システムサービスで使用されるように、macOSにプロキシ資格情報を保存する方法は？

企業のNTLMプロキシの背後でmacOS Sierra 10.12.6を使用しています。私のブラウザと他のアプリケーションは、システムプロキシ設定を使用しています。この設定では、プロキシで認証するためにユーザー名とパスワードを保存しています。これは正常に機能しています。

インターネット上の情報にアクセスしようとするシステムサービスには、ユーザーアカウントのプロキシ資格情報へのアクセス権がないように見える永続的な問題があります。数分ごとに次のポップアップが表示され、何をしても（システム環境設定で資格情報を更新するか、[今すぐしない]を押すと）ポップアップが何度も表示されます。

ポップアップのテキストは次のとおりです。

プロキシ認証が必要

システム環境設定でHTTPプロキシhttp://xxx.xxx.xxx.xxx:yyyyのパスワードを入力します。

このポップアップが表示されないようにするにはどうすればよいですか？

私が今までに試したこと：

• システム環境設定で資格情報を更新しました（ネットワーク>詳細設定>プロキシ）
• ログインキーチェーンからシステムキーチェーンに資格情報エントリをコピーしました。ブログポストまたはフォーラムの質問で推奨事項を読んだためです。

これらはどれも機能せず、数分ごとにこのポップアップが表示されます。また、表示されるパターンはないようです。

更新1：

上記のダイアログの[ システム環境設定]ボタンをクリックして資格情報を入力すると（たとえば、Safariを開いてロケーションボックスにURLを入力することで強制できます）、ログインキーチェーンに2つのレコードが作成されます。コンテンツ：

@ xxx.xxx.xxx.xxx（ユーザー名）今日のインターネットパスワード09:10-ログイン

両方のレコードは、同じ名前と属性で同一に見えます。どちらも、これを要求したアプリケーションがAuthBrokerAgent次のとおりであることを示しています。

アップデート2：

私もこの提案を試しました：https : //discussions.apple.com/message/23848961#message23848961、ログインキーチェーンからシステムキーチェーンに認証エントリをコピーしてから再起動しますが、それは修正しませんでした。実際、これを入力すると、恐ろしい「プロキシ認証が必要です」ボックスが再び表示されました...

アップデート3：

Wiresharkを使用して、マシンとプロキシ間のトラフィックを確認しました。

• プロキシは407 Proxy Authentication Requiredand Proxy-Authenticate: NTLMで返されます。これは、プロキシがNTLMを使用しているため、私の期待に沿ったものです。
• トラフィック（iCloudなど）で見たいくつかの例は、NTLMSSP_NEGOTIATE応答を送り返します。
• プロキシがNTLMSSP_CHALLENGEリクエストとともに戻ってきます
• サービスはNTLMSSP_AUTH、どこかから取得したはずのユーザー名で応答します。
• プロキシは最終的に応答します 200 Connection established

私にとって、これは、システムがどこかからユーザー名とプロキシを取得できる場合、一般にプロキシ認証が正常に機能することを示しています。すべてのシステムサービスが見つけられるように、ユーザー名/パスワードをどのように/どこに保存するかという疑問が残ります。一部のシステムサービス（私が推測する）には、現在保存しているプロキシ資格情報を見つける手段がありません。

これは、システム/ネットワーク管理者が、基本認証スキーム以上のものを必要とするプロキシ強制認証を構成している場合に予想される動作です。

Microsoftのページから認証の処理の下でHTTP認証の概要セクション：

認証スキームには、2つの一般的なタイプがあります。

• ユーザー名とパスワードがクリアテキストでサーバーに送信される基本認証スキーム。
• チャレンジレスポンススキーム。チャレンジレスポンス形式が可能です。

チャレンジ/レスポンス方式により、より安全な認証が可能になります。要求にチャレンジ/レスポンス方式を使用した認証が必要な場合、適切なステータスコードと認証ヘッダーがクライアントに返されます。クライアントは、ネゴシエートでリクエストを再送信する必要があります。サーバーはチャレンジとともに適切なステータスコードを返し、クライアントは要求されたサービスを取得するために適切な応答で要求を再送信する必要があります。

使用しているプロキシが基本認証スキームを利用している場合、キーチェーンに保存されているもので認証に十分です。場合は、チャレンジ・レスポンスのこのケースで- -パスワードを再入力-スキームが使用されている、あなたが最も可能性の高い詳細情報を提供する必要があります認証するために、そして、これはあなたが見ているものです。

NTLM認証プロセス

これは単に資格情報を保存するだけではありません。クライアントは、サーバーから生成された要求に基づいて応答を生成する必要があります。以下は、Microsoftのドキュメントごとに、クライアント/サーバーの観点からの認証プロセスの非常に簡潔な説明です。

• クライアントはユーザー名をサーバーに（プレーンテキストで）送信します。
• サーバーは、チャレンジまたはノンスと呼ばれる16バイトの乱数を生成し、それをクライアントに送信します。
• クライアントは、このチャレンジをユーザーのパスワードのハッシュで暗号化し、結果をサーバーに返します。これは応答と呼ばれます。

• サーバーは、次の3つのアイテムをドメインコントローラーに送信します。

  • ユーザー名
  • クライアントに送信されたチャレンジ
  • クライアントから受信した応答

• DCは、暗号化されたチャレンジとレスポンスを検証します。認証されると、アクセスが許可されます。

上記の3番目のステップでは、クライアントはサーバーから取得した乱数をハッシュする必要があります。 これは本質的に、macOSクライアントに保存するものがないことを意味します。

少なくとも、Active Directoryドメインに参加する必要があります。つまり、特定の組織に対してKerberosサポートを有効にして適切に構成する必要があります。

上記でリンクした「認証の処理」ドキュメントには重要なフレーズがあります。

認証が必要な場合は、HttpOpenRequestの呼び出しでINTERNET_FLAG_KEEP_CONNECTIONフラグを使用する必要があります。INTERNET_FLAG_KEEP_CONNECTIONフラグは、認証プロセスの完了中に接続を維持するために、NTLMおよびその他のタイプの認証に必要です。接続が維持されない場合、認証プロセスはプロキシまたはサーバーで再起動する必要があります。

^{（エンファシス鉱山）}

表示される症状に基づいて、組織はプロキシへの認証を必要としているようです。ユーザー名/パスワードは有効ですが、認証を（再）要求し続けます。これはおそらく、接続状態が失われ、これを繰り返し行う必要があるためです。それはさらにポイントを強調します...

この問題を解決するには、ネットワーク管理者に連絡して認証の問題を支援する必要があります。

キーチェーンアプリの変更による設定の変更

から次のコマンドを実行しますConsole.app。

networksetup -setwebproxy "Your Interface Name" "web proxy hostname or IP" 
8080 on username password

キーチェーンアクセスについて尋ねられます。レコードをキーチェーンに追加することに同意すると、キーチェーンが開いているときは常にパスワードなしでアクセスできます。