Un post tecnico a metà tra il promemoria e la divulgazione di un workaround, dedicato a chi utilizza Dropbox e lavora nelle reti che usano proxy con autenticazione NTLM. La risoluzione di un problema dovuto ad una momentanea mancanza del noto applicativo di sincronizzazione / backup dei propri dati personali tra le postazioni possedute e il server centrale che conserva le copie per il versioning.

In sintesi, di cosa si tratta:

Windows Challenge/Response (NTLM) is the authentication protocol used on networks that include systems running the Windows operating system and on stand-alone systems.

The Microsoft Kerberos security package adds greater security than NTLM to systems on a network. Although Microsoft Kerberos is the protocol of choice, NTLM is still supported. NTLM must also be used for logon authentication on stand-alone systems. For more information about Kerberos, see Microsoft Kerberos.

NTLM credentials are based on data obtained during the interactive logon process and consist of a domain name, a user name, and a one-way hash of the user’s password. NTLM uses an encrypted challenge/response protocol to authenticate a user without sending the user’s password over the wire. Instead, the system requesting authentication must perform a calculation that proves it has access to the secured NTLM credentials.

Interactive NTLM authentication over a network typically involves two systems: a client system, where the user is requesting authentication, and a domain controller, where information related to the user’s password is kept. Noninteractive authentication, which may be required to permit an already logged-on user to access a resource such as a server application, typically involves three systems: a client, a server, and a domain controller that does the authentication calculations on behalf of the server.

msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx

Per capirci: l’autenticazione NTLM è alla base degli appliance Sophos (serie WS), evidentemente non troppo permissiva per coloro che vogliono utilizzare Dropbox e possono accedere alla rete internet solo attraverso le proprie credenziali di dominio.

Oltre ad attendere che il team di sviluppo faccia lo sporco lavoro di rendere compatibile il protocollo con il passaggio delle credenziali impostate manualmente nelle preferenze (tanto per azzardare un’ipotesi) esiste un workaround dichiarato anche nelle FAQ pubblicate nel sito ufficiale del prodotto:

dropbox.com/help/22

La parola magica è “Cntlm” e permette di far combaciare le richieste dell’applicativo e dell’autenticazione NTLM mettendosi in mezzo tra i due (come a creare un nuovo proxy da far sfruttare a Dropbox). Configurarlo e utilizzarlo è semplicissimo, scaricarlo è completamente gratuito, il progetto risiede su SourceForge:

cntlm.sourceforge.net

Potete scaricare l’applicativo per Windows, Linux o MacOS. Io baserò il mio documento sul primo sistema (quello che uso sul portatile aziendale). Basterà scaricare CNTLM cliccando qui (qui per tutti gli altri sistemi), scompattarlo in una qualsiasi cartella del vostro HD e avviare il file “setup.bat“. Questo copierà alcuni file nel sistema e creerà il servizio “Cntlm Authentication Proxy“, che sarà visibile semplicemente aprendo la finestra dei servizi della macchina (Start / Esegui / services.msc), come in figura:

Cntlm Authentication Proxy - Services.msc

Prima di poter avviare il servizio sarà però necessario configurare le proprie credenziali in un file INI contenuto nella cartella del programma. Lo trovate in C:\Programmi\Cntlm, file cntlm.ini. Basterà inserire lo username, la password ed il dominio, specificare l’indirizzo IP (o il nome) del proxy aziendale, scegliere una porta del sistema locale dove far puntare poi Dropbox e salvare. Uscire quindi dal file per concludere l’operazione:

CNTLM - Configurazione parametri utenza sul proxy

Fatto ciò si potrà avviare CNTLM per poter lavorare con Dropbox. Basterà aprire un prompt di MS-DOS e lanciare la stringa “net start cntlm“, come in figura:

CNTLM - Avviare il servizio - net start cntlm

Fatto questo basterà far passare la comunicazione Dropbox (client / server) dal PC locale che sarà utilizzato come proxy. Andare nelle impostazioni del client (tasto destro sull’icona nella tray, Preferences) ed inserire manualmente le informazioni, come in figura (occhio alla porta se l’avete modificata nel file di configurazione di CNTLM):

Dropbox - Configurazione tramite CNTLM

Così facendo spunterà fuori l’icona attività di Dropbox e i vostri documenti ricominceranno a sincronizzarsi con il server e con le altre postazioni che sfruttano lo stesso account! Va da se che per poter bloccare il servizio basterà lanciare la stringa “net stop cntlm“, sempre utilizzando il prompt dei comandi:

CNTLM - Fermare il servizio - net stop cntlm

Mi pare non manchi proprio nulla a questo punto. Per dubbi e perplessità -come sempre- c’è l’area commenti.

Buon lavoro! :-)

No, non lo faccio apposta a parlare di sistemi *VNC ultimamente, è che capitano problemi quotidianamente e uso (ormai dovreste saperlo) il blog come blocco appunti per avere dei promemoria sempre disponibili un domani, nel caso in cui dovessi dimenticarmi la soluzione ai problemi risolti e necessitassi di perdere poco tempo per cercarla nuovamente sulla rete :P

Problematica: su una macchina è stato disinstallato RealVNC4 (apparentemente in modo corretto) ed è ora presente un UltraVNC che non funziona affatto bene, questo perché collegandosi alla macchina dovrebbe richiedere le credenziali di dominio (autenticazione tramite MS-LOGON quindi) ma in realtà propone il solo campo password, chiaramente lasciando “spiazzato” chi si collega e non sa che password inserire.

Dopo qualche test ho scoperto l’arcano mistero, più semplice di quello che avevo inizialmente previsto ma infame al punto giusto da non venire in mente immediatamente …

Nonostante l’installazione di UltraVNC fosse stata fatta correttamente e fosse presente “uvnc_server” tra i servizi della macchina, RealVNC4 aveva “lasciato a marcire” il suo winvnc.exe che prevaleva sull’ultimo arrivato. Risultato? La password richiesta era quella impostata nel vecchio VNC. Ecco la schermata dei servizi:

clicca sull’immagine per ingrandire

Dopo aver disabilitato il servizio tutto è tornato alla normalità. Ecco perché ho prontamente cercato la sintassi per eliminare un servizio direttamente da DOS, questo è il documento:

theeldergeek.com/add_a_service_in_windows_xp.htm

e questo il risultato dalla finestra DOS chiaramente lanciata in modalità amministrativa:

Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>sc delete WinVNC4
[SC] DeleteService SUCCESS

C:\WINDOWS\system32>

Visibile anche a video dato che viene immediatamente dato errore sul servizio che si stava osservando:

clicca sull’immagine per ingrandire

Potete ora tornare al vostro lavoro senza imprecare ulteriormente, il problema è risolto e non necessita di alcun riavvio per permettervi il collegamento ad UltraVNC Server :mrgreen:

Cheers.