和权重）来定义连接域控制器的顺序。

   3. 应用程序尝试与列表中的每个服务器相继建立连接，直到第一个成功连接。

   4. 如果无法用列表中的任何服务器建立连接，这个过程将重新开始。
5. 如果您想要基于定义的设置测试域控制器连接，请单击 测试连接 按钮。

   测试结果显示在按钮的右侧。

6. 单击 保存。

   代理服务器将被重启。重启完成前流量处理将被暂停。

将配置 NTLM 身份验证。代理服务器仅处理来自完成了身份验证流程的用户的请求。

页面顶端