配置 NTLM 身分驗證

建議使用 Kerberos 身分驗證，因為它是最可靠的機制。NTLM 身分驗證允許駭客透過攔截網路流量來存取使用者密碼。

Microsoft 更新發佈後（請參見ADV190023 LDAP Channel Binding 和 LDAP Signing 了解詳情），在 Kaspersky Web Traffic Security 中進行 NTLM 使用者身分驗證將不再有效。

要在代理伺服器上配置 NTLM 身分驗證：

1. 在應用程式網頁介面中，選擇設定 → 內建代理伺服器 → 身分驗證區域。
2. 在NTLM欄位，點擊設定連結。

   NTLM 身分驗證設定視窗將開啟。

3. 設定轉換開關到已啟用。
4. 在網域名稱欄位中，輸入想要為其配置身分驗證的網域的名稱。

   SRV 記錄用於搜尋網域控制器。

   要在 DNS 伺服器上成功搜尋網域控制器，必須為指定網域建立 SRV 記錄。這些記錄通常會在部署 Active Directory 時自動建立。不過，您可以在必要時手動新增它們。

   確定位置的 DNS 標準，即用於特定服務的伺服器主機名稱和連接埠號碼。

   您可以使用以下指令檢查 SRV 記錄是否可用和驗證其欄位：

   • 對於 Linux 作業系統，您可以使用以下任何指令：
     • host -t srv _ldap._tcp.<指定網域名稱>
     • dig _ldap._tcp.<指定網域名稱> srv
     • nslookup -type=srv _ldap._tcp.<指定網域名稱>

     您必須先配置 DNS 用戶端才能使用負責指定 DNS 區域的 DNS 伺服器。

   • 對於 Windows 作業系統，請使用以下何指令：

     nslookup –type=srv _ldap._tcp.<指定網域名稱>

   根據以下程式進行網域控制器搜尋：

   1. 應用程式接收為 _ldap._tcp.<指定網域名稱> 字串找到找到的 SRV 記錄清單。
   2. 所有記錄根據優先順序欄位的值從高到低進行分組。在每個群組內，SRV 記錄安裝權重欄位的值進行排序。

      您可以變更 DNS 伺服器上的 SRV 記錄欄位（優先順序和權重）来定義連線網域控制器的顺序。

   3. 應用程式嘗試與清單中的每一個伺服器相繼建立連線，直到第一個成功連線。

   4. 如果無法用清單中的任何伺服器建立連線，這個過程將重新開始。
5. 如果您想要基於定義的設定測試網域控制器連線，請點擊測試連線按鈕。

   測試結果顯示在按鈕的右側。

6. 點擊儲存。

   代理伺服器將被重新啟動。重新啟動完成前流量處理將被暫停。

將配置 NTLM 身分驗證。代理伺服器僅處理來自完成了身分驗證流程的使用者的請求。

頁面頂端