NTLM authentication...

the ntlm support is a little bit tricky for the first time.
here's a part of the http proxies help:

When an Active Directory/NT domain membership has been set up under System->User Authentication, you can select this option here. This has the effect that NTLM user authentication will be used to authenticate clients. This is only guaranteed to work with Internet Explorer. Other browsers may support NTLM authentication too when they are run on a Windows system. 
To be able to use the proxy, a user MUST be in a group called "http_access" in the domain.


............
the last line is important. if you have content filter enabled you also have to create additional groups with the same name the profiles have and put the users in the needed group.

hi there, 

it is more trivial than that, 
please read the last line of the error message again. [;)]

hint: 
"NTLM authentication not supported in this snapshot "

NTLM has been disabled in this release as it is still not 100% functional, 
please stay tuned.

Gert

 [:$]
 [;)]

OK, thanks to Gert and bce...

Bye

Hi bce,

Today I'm trying ASL V6 5.838.
Also this version does not fully support Active Directory authentication for proxy service...
In fact, ASL asks me every time for user and password.

Bye

Is the machine your are connecting from in the member of the domain and are you connected to the domain?

Xeno

Hi Xeno,

The client is a PC connected to an Active Directory domain and the user is member of http_access group.
Obviously, ASL 6 has joined to this domain.
Consider that I already have  an ASL 5 connected to this domain and I'm trying to replicate this configuration on ASL 6.

Thanks

mdallagi,

take in mind that if you have content filter enabled, another group called the same as the content filter profile has to be added to the active directory. then put the users to this group, too.

Hi bce,

I have already disabled content filter but the behaviour is the same...

Other experiences with ASL V6  proxy and Active Directory authentication?

Set aua to debug mode. Edit /etc/wfe/conf/aua_main_config.ini. Add the line "debug = 1" and a new line. Restart aua '/etc/rc.d/aua restart'.
Close all brower instances. Then start the browser. Don't type in a password, just cancel when it asks for username and password. Then post the logged lines from /var/log/aua.log.
NOTE: There are passwords logged in that logfile, if debuging is enabled. So masq that password, before you post the log.

Xeno

Ok Xeno,

here my /etc/wfe/conf/aua_main_config.ini:

[global]
bind = 127.0.0.1:15723
userfile = /etc/wfe/conf/localusers.ini
authfile = /etc/wfe/conf/proxyauth.ini
pidfile = /var/run/aua.pid
cache = 300
children = 10
debug = 1


...and the logs:

astaroV6:/etc/wfe/conf # cat /var/log/aua.log
2005:06:06-09:58:08 (none) aua[1266]: Reloading authentication configuration.
2005:06:06-09:58:08 (none) aua[1295]: Daemonized, ready to serve requests.
2005:06:06-09:58:12 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:15:15 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:15:21 (none) aua[1295]: Discarded cache.
2005:06:06-10:15:21 (none) aua[2147]: U:admin F:webadmin R[:$]K C:local
2005:06:06-10:17:59 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:18:36 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:19:02 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-11:33:31 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-11:33:45 (none) aua[4575]: Reloading authentication configuration.
2005:06:06-11:33:45 (none) aua[4579]: Daemonized, ready to serve requests.
2005:06:06-11:33:45 (none) aua[4579]: Master: waiting for new connection.
2005:06:06-11:37:50 (none) aua[4660]: Reloading authentication configuration.
2005:06:06-11:37:50 (none) aua[4664]: Daemonized, ready to serve requests.
2005:06:06-11:37:50 (none) aua[4664]: Master: waiting for new connection.

Ok Xeno,

here my /etc/wfe/conf/aua_main_config.ini:

[global]
bind = 127.0.0.1:15723
userfile = /etc/wfe/conf/localusers.ini
authfile = /etc/wfe/conf/proxyauth.ini
pidfile = /var/run/aua.pid
cache = 300
children = 10
debug = 1


...and the logs:

astaroV6:/etc/wfe/conf # cat /var/log/aua.log
2005:06:06-09:58:08 (none) aua[1266]: Reloading authentication configuration.
2005:06:06-09:58:08 (none) aua[1295]: Daemonized, ready to serve requests.
2005:06:06-09:58:12 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:15:15 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:15:21 (none) aua[1295]: Discarded cache.
2005:06:06-10:15:21 (none) aua[2147]: U:admin F:webadmin R[:$]K C:local
2005:06:06-10:17:59 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:18:36 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-10:19:02 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-11:33:31 (none) aua[1295]: Reloading authentication configuration.
2005:06:06-11:33:45 (none) aua[4575]: Reloading authentication configuration.
2005:06:06-11:33:45 (none) aua[4579]: Daemonized, ready to serve requests.
2005:06:06-11:33:45 (none) aua[4579]: Master: waiting for new connection.
2005:06:06-11:37:50 (none) aua[4660]: Reloading authentication configuration.
2005:06:06-11:37:50 (none) aua[4664]: Daemonized, ready to serve requests.
2005:06:06-11:37:50 (none) aua[4664]: Master: waiting for new connection.

Hi all,

As you can see, nothing appears in the log when I close the browser (IE 6) after authentication request.
I don't know why...
My configuration is very simple:
- ASL 5.838 on a Celeron 2.4Ghz, 512MB RAM, 13,6 GB IBM harddisk, 2 Intel PRO100.
- ASL has joined to Active Directory Domain as "astaroV6".
- http_access group created on Domain.
- Proxy enabled in "Active Directory/NT Domain Membership" mode.
- Content filter: off.
- Users that use the  proxy are on http_access group.

Perhaps, do I forget something?

ok, that was my fault. NTML does not log anything. Sorry for confusion.
What you can do in order to check the communication between ASL and your Windows LDAP Server is the following command:

wb_ntlmauth

This should give you a kind shell. There type in "RG yourdomain\youruser". This should give you a list of all the groups the user is a member of. Make sure the user is in group "http_access".

I also tested NTLM on my system. The authentication worked fine. Username and passwords are accepted.

Xeno

Thanks Xeno,

here the results:

astaroV6:/home/login # wb_ntlmauth
wb_ntlmauth[1785](wb_ntlm_auth.c:439): target domain is DOMAIN
RG DOMAIN\mdallagi
GS Domain Users
GS web_control_base
GS http_access
GS Progettazione
GS Domain Admins

As you can see the user mdallagi is on http_access group...

That looks good. There is a way to enable debuging. But then it really gives tons of informations. Edit /var/mdw/scripts/ntlm. There is a line "winbindd". Add " -d 4" behind that word. Then restart ntlm: '/var/mdw/scripts/ntlm restart'. Now you should get some logging in /var/log.winbindd as soon as you try to authenticate a user. So if you are in a domain, you should get some debug output as soon as you try to open the browser. Maybe this helps to find the problem.

Xeno

Hi Xeno,

I tried all that you post to me but I can't find any error message in /var/log.winbindd file... if you want I can post the logs.

Consider that I'm using another ASL 5.203 authenticated on the same domain controller used by astaroV6.
On ASL 5.203 all works fine!

Bye

just post it

ok...logs in attachment