25.2  Automatické ověřování uživatelů pomocí NTLM

WinRoute podporuje automatické ověřování uživatelů z WWW prohlížečů metodou NTLM. Je-li uživatel přihlášen do domény, nemusí pro ověření na firewallu zadávat znovu své uživatelské jméno a heslo.

Tato kapitola podrobně popisuje podmínky, které musí být splněny, a konfigurační kroky, které je nutné provést, aby NTLM ověřování z klientských počítačů fungovalo správně.

Obecné podmínky

Ověřování pomocí NTLM funguje správně pouze za dodržení následujících podmínek:

  1. WinRoute Firewall Engine musí být spouštěn jako služba nebo musí být spouštěn pod účtem uživatele, který má administrátorská práva k počítači, na kterém je WinRoute nainstalován.

  2. Server (tj. počítač s WinRoute) musí být členem příslušné domény Windows NT nebo Active Directory (Windows 2000/2003/2008).

  3. Klientský počítač musí být rovněž členem této domény.

  4. Uživatel na klientském počítači se musí přihlašovat do této domény (tzn. nelze použít lokální uživatelský účet).

  5. Příslušný uživatelský účet ve WinRoute musí mít nastaveno ověřování NT doména / Kerberos 5 (viz kapitola 15.1  Zobrazení a definice uživatelských účtů). NTLM nelze použít pro ověřování uživatelů v interní databázi WinRoute.

Konfigurace WinRoute

V sekci Uživatelé → Volby pro ověřování musí být povoleno automatické ověřování uživatelů z WWW prohlížečů. Zároveň by mělo být vyžadováno ověřování uživatelů při přístupu na WWW stránky (jinak NTLM ověřování z prohlížečů postrádá smysl).

NTLM — nastavení ověřování uživatelů

Obrázek 25.1. NTLM — nastavení ověřování uživatelů


Dále musí být povoleno ověřování uživatelů v příslušné NT doméně:

  • Pro lokální uživatelské účty (včetně účtů importovaných ručně nebo automaticky z domény) — v dolní části záložky Volby pro ověřování musí být zapnuto NT ověřování a nastavena odpovídající NT doména (např. FIRMA).

    Nastavení NT ověřování pro lokální uživatelské účty

    Obrázek 25.2. Nastavení NT ověřování pro lokální uživatelské účty


  • Pro mapovanou Active Directory doménu — v konfiguraci příslušné domény musí být v záložce Active Directory nastavena odpovídající NT doména (podrobnosti viz kapitola 15.4  Uživatelské účty v Active Directory — mapování domén).

    Nastavení NTLM ověřování pro mapovanou Active Directory doménu

    Obrázek 25.3. Nastavení NTLM ověřování pro mapovanou Active Directory doménu


V konfiguraci WWW rozhraní WinRoute musí být nastaveno platné DNS jméno serveru, na němž WinRoute běží (podrobnosti viz kapitola 11.1  Volby pro WWW rozhraní).

Nastavení parametrů WWW rozhraní WinRoute

Obrázek 25.4. Nastavení parametrů WWW rozhraní WinRoute


WWW prohlížeče

Pro správnou funkci NTLM ověřování je třeba použít WWW prohlížeč, který tuto metodu ověřování podporuje. V současné době lze použít tyto prohlížeče:

  • Internet Explorer verze 5.01 a vyšší

  • Firefox nebo SeaMonkey s jádrem Mozilla 1.3 nebo novějším

Průběh NTLM ověření

Z pohledu uživatele probíhá NTLM ověření na firewallu odlišně podle typu použitého WWW prohlížeče.

Internet Explorer

NTLM ověření proběhne bez interakce uživatele.

Pouze v případě, že se NTLM ověření nezdaří (např. pokud ve WinRoute neexistuje uživatelský účet pro uživatele přihlášeného na klientském počítači), se zobrazí přihlašovací dialog.

Upozornění

Jedním z důvodů selhání NTLM ověření může být neplatné přihlašovací jméno/heslo uložené ve Správci hesel systému Windows (Ovládací panely → Uživatelské účty → Upřesnění → Správce hesel) pro příslušný server (tj. počítač s WinRoute). Internet Explorer v takovém případě odešle na server uložené přihlašovací údaje namísto NTLM ověření aktuálně přihlášeného uživatele. Při problémech s NTLM ověřováním doporučujeme ze Správce hesel odstranit všechna uložená jména/hesla pro server, na kterém je WinRoute nainstalován.

Firefox/SeaMonkey

Prohlížeč zobrazí přihlašovací dialog. Ve výchozím nastavení prohlížeče se z bezpečnostních důvodů automatické ověření uživatele neprovádí. Toto chování prohlížeče lze změnit úpravou konfiguračních parametrů — viz níže.

Pokud se ověření nezdaří, dojde v případě přímého připojení k přesměrování prohlížeče na přihlašovací stránku firewallu (viz kapitola 11.2  Přihlašování uživatelů k WWW rozhraní). V případě použití proxy serveru se opět zobrazí přihlašovací dialog.

Poznámka: Pokud se NTLM ověření uživatele z nějakého důvodu nezdaří, zapíší se podrobné informace o této události do záznamu error (viz kapitola 22.8  Záznam Error).

Nastavení parametrů prohlížeče Firefox/SeaMonkey

Změnou konfiguračních parametrů prohlížeče lze povolit automatické ověření metodou NTLM — bez zobrazení přihlašovacího dialogu. Postup je následující:

  1. Do adresního řádku prohlížeče zadáme: about:config. Zobrazí se seznam konfiguračních parametrů.

  2. Nastavíme příslušný konfigurační parametr:

    • V případě přímého připojení (v prohlížeči není nastaven proxy server):

      Vyhledáme parametr network.automatic-ntlm-auth.trusted-uris. Jako hodnotu tohoto parametru nastavíme jméno počítače s WinRoute (např. server nebo server.firma.cz). Toto jméno musí korespondovat se jménem serveru nastaveným v sekci Konfigurace → Další volby → WWW rozhraní (viz kapitola 11.1  Volby pro WWW rozhraní).

      Poznámka: V tomto parametru nelze použít IP adresu!

    • V případě použití proxy serveru ve WinRoute:

      Vyhledáme parametr network.automatic-ntlm-auth.allow-proxies a nastavíme jej na hodnotu true.

    Změny konfiguračních parametrů jsou účinné ihned — prohlížeč není třeba restartovat.