NTLM Authentifizierung per IE

[Mäuden]

Folgendes Szenario ist gegeben:

Der Internet Explorer soll sich mit Hilfe der NTLM Authentifizierung an einem entfernten Proxy anmelden.

Nun ist der Proxy in einem entfernten Unternehmen (also nicht unter der Verwaltungsgewalt unserer Administration) und Änderungen auf dieser Seite der Kommunikation sind nicht möglich.

Die Kommunikation beginnt auf der Client Seite mit einer „GET Anfrage“ auf der HTTP Ebene, angestoßen durch das Betätigen des Internet Explorers. Hier antwortet der Server mit der Meldung 407- er benötigt also eine Proxy-Authentifizierung.

Dieser Antwort folgt auf der Clientseite eine „NTLM Negotiate Message“ wo nun also NTLM Versionen etc. verhandelt werden.

Darauf antwortet der Server mit einer „Challenge Message“, da die NTLM Versionen kompatibel sind.

Problem:

Nun soll der Internet Explorer nach Benutzer und Passwort fragen. Dies geschieht an dieser Stelle leider nicht. Stattdessen sendet der Internetexplorer eine „Authentification Message“ mit Standartwerten der Windows Anmeldung. Diese werden von dem Proxy abgelehnt und nun versucht der Internet Explorer sich über die Basic Authentifizierung anzumelden, welche der Proxy jedoch nicht unterstützt.

Fehlerbehebungsversuche:

• Es wurde in den Interneteinstellungen --> Sicherheit --> Internet --> Sicherheitseinstellungen --> Benutzerauthentifizierung --> das Häkchen bei "Nach Benutzername und Kennwort fragen" gesetzt.

• Des Weiteren wurde in den Internetoptionen --> Erweitert --> Sicherheit --> das Häkchen bei "Integrierte Windows Authentifizierung aktivieren" weggenommen.

Mit dem Firefox Browser ist dieses Verhalten konfigurierbar:

Hier muss network.automatic-ntlm-auth.allow-proxies --> auf false gesetz werden

Nun bekomme ich direkt vor der Anmeldung eine Benutzerdatenabfrage. Wie bekomme ich das mit dem Internetexplorer hin ?

Wäre echt super wenn mir jemand bei meinem Problem helfen könnte.

Danke schon einmal im Vorraus.

[lupo49]

Muss eventuell die Adresse des Proxyies in der Zone "Lokales Intranet" eingetragen werden? Ich kann mir vorstellen, dass die NTLM-Benutzerauthentifizierung nicht bei Servern verwendet wird, die in der Gruppe der "Internet"-Hosts gruppiert sind.

[Mäuden]

Ich habe das Problem mit Wireshark untersucht.

-- Der IE benutzt ja NTLM --

Und zwar wenn er sich zum ersten Mal versucht am Proxy anzumelden. Dies geschieht automatisch ohne, dass er micht nach Benutzerdaten fragt. Da ich mich über den Proxy aber auf eine andere Domäne anmelde, stimmen die übermittelnden Benutzerdaten nicht und der Proxy weist sie zurück. Und nun versucht der IE fälschlicherweise sich mit der Basic Authentifizierung anzumelden und fragt mich erst jetzt zum ersten Mal nach Benutzername und Passwort.

Die unterstützt der Proxy aber leider nicht.

[Mäuden]

Niemand ne Idee oder einen Tipp ... ??