Estou usando o macOS Sierra 10.12.6 atrás de um proxy NTLM corporativo. Meu navegador e outros aplicativos estão usando as configurações de proxy do sistema, nas quais salvei meu nome de usuário e senha para autenticação com o proxy. Isso está funcionando bem.
Há um problema persistente com os serviços do sistema que tentam acessar informações na Internet e não veem acesso às credenciais de proxy na minha conta de usuário. Eu vejo o seguinte pop-up a cada dois minutos, e o que eu faço (atualizando minhas credenciais nas Preferências do Sistema ou pressionando "Não Agora"), o pop-up continua aparecendo repetidamente:
O texto no pop-up diz:
Autenticação de proxy necessária
Digite a senha para o proxy HTTP http://xxx.xxx.xxx.xxx:yyyy nas Preferências do Sistema.
O que posso fazer para impedir que este pop-up apareça?
Coisas que eu tentei até agora:
- Atualizei minhas credenciais em Preferências do sistema ( Rede> Avançado> Proxy )
- Copiei as entradas de credenciais do meu chaveiro de login para o sistema , pois li uma recomendação para isso em uma postagem no blog ou em uma pergunta no fórum.
Nada disso funcionou, eu recebo esse pop-up a cada dois minutos e não parece haver um padrão quando ele aparece.
Atualização 1:
Assim que insiro minhas credenciais, clicando no botão Preferências do sistema na caixa de diálogo acima (que eu posso forçar abrindo o Safari e começando a digitar um URL na caixa local), dois registros são criados no chaveiro de login , ambos com identificações idênticas. conteúdo:
@ xxx.xxx.xxx.xxx (nome de usuário) Senha da Internet hoje, 09:10 - faça o login
Ambos os registros parecem idênticos, com o mesmo nome e atributos. Ambos mostram que o aplicativo que solicitou isso é AuthBrokerAgent
:
Atualização 2:
Também tentei esta sugestão: https://discussions.apple.com/message/23848961#message23848961 , copiando as entradas de autenticação da chave de login para a chave do sistema e depois reinicializando, mas não foi corrigida. De fato, a temida caixa "Proxy Authentication Required" apareceu novamente ao digitar isso ...
Atualização 3:
Eu usei o Wireshark para dar uma olhada no tráfego entre minha máquina e nosso proxy:
- O proxy retorna com a
407 Proxy Authentication Required
eProxy-Authenticate: NTLM
, o que está de acordo com minha expectativa, já que nosso proxy usa NTLM. - Alguns exemplos que eu vi no tráfego (por exemplo, iCloud), em seguida, devolvem uma
NTLMSSP_NEGOTIATE
resposta. - O proxy volta com uma
NTLMSSP_CHALLENGE
solicitação - O serviço responde com
NTLMSSP_AUTH
e meu nome de usuário, que ele deve ter obtido de algum lugar. - O proxy finalmente responde com um
200 Connection established
Para mim, isso mostra que, em geral, a autenticação de proxy funciona bem, se o sistema puder obter o nome de usuário e o proxy de algum lugar. A questão permanece como / onde armazenar o nome de usuário / senha para que todos os serviços do sistema possam encontrá-lo. Alguns serviços do sistema (suponho) não têm como encontrar as credenciais de proxy onde estou armazenando-as.
Respostas:
Esse é provavelmente o comportamento esperado se o administrador do sistema / rede tiver configurado a autenticação de força de proxy que requer mais do que apenas um esquema de autenticação básico.
Na página da Microsoft, Manipulando autenticação na seção Sobre autenticação HTTP :
Se o proxy que você estiver usando utilizar o esquema básico de autenticação , o que é salvo no seu chaveiro será suficiente para autenticar você. Se um esquema de resposta a desafios estiver sendo usado, você provavelmente precisará fornecer mais informações - nesse caso - redigite sua senha - para autenticar; e é isso que você está vendo.
Processo de autenticação NTLM
Isso é muito mais do que apenas armazenar credenciais. O cliente deve gerar uma resposta com base em uma solicitação gerada do servidor. A seguir, é apresentada uma descrição muito resumida do processo de autenticação da perspectiva do cliente / servidor, de acordo com a documentação da Microsoft
A terceira etapa acima, exige que o cliente faça o hash de um número aleatório obtido do servidor. Isso significa que não há nada a ser armazenado no seu cliente macOS.
No mínimo, você precisa ingressar no domínio do Active Directory. Isso significa que você precisa do suporte Kerberos habilitado e configurado corretamente para sua organização específica.
Há uma frase-chave no documento "Manipulando autenticação" que vinculei acima:
(Ênfase minha)
Com base nos sintomas apresentados, parece que sua organização requer autenticação no proxy; seu nome de usuário / senha são válidos, mas continuam solicitando autenticação. Provavelmente porque você está perdendo o estado da conexão e precisando fazer isso novamente. O que enfatiza ainda mais o ponto ....
Para resolver esse problema, entre em contato com o administrador da rede para ajudá-lo com os problemas de autenticação.
fonte
Connection Established
! =Access Granted
. As pessoas que podem confirmar que isso está funcionando são seus administradores de sistema / rede em seu departamento de TI.pela autenticação da configuração de modificação do aplicativo da cadeia de chaves
fonte
Execute o seguinte comando em
Console.app
:Você será perguntado sobre o acesso ao chaveiro. Concorde em adicionar o registro ao chaveiro e você terá acesso sem a senha o tempo todo quando o chaveiro estiver aberto.
fonte
login
chaves do meu usuário . Logo após fazer isso, a caixa de diálogo de autenticação de proxy mostrada acima apareceu novamente. Sua correção sugerida não resolve o problema para mim.security
comando que você listou - ele não encontra nada. Isso acontece se eu alterar ofind-generic-password
comando parafind-internet-password
, uma vez que o Keychain lista a entrada como "senha da Internet".