Hallo zusammen,
ich versuche (leider immer noch) den Iceweasel mit unserem Proxy und SSO zu verwenden.
Das "komplette System" (also Winbind, PAM, Samba, ...) authentifiziert sich per Kerberos an einem Windows Server und es funktioniert gut.
Einzig der Squid-Proxy (auf einer virtuellen Maschine) will die Kerberos Authentifizierung nicht akzeptieren. Einige Monate später ist mir klar geworden, das der Squid (den ich aus anderen Gründen nicht neu konfigurieren sollte) bei den Windowsmaschinen nur NTLM statt Kerberos verwendet. ... Gut, Finger weg vom Proxy, dann eben auf den Clients NTLM probieren.
Leider klappt Firefox mit den verschiedenen NTLM-Einstellungen bei mir aber auch nicht (zumindest nicht out-of-the-box). Versucht habe ich:
network.authmatic-ntlm-auth.trusted-uris = proxy, proxy.mein.netz, .netz
network.automatic-ntlm-auth.allow-non-fqdn = true.
Hat jemand NTLM erfolgreich mit Firefox im Einsatz und kann mir die Konfiguration zukommen lassen?
Da ich auf dem Jessie-System nur die nötigsten Pakete installiert habe kann es auch sein, das mir evtl. noch ein Debian Paket fehlt (war bei Kerberos auch so).
Auch wenn alle Firefox-recommends installiert sind:
Brauche ich noch irgendwelche NTLM-libs (die evtl. auch im "Standardsystem" schon enthalten sind?
NTLMaps und cntlm kenne ich nicht, aber wenn ich es richtig verstanden habe trägt man hier auch feste Zugangsdaten ein, ich möchte aber einen User-bezogenen Proxyzugriff.
Achja: Ich verwende Debian Jessie mit Iceweasel 38.6.1esr-1~deb8u1.
Christian
Firefox mit NTLM (für Squid-Proxy)
-
cosinus
- Beiträge: 3422
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Firefox mit NTLM (für Squid-Proxy)
moin
wir haben hier auch so nen Webserver, hab den Firefox mal umkonfiguriert:
So klappt das Autologin bei mir in einer W7-VM.
wir haben hier auch so nen Webserver, hab den Firefox mal umkonfiguriert:
Code: Alles auswählen
network.automatic-ntlm-auth.trusted-uris=http://.deinedomain.irgendwas
network.automatic-ntlm-auth.allow-non-fqdn=True
network.negotiate-auth.allow-non-fqdn=True
network.negotiate-auth.trusted-uris=deinedomain.irgendwasRe: Firefox mit NTLM (für Squid-Proxy)
Danke für den Tipp, leider hat das bei mir nicht geklappt.
Bei Kerberos melde ich mich am Server mit libpam-krb5 an und bekomme mein TGT um Tickets für weitere Dienste anzufordern.
Wie ist das eigentlich bei NTLM? Woher bekomme ich die NTLM-Authentifizierung?
Ich frage deshalb, weil ich bei Kerberos mit Wireshark sehe, das Firefox die Credentials (im zweiten Anlauf) an den Proxy schickt und der Proxy aber mit "Authorization required" antwortet.
Bei NTLM dagegen fordert Firefox die Webseite einmal ohne Credentials an, der Proxy antwortet mit "Authorization required", aber Firefox schweigt unter Debian dazu, hat also scheinbar gar keine Credentials.
Unter Windows geht die Kommunikation dagegen weiter, Firefox sendet die gewünschten Daten im http-Header und bekommt dafür die gewünschte Webseite.
Woher weiß NTLM bei Debian, das ich der bin, der ich behaupte zu sein?
Brauche ich da eine Art "NTLM-Anmeldung"?
Viele Grüße
Christian
Bei Kerberos melde ich mich am Server mit libpam-krb5 an und bekomme mein TGT um Tickets für weitere Dienste anzufordern.
Wie ist das eigentlich bei NTLM? Woher bekomme ich die NTLM-Authentifizierung?
Ich frage deshalb, weil ich bei Kerberos mit Wireshark sehe, das Firefox die Credentials (im zweiten Anlauf) an den Proxy schickt und der Proxy aber mit "Authorization required" antwortet.
Bei NTLM dagegen fordert Firefox die Webseite einmal ohne Credentials an, der Proxy antwortet mit "Authorization required", aber Firefox schweigt unter Debian dazu, hat also scheinbar gar keine Credentials.
Unter Windows geht die Kommunikation dagegen weiter, Firefox sendet die gewünschten Daten im http-Header und bekommt dafür die gewünschte Webseite.
Woher weiß NTLM bei Debian, das ich der bin, der ich behaupte zu sein?
Brauche ich da eine Art "NTLM-Anmeldung"?
Viele Grüße
Christian
-
cosinus
- Beiträge: 3422
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Firefox mit NTLM (für Squid-Proxy)
NTLM ist doch wieder so ein Microsoft Gedöns, ich weiß nicht wie gut/zuverlässig das unter Linux läuft. Mit dem Firefox unter Windows haut das aber schon mal prinzipiell hin.
Brauchst du vllt das Paket libntlm0 ?
Brauchst du vllt das Paket libntlm0 ?
Code: Alles auswählen
$ apt-cache show libntlm0
Package: libntlm0
Source: libntlm
Version: 1.4-3
Installed-Size: 42
Maintainer: Debian XMPP Maintainers <pkg-xmpp-devel@lists.alioth.debian.org>
Architecture: amd64
Depends: libc6 (>= 2.14)
Pre-Depends: multiarch-support
Description-de: NTLM-Authentifizierungsbibliothek
Das Authentifizierungsprotokoll NTLM wird in verschiedenen Microsoft-
Implementierungen von Netzwerkprotokollen verwendet und durch den NTLM
Security Support Provider (»NTLMSSP«) unterstützt. Ursprünglich für die
Authentifizierung und die Aushandlung von sicherem DCE/RPC verwendet, wird
NTLM auch in allen Microsoft-Systemen als integrierter Single-Sign-On-
Mechanismus verwendet.
.
NTLM verwendeten einen Challenge-Response-Mechanismus für die
Authentifizierung, bei der Clients ihre Identität beweisen können, ohne ein
Passwort an den Server zu senden. Er besteht aus drei Meldungen, die
allgemein als Typ 1 (Verhandlung), Typ 2 (Aufforderung/»challenge«) und Typ 3
(Authentifizierung) bezeichnet.
Description-md5: 5ca436a27af5b826b05597158eb164e9
Multi-Arch: same
Homepage: http://www.nongnu.org/libntlm/
Tag: implemented-in::c, role::shared-lib, security::authentication
Section: libs
Priority: optional
Filename: pool/main/libn/libntlm/libntlm0_1.4-3_amd64.deb
Size: 20750
MD5sum: 6ad710f6c9cad56266f895cb347a22a3
SHA1: 9e6d56d7e73d352a423f8f53f26f1532be5bd889
SHA256: ce1bb342248979d4921dbdc1365128bde4cb43e27ac6902f48eb7886b66f4437Re: Firefox mit NTLM (für Squid-Proxy)
Ja, das gefällt mir auch nicht so sehr.
Aber Kerberos-Probleme im produktiv laufenden Proxy suchen und "mal eben" die Konfiguration ändern kann gewaltig in die Hose gehen.
Auf der anderen Seite: jetzt die ansonsten gut funktionierenden Kerberos-Config auf den Linux-Clients gegen schwächeren MS-Murks zu tauschen gefällt mir auch nicht. Vor allem weil ich auch noch keine Erfahrung damit habe und nicht gleich die ganze Authentifizierung über Bord werfen möchte.
Ich hatte gehofft, das mir jemand eine fertige NTLN-Konfiguration geben könnte, oder so etwas wie einen lokalen Kerberos2NTLM-Proxy-Authentifizierungs-Konverter :träum: Auf der anderen Seite kann das ja auch wieder nur eine Notlösung sein.
Bin nicht sicher, was der bessere Weg ist.
Danke für den Hinweis auf libntlm0. Ich habe es mir installiert und es funktioniert (noch?) nicht. Man-pages und /usr/share/doc/ntlm* geben nichts (oder nicht viel) her, werde mal schauen ob und wie man das einbauen muss /kann.
Aber Kerberos-Probleme im produktiv laufenden Proxy suchen und "mal eben" die Konfiguration ändern kann gewaltig in die Hose gehen.
Auf der anderen Seite: jetzt die ansonsten gut funktionierenden Kerberos-Config auf den Linux-Clients gegen schwächeren MS-Murks zu tauschen gefällt mir auch nicht. Vor allem weil ich auch noch keine Erfahrung damit habe und nicht gleich die ganze Authentifizierung über Bord werfen möchte.
Ich hatte gehofft, das mir jemand eine fertige NTLN-Konfiguration geben könnte, oder so etwas wie einen lokalen Kerberos2NTLM-Proxy-Authentifizierungs-Konverter :träum: Auf der anderen Seite kann das ja auch wieder nur eine Notlösung sein.
Bin nicht sicher, was der bessere Weg ist.
Danke für den Hinweis auf libntlm0. Ich habe es mir installiert und es funktioniert (noch?) nicht. Man-pages und /usr/share/doc/ntlm* geben nichts (oder nicht viel) her, werde mal schauen ob und wie man das einbauen muss /kann.