NTLM Authentifizierung

Dustmaster01

Hi Leute,

in unserem Fimennetzwerk (Windows) habe ich einen gültigen AD-Account in einer Dömane. Wenn ich mich mit diesem Account anmelde komme ich ohne Probleme ins Netz. Melde ich mich aber lokal auf einem Rechner an, dann fordert mich der Proxyserver auf, User und PW anzugeben (ist auch logisch, da ja nicht an Domöne angmeldet). Ich hab mich mal ein wenig schlau gemacht und meine nun auch zu verstehen, wie das NTLM-Authentifizierung und das Protokoll funktioniert. Meine Frage ist nun, wo der Browser sich die Infos über den aktuell (auf dem Rechner) angemeldeten User, das PW und die Dömane, an der dieser User angemeldet ist, her holt (Registry???) und, ob man dem Firefox diese Daten auch selbst vorgeben kann??? Ich hoffe man versteht, was mein Problem ist? Vielen Dank schon mal!

Dustmaster01

*schieb*

AngelOfDarkness

Unter ...

Extras :arrow: Einstellungen :arrow: Erweitert :arrow: Netzwerk :arrow: Verbindungen

... kannst du die Proxy Einstellungen vornehmen und auch sagen wo sich die Datei für die
automatische Proxy Konfiguration befindet.

http://de.wikipedia.org/wiki/Proxy_(Re…tion_im_Browser

http://linuxwiki.de/Squid

...:AOD:...

Dustmaster01

Schon klar, das ist aber nicht das, was ich wissen wollte. Trotzdem danke!

AngelOfDarkness

Du wolltest wissen, ob man dem Firefox die Proxydaten vorgeben kann.
Und wie dies geht, habe ich dir geschrieben ...

...:AOD:...

Dustmaster01

Nein, ich wollte wissen, wie man Firefox die Daten für die NTLM-Authentifizierung vorgibt bzw. woher er sich diese Daten holt!

Zitat

Meine Frage ist nun, wo der Browser sich die Infos über den aktuell (auf dem Rechner) angemeldeten User, das PW und die Dömane, an der dieser User angemeldet ist, her holt (Registry???) und, ob man dem Firefox diese Daten auch selbst vorgeben kann???

gammaburst

Die Daten werden über Tokens des GSS-API caller für die NTLM-Authentifizierung geholt.

http://tools.ietf.org/html/rfc2078

Zitat

1: GSS-API Characteristics and Concepts
GSS-API operates in the following paradigm. A typical GSS-API caller
is itself a communications protocol, calling on GSS-API in order to
protect its communications with authentication, integrity, and/or
confidentiality security services. A GSS-API caller accepts tokens
provided to it by its local GSS-API implementation and transfers the
tokens to a peer on a remote system; that peer passes the received
tokens to its local GSS-API implementation for processing. The
security services available through GSS-API in this fashion are
implementable (and have been implemented) over a range of underlying
mechanisms based on secret-key and public-key cryptographic
technologies.

Alles anzeigen

http://de.wikipedia.org/wiki/GSSAPI

Zitat

Januar 1997: GSSAPI Version 2 (RFC 2078)

http://curl.haxx.se/rfc/draft-brezak-spnego-http-04.txt

Zitat

The client will decode the gssapi-data and supply it to
gss_init_security_context using the context for this server. If the
status is successful from the final gss_init_security_context, the
response can be used by the application.

https://bugzilla.mozilla.org/attachment.cgi?id=154669

Zitat

// The nsNegotiateAuth class provides responses for the GSS-API Negotiate method
// as specified by Microsoft in draft-brezak-spnego-http-04.txt

+// It can also be configured to talk raw NTLM. This implementation of NTLM has
+// the advantage of being able to access the user's logon credentials.

(Hervorhebung durch mich)
siehe
http://curl.haxx.se/rfc/draft-brezak-spnego-http-04.txt

https://bugzilla.mozilla.org/show_bug.cgi?id=231529

Zitat

Bug 231529 – Optionally enable unprompted NTLM authentication
Summary:Optionally enable unprompted NTLM authentication Alias:
Status: RESOLVED FIXED
Severity: enhancement
Keywords: fixed-aviary1.0, fixed1.7.5
Whiteboard: [patch]
URL:

Product: Core
Component: Networking: HTTP
Version: Trunk
Hardware: All
OS: All

Assigned To: Darin Fisher
QA Contact: networking.http@core.bugs
Priority: --
Target Milestone: mozilla1.8beta1

Alles anzeigen

http://www.testingreflections.com/node/view/1365…e70ef96e6a80304

Zitat

NTLM-Authentifizierung mit Firefox
Submitted by Anonymous on Sun, 16/10/2005 - 09:51.
TrackBack from JerryWho's Weblog:
In Intranet-Umgebung kann die NTLM-Authentifizierung des Internet Explorers einiges an Komfort bringen. Sie ermöglicht es, dass der Benutzer sich automatisch mit seiner Windows-Domänenanmeldung auch beim Webserver authentifiziert. Die Webanwendung kann also gleich personifizierte Seiten ausliefern.Als Firefox-Benutzer hatte ich bis jetzt diesen Komfort nicht. Ich musste mich jedesmal neu anmelden -- bis jetzt. Auf der folgenden Seite fand ich die Lösung.Man ruft per about:config das Konfigurationsmenü des Firefox auf und sucht den Eintrag network.automatic-ntlm-auth.trusted-uris. Dort trägt man dann eine Komma separierte Liste der Domains ein, an die automatisch die Anmeldedaten geschickt werden sollen.

Beispiel:
NTLM Benutzerauthentifizierung mit dem Astaro Sicherheitssystem
http://download.astaro.de/ASL/v6.0/manua…erManual-DE.pdf
Zitat:

Zitat

5.1.8. User Authentication
Benutzerauthentifizierung (User Authentication) ist auf diesem
Internet-Sicherheitssystem mit den Proxydiensten HTTP, SMTP und
SOCKSv5 möglich. Es kann festgelegt werden, welcher Benutzer diese
Proxydienste in Anspruch nehmen darf. Die Benutzer-Accounts kön-
nen lokal auf dem System im Menü Definitions/Users angelegt
werden. Es können aber auch externe Benutzer-Datenbanken abge-
fragt werden. Unterstützt werden die Authentifizierungsmethoden
RADIUS, SAM (Windows NT/Windows 2000/XP-Server), Microsoft
Active Directory, die Domain-Anbindungs-Methode von NTML und
OpenLDAP. Dies kann von Vorteil sein, wenn bereits eine Benutzer-
datenbank auf einem solchen Server vorhanden ist, und die Benutzer
somit nicht noch einmal auf dem Internet-Sicherheitssystem einge-
tragen werden müssen.
Wichtiger Hinweis:
Bitte beachten Sie, dass verschiedene Authentifizierungsmethoden
nicht zur selben Zeit unterstützt werden können.
In MS-Windows-basierten Netzwerken verwaltet der Domain Con-
troller (DC) für eine Client-Gruppe den Zugang auf die zur Verfügung
stehenden Ressourcen (z. B. Applikationen, Drucker, etc.) Der Be-
nutzer muss sich nur in der Domain anmelden um den Zugang zu
diesen Ressourcen zu erhalten. Die aktuellen Betriebssysteme eines
Domain Controllers sind Microsoft Windows 2000 Server und
2003 Server und enthalten den Microsoft-eigenen Verzeichnisdienst
Active Directory (AD).
Ein Verzeichnisdienst stellt in einem Netzwerk zentralisiert Informa-
tionen zu Geräten (Devices), Diensten (Services) und den zugriffsbe-
rechtigten Benutzern (authorized Users) zur Verfügung. Für die Win-
dows-Nutzer verteilt der Verzeichnisdienst Account-Informationen,
Rechte, Profile und die Policy. Bei Verwendung einer Authentifizie-
rungsmethode mit Active Directory erfolgt bei entsprechender Konfi-
guration die Authentifizierung, z. B. vor dem Zugriff auf einen Dienst
(Service) nicht mehr über das Sicherheitssystem, sondern über den
Active-Directory-Server.
Die Authentifizierung des Clients bei Anfragen an einen Proxydienst
muss durch Benutzernamen und Passwort erfolgen. Auf diese Weise
wird die Authentifizierung personenbezogen (User) und nicht IP-
bezogen durchgeführt. Dies ermöglicht ein personenbezogenes Ac-
counting im HTTP-Proxy Zugangsprotokoll.

Alles anzeigen

Gruß gammaburst

AngelOfDarkness

geht des nicht auch über ein Script (Squid) ?

...:AOD:...

gammaburst

Zitat von AngelOfDarkness

geht des nicht auch über ein Script (Squid) ?
...:AOD:...

JavaScripte finden sich auch eingebettet im Code zum Patch für
Bugzilla-Eintrag https://bugzilla.mozilla.org/attachment.cgi?id=154669
Hier wird zum Beispiel Network-Prefetching für einen IP-Adressbereich zugelassen.

Diff

Index: modules/libpref/src/init/all.js
===================================================================
RCS file: /cvsroot/mozilla/modules/libpref/src/init/all.js,v
retrieving revision 3.532
diff -p -u -1 -0 -r3.532 all.js
--- modules/libpref/src/init/all.js	9 Jul 2004 22:02:10 -0000	3.532
+++ modules/libpref/src/init/all.js	29 Jul 2004 17:41:32 -0000
@@ -573,20 +573,28 @@ pref("network.prefetch-next", true);
 // the format:
 //   [scheme "://"] [host [":" port]]
 // For example, "foo.com" would match "http://www.foo.com/bar", etc.
 
 // This list controls which URIs can use the negotiate-auth protocol.  This
 // list should be limited to the servers you know you'll need to login to.
 pref("network.negotiate-auth.trusted-uris", "");
 // This list controls which URIs can support delegation.
 pref("network.negotiate-auth.delegation-uris", "");
 
+// The following prefs are used to enable automatic use of the operating
+// system's NTLM implementation to silently authenticate the user with their
+// Window's domain logon.  By default, this is enabled for proxy servers.
+// The trusted-uris pref follows the format of the trusted-uris pref for
+// negotiate authentication.
+pref("network.automatic-ntlm-auth.allow-proxies", true);
+pref("network.automatic-ntlm-auth.trusted-uris", "");
+
 
 // sspitzer:  change this back to "news" when we get to beta.
 // for now, set this to news.mozilla.org because you can only
 // post to the server specified by this pref.
 pref("network.hosts.nntp_server",           "news.mozilla.org");
 
 pref("network.image.imageBehavior",         0); // 0-Accept, 1-dontAcceptForeign, 2-dontUse
 pref("network.image.warnAboutImages",       false);
 pref("network.proxy.autoconfig_url",        "");
 pref("network.proxy.type",                  0);

Alles anzeigen

Gruß gammaburst

Dustmaster01

Vielen Dank! Ich werd mir das alles mal "reinziehen" und wenn möglich auch testen. Ich melde mich dann nochmal! Bye!