NTLM Authorization Proxy Server

Cette page a pour objet de décrire l'installation et la configuration d'un proxy NTLM-APS. Elle est destinée à tous ceux qui souhaitent installer Ubuntu sur un PC séparé d'Internet par un proxy MicroSoft ISA-Server.

Le proxy ISA-Server de Microsoft ne reconnaît pas l'authentification par compte/motdepasse décrite dans la documentation de paramétrage APT. Sans NTLM-APS, il vous sera impossible d'installer une distribution qui ait accès aux dépots Ubuntu.

L'installation et la configuration du proxy NTLM-APS sont des opérations assez simples qui permettent facilement de sortir de cette impasse.

Pré-requis

un PC sur lequel vous pouvez installer Ubuntu (seul ou en dual-boot)
un CD d'installation d'Ubuntu (desktop ou alternate)
un compte sur le proxy ISA-Server qui vous permette d'accéder à Internet en HTTP

Installation

Installez Ubuntu sur votre PC à partir du CD. Lors de la configuration de votre connexion à Internet, allez au plus simple (de toute façon, quoi que vous répondiez, vous n'accéderez pas à Internet). Terminez l'installation sans connexion Internet.

Depuis votre Ubuntu fraîchement installée, lancez Firefox et configurez-le pour qu'il puisse accéder à Internet via le proxy ISA-Server. Lors de la première connexion via le proxy, Firefox vous demandera votre compte d'accès et votre mot de passe. Mémorisez ces informations, car Firefox vous les redemandera de temps à autre.

Comme il vous est impossible pour l'instant d'installer vos paquets en utilisant APT (et c'est le problème que l'on va résoudre ) :

rendez-vous sur la page de téléchargement du paquet ntlmaps pour Ubuntu, changer éventuellement la version d'Ubuntu en haut à droite, et cliquez sur « all » en bas de page à gauche.
Après avoir choisi un serveur, le téléchargement commence. Firefox vous proposera de l'ouvrir avec la logithèque
installez le paquet

Configuration

En fin d'installation, une fenêtre de configuration s'affiche :

Il est conseillé de conserver le port d'écoute par défaut : 5865.

Remplacez les champs suivants par les valeurs adaptées à votre réseau et votre login :

Mandataire parent : your_parentproxy : saisissez l'adresse ou le nom du proxy ISA-Server
Port du mandataire parent : en général 8080 ou 3128
Domaine windows NT : your_domain : le nom de domaine de votre réseau
Identifiant windows NT : username_to_use : entrez votre (ou un) identifiant auprès du proxy ISA-Server
Mot de passe Windows NT : saisissez le mot de passe NT associé à l'identifiant précédent

Malheureusement ce paramétrage ne suffit généralement pas, car d'autres réglages sont plus adaptés au début des années 2000 que maintenant.

Il va donc falloir éditer le fichier de configuration /etc/ntlmaps/server.cfg (avec les droits d'administration) et modifier les valeurs entrées précédemment, voire d'autres valeurs (experts seulement) telles que les en-tête HTTP envoyées au proxy pour identification du navigateur web.

[GENERAL]
LISTEN_PORT: 5865
PARENT_PROXY: proxy_windows
PARENT_PROXY_PORT: 8080

[NTLM_AUTH]
NT_DOMAIN: domaine_windows
## Il vaut mieux utiliser NTLM_TO_BASIC plutôt que USER et PASSWORD :
## ça permet de contrôler les applications utilisants le proxy, afin d'éviter les éventuels blocages des comptes sur les proxy
USER: utilisateur_du_proxy
PASSWORD: mot_de_passe_a_renseigne_pas_toujours_positione_a_la_configuration_initiale

[CLIENT_HEADER]

# This section describes what and how the server should change in the clients headers.
# Made in order to prevent parent proxy from seeing that you are using wget instead of IE5.5


# Emuler un IE8, sous Windows 7
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr-fr,fr;q=0.8,en-us;q=0.5,en;q=0.3
## Ne pas activer la compression, car si le logiciel utilisant le proxy ne la demande, pas, il ne saurait lire la réponse compressée
#Accept-Encoding: gzip, deflate


# Compatibilite avec les domaines AD
LM_PART:1
NT_PART:1

NTLM_FLAGS: 07820000


## Si NTLM_TO_BASIC:1, le logiciel derrière le proxy fourni le login et mot de passe du proxy (USER et PASSWORD deviennent inutiles).
NTLM_TO_BASIC:0

La configuration est terminée, vous pouvez maintenant lancer votre proxy NTLM-APS avec la commande :

sudo /etc/init.d/ntlmaps start

C'est la seule fois où vous aurez à lancer le proxy NTLM-APS manuellement; par la suite, il sera lancé automatiquement au démarrage de votre PC Ubuntu.

Pour modifier les paramètres proxy, par exemple si le proxy a changé, tapez:

sudo dpkg-reconfigure ntlmaps

Vous pouvez vous mijoter un petit fichier de configuration personnel, que vous stockerez à la racine de votre dossier personnel, et que vous nommerez .ntlmaps.conf ; tous les renseignements contenus dans ce fichier de configuration seront prioritaires sur ceux contenus dans /etc/ntlmaps/server.cfg

Utilisation

Il ne vous reste plus qu'à configurer Synaptic pour qu'il utilise votre proxy NTLM-APS (ce dernier se chargera de transférer les requêtes APT via le proxy ISA-Server).

Configuration de Synaptic :

et pour étendre l'utilisation de ce service sur la partie apt en edite : /etc/apt/apt.conf ,

Acquire::http::Proxy "http://localhost:5865";

et comme ça les mises-à-jours se feront de manière transparentes.

Désinstallation

Le proxy NTLM-APS étant dans les dépôts, il suffit de supprimer le paquet. La configuration NTLM-APS sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.

Liens

Site du projet sur sourceforge [en]
NTLM pour les geeks [en]
Lire également les commentaires du fichier /etc/ntlmaps/server.cfg (pas mal d'infos pratiques)
Alternative qui marche mieux apparemment (cntlm) : testé par Id2ndR

—-

Contributeurs : JFJ TheNumber Id2ndR