NTLM HTTP 认证
TeamCity 的 NTLM HTTP 身份验证功能采用了集成的 Windows 身份验证,并允许在使用支持 NTLM 和协商 HTTP 认证的浏览器 / 客户端(包括 NTLMv1、NTLMv2 和 Kerberos 逻辑)时,实现对 TeamCity 网页界面的透明 / 单点登录。 当 TeamCity 服务器在 Windows OS 下运行时,支持身份验证。 一般来说,它允许用户使用他们的 NT 域帐户登录 TeamCity 服务器网页界面,无需手动输入凭据。
NTLM HTTP 模块配置在 管理 | 身份验证 页面中的 "HTTP authentication modules" 部分。
tip
有关直接在
<TeamCity 数据目录>/config/auth-config.xml中配置身份验证设置的信息,请参阅 插件文档。
一旦 TeamCity 用户名与 Windows 域用户名相同,或者在用户配置文件中指定了 Windows 域用户名,您就可以使用任何登录模块启用 NTLM 登录。
note
仅支持安装在 Windows 机器上的 TeamCity 服务器的 NTLM HTTP 身份验证。 如果您在其他平台下需要它,请随时 联系我们 ,并详述原因。
进行身份验证的用户应该使用要用于身份验证的域帐户登录到客户端工作站。
用户的网络浏览器应支持 NTLM HTTP 认证(TeamCity 服务器的 URL 应为“受信任的站点”,等等)
在配置了 NTLM HTTP 认证模块之后,用户将在登录屏幕上看到一个链接,点击该链接后,浏览器将被强制发送域认证数据。
您可以通过在 "强制协议" 设置中指定协议,来强制服务器公布 NTLM HTTP 认证。 这将使服务器请求对任何向 TeamCity 网络用户界面的请求进行域验证。 如果用户的浏览器在域环境中运行,当前用户将会自动登录。 否则,浏览器将弹出一个对话框,要求输入域凭据。
如果没有这个属性,NTLM HTTP 身份验证只有在客户端明确启动它时(例如,点击登录页面上的 "Login using NT domain account" 链接)才会工作,并且在通常情况下,未经认证的用户将被简单地重定向到 TeamCity 登录页面。
默认情况下,TeamCity 服务器只对 Windows 用户强制执行 NTLM HTTP 认证。 如果您想为所有用户启用它,请设置以下 内部属性:
teamcity.ntlm.ignore.user.agent=true为了强制某个连接进行 NTLM 认证,向 <您的 TeamCity 服务器 URL>/ntlmLogin.html 发送请求,TeamCity 将会启动 NTLM 认证且将您重定向至概览页面。 对于这种情况,无需设置 forceProtocols 属性。
在使用 LDAP 验证时,可以拒绝一些用户的登录。 NTLM HTTP身份验证模块(以及Windows域凭据认证模块)并未具备此功能,因此,一些用户可能会使用Windows域帐户进行登录,即使他们未被允许通过LDAP进行登录。 为了解决这个问题,您应启用相应认证模块的 允许在首次登录时创建新用户 选项。
设置此属性后,用户只有在已经拥有 TeamCity 账号(即他/她已经通过 LDAP 登录过 TeamCity)的情况下,才能使用其 NT 域账号登录。此 TeamCity 用户名应与 Windows 域用户名或用户个人资料页面上指定的自定义 NT 域用户名相等。
根据您的环境,您可能需要配置您的客户端以使 NTLM 认证正常工作。
打开 工具 | Internet 选项。
在 高级 选项卡上,确保选中 安全性 | 启用集成 Windows 身份验证 选项。
在 安全性 选项卡上,选择 本地 Intranet | 站点 | 高级 并将您的 TeamCity 服务器 URL 添加到列表中。
在 Windows 上,Chrome 通常会使用 IE 的行为,查看更多信息 这里。
在浏览器的地址栏中输入
about:config。将您的 TeamCity 服务器 URL 添加到 network.automatic-ntlm-auth.trusted-uris 属性中。