|
FAQ Kerio Control - NTLM - подключаем пользователей. |
Общий смысл вопроса.
В большинстве случаев использование продуктов Kerio предполагает аутентификацию пользователя для определения его прав и привязки результатов его работы к персональному идентификатору. Аутентификация пользователя при работе с Kerio предполагает передачу пары логин\пароль для сравнения их с хранящимися в некоей базе данных образцов. В случае успешного результата сравнения пользователь считается аутентифицированным.
Таким образом, для осуществления процедуры аутентификации должны существовать:
- источник - инициатор запроса на аутентификацию;
- ответчик - хранитель образцовых сведений о всех возможных сочетаний логин\пароль;
- получатель - пользователь информации о результатах аутентификации.
Последовательность прохождения аутентификации при доступе к Kerio Control такова:
- источник посылает запрос на аутентификацию получателю;
- получатель спрашивает ответчика о корректности представленной информации;
- ответчик проверяет представленную информацию и сообщает о результатах получателю;
- если представленная источником информация верна, получатель предоставляет источнику доступ к какому-то ресурсу.
Азбука и информация по вопросу здесь: Аутентификация NTLM NTLM2
В чем проблема?
Во всех случаях предполагается указание пары логин\пароль, что является в определенной мере неудобным для пользователей и в некоторых случаях просто невозможным. Естественно, что возникает желание каким-то образом автоматизировать процесс аутентификации, сведя количество указаний пары логин\пароль к минимуму (по крайней мере - для пользователя, т.е. живого человека). Это желание должно реализовываться каким-то механизмом - протоколом, таких протоколов было придумано несколько:
-- LDAP - передача пары логин\пароль в открытом виде, т.е. чистый текст. Включение шифрования для этого протокола возможно, но предполагает существенное увеличение трудозатрат. Это родной протокол для всех разновидностей служб каталогов;
- LM - протокол с минимальным шифрованием, не передающий паролей по сети. Это родной протокол Microsoft, с трудом принятый в *nix системах как печальная неизбежность;
- NTLM(2) - протокол с надежным шифрованием, не передающий паролей по сети. Аналогично LM;
- Kerberos - протокол с высоконадежным шифрованием и дополнительными возможностями. Альтернатива NTLM, безоговорочно принятая Microsoft.
И вот тут обнаружилась некая игра слов и подмена понятий: NTLM - это способ аутентификации, предполагающий взаимодействие нескольких участников - операционных систем, выполняющих какие-то действия, но это и способ обмена информацией, содержащей данные по аутентификации. Т.е. это и система опознавания, и способ общения при опознавании - принципиально разные вещи. Способ общения - это небольшая (но важная) часть системы, но не система в целом.
В Kerio Control был реализован способ обмена информацией на основе протоколов NTLM и впоследствии Kerberos, что не только радикально изменило в лучшую сторону качественное состояние продукта, но и ввело в жуткое заблуждение многочисленных пользователей Kerio Control, радостно полагающих, что на этом их проблемы закончились.
Но все дело в том, что
в Kerio Control нет способа аутентификации по NTLM\Kerberos и никогда не было !
Эта страница расположена в закрытой зоне сайта, доступ к которой ограничен.
Подробности смотреть здесь.
Удачи !
