Страница печати | Закрыть окно

NTLM авторизация через браузер

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24104
Дата печати: 17-Дек-17 в 14:54
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: NTLM авторизация через браузер
Автор: gorunov
Тема: NTLM авторизация через браузер
Дата отправки: 09-Ноя-17 в 11:38
Добрый день . Обновил TI до версии 3.0.2.911 с преведущего релиза . Сразу авторизация сетей по умолчанию включилась только BASIC . В настройках правил сетей отрубил авторизацию Basic и оставил только NTLM. Сейчас стандартно раз в день пользователей выкидавает в ошибки.

[HTTP proxy] error,
NTLM authentication from 10.1.1.15 - SSPI error "SEC_E_LOGON_DENIED" [8009030C] in AcceptSecurityContext

Как нормально решить вопрос с авторизацией по NTLM через браузер? Думал продлить поддержку TI  и докупить лицензии но с такими ошибками в общем скорее всего будем искать более рабочие решения если помощи у Вас не найду. (Огромная просьба не указывать отключение NTLM авторизации как способ решения проблемы)



Ответов:
Автор: VladimirK
Дата отправки: 10-Ноя-17 в 08:56
Данные для аутентификации передаёт браузер. Если он это делает криво или не правильно, то появляется такая ошибка.
Эта ошибка исходит от контроллера домена при попытке авторизации.


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: VladimirK
Дата отправки: 10-Ноя-17 в 08:57
У вас на большинстве браузеров такая ошибка? Установку клиентского агента не рассматривали?

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: gorunov
Дата отправки: 10-Ноя-17 в 10:37
до обновлении версии данной проблемы не наблюдалось, в таком масштабе по крайней мере. На контроллере домена предупреждение :

В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно: 
(1) Привязку SASL (согласование, Kerberos, NTLM или выборка) LDAP без требования подписи (проверки целостности), или 
(2) Простую привязку LDAP, которая была выполнена для подключения с открытым (не зашифрованным SSL/TLS) текстом 
 
Данный сервер каталога в настоящий момент не настроен на отклонение привязок такого типа. Безопасность сервера можно  существенно повысить, если настроить его на отклонение таких привязок.  Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923. 
 
Общие сведения о числе этих привязок, полученных за последние 24 часа, приведены ниже. 
 
Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше. 
 
Число простых привязок, выполненных без SSL/TLS: 209 
Число привязок согласование/Kerberos/NTLM/выборка, выполненных без подписи: 0


Автор: gorunov
Дата отправки: 10-Ноя-17 в 10:40
так и не пойму это привязка к контроллеру домена трафика инспектора (ntlm авторизация) или опенфаера. Если включить  привязку с шифрованием то проблема пройдет ? 


Ставить агент не вариант. 


Автор: gorunov
Дата отправки: 10-Ноя-17 в 10:44
ошибка вылетает стабильно раз в день . Причем на разных компьютерах


Автор: VladimirK
Дата отправки: 13-Ноя-17 в 09:54
Попробуйте вывести и заново ввести в домен машину с ТИ.
Также на машине где воспроизводится проблема установите агента и проверьте, пройдёт авторизация или нет (так исключим влияние браузеров).


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: LVS
Дата отправки: 07-Дек-17 в 09:49
у меня весь лог в таких ошибках.... связываю это с маршрутом по умолчанию на проксю через центральный маршрутизатор... 



Страница печати | Закрыть окно