Нещодавно в компанії, інфраструктуру якій мені доводиться підтримувати, почалася міграцій робочих станцій користувачів зі старенької Widows XP SP3 на Windows 7. Був розроблений план міграції, протестована і перевірена робота користувальницьких бізнес додатків в середовищі Windows 7, проте знайшлася одна істотна проблема. Справа в тому, що для доступу в Інтернет в якості проксі сервера застосовується відомий проксі-сервер для Linux Squid. І на сервері Squid налаштована доменна авторизація користувачів, з тією метою, щоб управління доступом в Інтернет здійснювалося шляхом додавання / виключення користувачів в групу Active Directory. Так ось, заковика полягала в проблемі NTLM аутентифікації Windows 7 на проксі-сервері Squid.
Кожні раз при запуску браузера Internet Explorer 8 з'являлося спливаюче вікно з проханням ввести аутентифікаційні дані користувача домену (ім'я та пароль). Однак, незважаючи на те, що запитані дані вводилися і вони були коректними, спливаюче вікно з вимогою авторизуватися з'являлося знову і знову, тобто Інтернет не працював.
Природно, я перевірив, що в настройках IE 8 встановлена опція наскрізний аутентифікації (Tools-> Internet Options-> Advanced-> Security / Enable Integrated Windows Authentication), і дійсно вона стояла, значить справа не в цьому.
Так що ж це могло бути? Побродивши по різним Інтернет форумах, я знайшов опис подібної проблеми: «The problem is the autentificación NTLM of Windows7. It is necessary to create the following key in the registry to solve it » . Тобто причина цього неподобства в тому, що Microsoft повністю відмовилася від використання LM і NTLM за замовчуванням, все це пов'язано з посиленими вимогами з безпеки в Windows 7/2008 Server R2. Тому й існує проблема з NTLM аутентифікацією на Squid в Windows 7.
Вирішити цю проблему можна двома методами:
1) Створити в реєстрі шляхом
In HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa новий параметр типу DWORD з ім'ям LmCompatibilityLevel, значення якого потрібно задати рівним 1.
2) Відредагувати групову політику. Для чого потрібно перейти в гілку Local Security Policy -> Security Settings -> Local Policies -> Security Options, знайти там параметр з ім'ям 'Network security: LAN Manager authentication level', Встановити його рівним 'Set LM
& NTLM - Use NTLMv2 session if negotiated'(Значення за замовчуванням не визначено' Not Defined ').
Залишилося тільки перезавантажити комп'ютер (для політики достатньо виконати gpupdate / force) І можна насолоджуватися нормальної аутентификацией з Windows 7 на проксі-сервері Squid.
