Нещодавно в компанії, інфраструктуру якій мені доводиться підтримувати, почалася міграцій робочих станцій користувачів зі старенької Widows XP SP3 на Windows 7. Був розроблений план міграції, протестована і перевірена робота користувальницьких бізнес додатків в середовищі Windows 7, проте знайшлася одна істотна проблема. Справа в тому, що для доступу в Інтернет в якості проксі сервера застосовується відомий проксі-сервер для Linux Squid. І на сервері Squid налаштована доменна авторизація користувачів, з тією метою, щоб управління доступом в Інтернет здійснювалося шляхом додавання / виключення користувачів в групу Active Directory. Так ось, заковика полягала в проблемі NTLM аутентифікації Windows 7 на проксі-сервері Squid.

Кожні раз при запуску браузера Internet Explorer 8 з’являлося спливаюче вікно з проханням ввести аутентифікаційні дані користувача домену (ім’я та пароль). Однак, незважаючи на те, що запитані дані вводилися і вони були коректними, спливаюче вікно з вимогою авторизуватися з’являлося знову і знову, тобто Інтернет не працював.

Природно, я перевірив, що в настройках IE 8 встановлена ​​опція наскрізний аутентифікації (Tools-> Internet Options-> Advanced-> Security / Enable Integrated Windows Authentication), і дійсно вона стояла, значить справа не в цьому.

Так що ж це могло бути? Побродивши по різним Інтернет форумах, я знайшов опис подібної проблеми: « проблема є автентифікаціявід NTLM з Windows7. Для його вирішення необхідно створити такий реєстр у реєстрі ». Тобто причина цього неподобства в тому, що Microsoft повністю відмовилася від використання LM і NTLM за замовчуванням, все це пов’язано з посиленими вимогами з безпеки в Windows 7/2008 Server R2. Тому й існує проблема з NTLM аутентифікацією на Squid в Windows 7.

Вирішити цю проблему можна двома методами:

1) Створити в реєстрі шляхом

In HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa новий параметр типу DWORD з ім’ям LmCompatibilityLevel, Значення якого потрібно задати рівним 1.

2) Відредагувати групову політику. Для чого потрібно перейти в гілку Local Security Policy -> Security Settings -> Local Policies -> Security Options, знайти там параметр з ім’ям Мережа безпеки: LAN Менеджер автентифікація рівень‘, Встановити його рівним Встановити LM
& NTLM
– Використовуйте NTLMv2 сесії якщо переговори‘(Значення за замовчуванням не визначено’ Not Defined ‘).

Залишилося тільки перезавантажити комп’ютер (для політики достатньо виконати gpupdate / сила) І можна насолоджуватися нормальної аутентификацией з Windows 7 на проксі-сервері Squid.

Leave a Reply

Your email address will not be published. Required fields are marked *