WinRoute podporuje automatické ověřování uživatelů z WWW prohlížečů metodou NTLM. Je-li uživatel přihlášen do domény, nemusí pro ověření na firewallu zadávat znovu své uživatelské jméno a heslo.
Tato kapitola podrobně popisuje podmínky, které musí být splněny, a konfigurační kroky, které je nutné provést, aby NTLM ověřování z klientských počítačů fungovalo správně.
Ověřování pomocí NTLM funguje správně pouze za dodržení následujících podmínek:
WinRoute Firewall Engine musí být spouštěn jako služba nebo musí být spouštěn pod účtem uživatele, který má administrátorská práva k počítači, na kterém je WinRoute nainstalován.
Server (tj. počítač s WinRoute) musí být členem příslušné domény Windows NT nebo Active Directory (Windows 2000/2003/2008).
Klientský počítač musí být rovněž členem této domény.
Uživatel na klientském počítači se musí přihlašovat do této domény (tzn. nelze použít lokální uživatelský účet).
Příslušný uživatelský účet ve WinRoute musí mít nastaveno ověřování NT doména / Kerberos 5 (viz kapitola 15.1 Zobrazení a definice uživatelských účtů). NTLM nelze použít pro ověřování uživatelů v interní databázi WinRoute.
V sekci Uživatelé → Volby pro ověřování musí být povoleno automatické ověřování uživatelů z WWW prohlížečů. Zároveň by mělo být vyžadováno ověřování uživatelů při přístupu na WWW stránky (jinak NTLM ověřování z prohlížečů postrádá smysl).
Dále musí být povoleno ověřování uživatelů v příslušné NT doméně:
Pro lokální uživatelské účty (včetně účtů
importovaných ručně nebo automaticky z domény) — v dolní části
záložky Volby pro ověřování musí být zapnuto NT ověřování
a nastavena odpovídající NT doména (např. FIRMA
).
Pro mapovanou Active Directory doménu — v konfiguraci příslušné domény musí být v záložce Active Directory nastavena odpovídající NT doména (podrobnosti viz kapitola 15.4 Uživatelské účty v Active Directory — mapování domén).
V konfiguraci WWW rozhraní WinRoute musí být nastaveno platné DNS jméno serveru, na němž WinRoute běží (podrobnosti viz kapitola 11.1 Volby pro WWW rozhraní).
Pro správnou funkci NTLM ověřování je třeba použít WWW prohlížeč, který tuto metodu ověřování podporuje. V současné době lze použít tyto prohlížeče:
Internet Explorer verze 5.01 a vyšší
Firefox nebo SeaMonkey s jádrem Mozilla 1.3 nebo novějším
Z pohledu uživatele probíhá NTLM ověření na firewallu odlišně podle typu použitého WWW prohlížeče.
NTLM ověření proběhne bez interakce uživatele.
Pouze v případě, že se NTLM ověření nezdaří (např. pokud ve WinRoute neexistuje uživatelský účet pro uživatele přihlášeného na klientském počítači), se zobrazí přihlašovací dialog.
Jedním z důvodů selhání NTLM ověření může být neplatné přihlašovací jméno/heslo uložené ve Správci hesel systému Windows (Ovládací panely → Uživatelské účty → Upřesnění → Správce hesel) pro příslušný server (tj. počítač s WinRoute). Internet Explorer v takovém případě odešle na server uložené přihlašovací údaje namísto NTLM ověření aktuálně přihlášeného uživatele. Při problémech s NTLM ověřováním doporučujeme ze Správce hesel odstranit všechna uložená jména/hesla pro server, na kterém je WinRoute nainstalován.
Prohlížeč zobrazí přihlašovací dialog. Ve výchozím nastavení prohlížeče se z bezpečnostních důvodů automatické ověření uživatele neprovádí. Toto chování prohlížeče lze změnit úpravou konfiguračních parametrů — viz níže.
Pokud se ověření nezdaří, dojde v případě přímého připojení k přesměrování prohlížeče na přihlašovací stránku firewallu (viz kapitola 11.2 Přihlašování uživatelů k WWW rozhraní). V případě použití proxy serveru se opět zobrazí přihlašovací dialog.
Poznámka: Pokud se NTLM ověření uživatele z nějakého důvodu nezdaří, zapíší se podrobné informace o této události do záznamu error (viz kapitola 22.8 Záznam Error).
Změnou konfiguračních parametrů prohlížeče lze povolit automatické ověření metodou NTLM — bez zobrazení přihlašovacího dialogu. Postup je následující:
Do adresního řádku prohlížeče zadáme:
about:config
. Zobrazí se seznam konfiguračních parametrů.
Nastavíme příslušný konfigurační parametr:
V případě přímého připojení (v prohlížeči není nastaven proxy server):
Vyhledáme parametr
network.automatic-ntlm-auth.trusted-uris
. Jako hodnotu
tohoto parametru nastavíme jméno počítače s WinRoute
(např. server
nebo server.firma.cz
). Toto
jméno musí korespondovat se jménem serveru nastaveným v sekci
Konfigurace → Další volby → WWW rozhraní (viz
kapitola 11.1 Volby pro WWW rozhraní).
Poznámka: V tomto parametru nelze použít IP adresu!
V případě použití proxy serveru ve WinRoute:
Vyhledáme parametr
network.automatic-ntlm-auth.allow-proxies
a nastavíme jej na
hodnotu true
.
Změny konfiguračních parametrů jsou účinné ihned — prohlížeč není třeba restartovat.