WinRoute podporuje automatické ověřování uživatelů z WWW prohlížečů metodou NTLM. Je-li uživatel přihlášen do domény, nemusí pro ověření na firewallu zadávat znovu své uživatelské jméno a heslo.
Tato kapitola podrobně popisuje podmínky, které musí být splněny, a konfigurační kroky, které je nutné provést, aby NTLM ověřování z klientských počítačů fungovalo správně.
Ověřování pomocí NTLM funguje správně pouze za dodržení následujících podmínek:
WinRoute Firewall Engine musí být spouštěn jako služba nebo musí být spouštěn pod účtem uživatele, který má administrátorská práva k počítači, na kterém je WinRoute nainstalován.
Server (tj. počítač s WinRoute) musí být členem příslušné domény Windows NT nebo Active Directory (Windows 2000/2003/2008).
Klientský počítač musí být rovněž členem této domény.
Uživatel na klientském počítači se musí přihlašovat do této domény (tzn. nelze použít lokální uživatelský účet).
Příslušný uživatelský účet ve WinRoute musí být ověřován v doméně Active Directory nebo Windows NT (viz kapitola 15.1 Zobrazení a definice uživatelských účtů). NTLM nelze použít pro uživatele ověřované interně WinRoute.
V sekci Uživatelé → Volby pro ověřování musí být povoleno automatické ověřování uživatelů z WWW prohlížečů. Zároveň by mělo být vyžadováno ověřování uživatelů při přístupu na WWW stránky (jinak NTLM ověřování z prohlížečů postrádá smysl).
V konfiguraci WWW rozhraní WinRoute musí být nastaveno platné DNS jméno serveru, na němž WinRoute běží (podrobnosti viz kapitola 11.1 Volby pro WWW rozhraní).
Poznámka: V edici Software Appliance / VMware Virtual Appliance se jméno serveru nastavuje v záložce Systémová konfigurace (viz kapitola 16.1 Systémová konfigurace (Software Appliance / VMware Virtual Appliance)).
Pro správnou funkci NTLM ověřování je třeba použít WWW prohlížeč, který tuto metodu ověřování podporuje. V současné době lze použít tyto prohlížeče:
Internet Explorer verze 5.01 a vyšší
Firefox nebo SeaMonkey s jádrem Mozilla 1.3 nebo novějším
Z pohledu uživatele probíhá NTLM ověření na firewallu odlišně podle typu použitého WWW prohlížeče.
NTLM ověření proběhne bez interakce uživatele.
Pouze v případě, že se NTLM ověření nezdaří (např. pokud ve WinRoute neexistuje uživatelský účet pro uživatele přihlášeného na klientském počítači), se zobrazí přihlašovací dialog.
Jedním z důvodů selhání NTLM ověření může být neplatné přihlašovací jméno/heslo uložené ve Správci hesel systému Windows (Ovládací panely → Uživatelské účty → Upřesnění → Správce hesel) pro příslušný server (tj. počítač s WinRoute). Internet Explorer v takovém případě odešle na server uložené přihlašovací údaje namísto NTLM ověření aktuálně přihlášeného uživatele. Při problémech s NTLM ověřováním doporučujeme ze Správce hesel odstranit všechna uložená jména/hesla pro server, na kterém je WinRoute nainstalován.
Prohlížeč zobrazí přihlašovací dialog. Ve výchozím nastavení prohlížeče se z bezpečnostních důvodů automatické ověření uživatele neprovádí. Toto chování prohlížeče lze změnit úpravou konfiguračních parametrů — viz níže.
Pokud se ověření nezdaří, dojde v případě přímého připojení k přesměrování prohlížeče na přihlašovací stránku firewallu (viz kapitola 11.2 Přihlašování uživatelů k WWW rozhraní). V případě použití proxy serveru se opět zobrazí přihlašovací dialog.
Poznámka: Pokud se NTLM ověření uživatele z nějakého důvodu nezdaří, zapíší se podrobné informace o této události do záznamu error (viz kapitola 22.8 Záznam Error).
Změnou konfiguračních parametrů prohlížeče lze povolit automatické ověření metodou NTLM — bez zobrazení přihlašovacího dialogu. Postup je následující:
Do adresního řádku prohlížeče zadáme:
about:config
. Zobrazí se seznam konfiguračních parametrů.
Nastavíme příslušný konfigurační parametr:
V případě přímého připojení (v prohlížeči není nastaven proxy server):
Vyhledáme parametr
network.automatic-ntlm-auth.trusted-uris
. Jako hodnotu
tohoto parametru nastavíme jméno počítače s WinRoute
(např. server
nebo server.firma.cz
). Toto
jméno musí korespondovat se jménem serveru nastaveným v sekci
Konfigurace → Další volby → WWW rozhraní (viz
kapitola 11.1 Volby pro WWW rozhraní).
Poznámka: V tomto parametru nelze použít IP adresu!
V případě použití proxy serveru ve WinRoute:
Vyhledáme parametr
network.automatic-ntlm-auth.allow-proxies
a nastavíme jej na
hodnotu true
.
Změny konfiguračních parametrů jsou účinné ihned — prohlížeč není třeba restartovat.