¿Cómo almacenar credenciales de proxy en macOS para que sean utilizadas por los servicios del sistema?

Estoy usando macOS Sierra 10.12.6 detrás de un proxy corporativo NTLM. Mi navegador y otras aplicaciones están usando la configuración del proxy del sistema, en la que he guardado mi nombre de usuario y contraseña para autenticarme con el proxy. Esto está funcionando bien.

Hay un problema persistente con los servicios del sistema que intentan acceder a información en Internet y no ven el acceso a las credenciales de proxy en mi cuenta de usuario. Veo la siguiente ventana emergente cada dos minutos, y haga lo que haga (actualizar mis credenciales en Preferencias del sistema o presionar "No ahora"), la ventana emergente sigue apareciendo una y otra vez:

El texto en la ventana emergente dice:

Se requiere autenticación proxy

Ingrese la contraseña para el proxy HTTP http://xxx.xxx.xxx.xxx:yyyy en Preferencias del Sistema.

¿Qué puedo hacer para evitar que aparezca esta ventana emergente?

Cosas que he probado hasta ahora:

• Actualicé mis credenciales en Preferencias del sistema ( Red> Avanzado> Proxy )
• Copié las entradas de credenciales de mi llavero de inicio de sesión en el llavero del sistema , ya que leí una recomendación para eso en una publicación de blog o pregunta del foro.

Ninguno de estos ha funcionado, aparece esta ventana emergente cada dos minutos, y no parece haber un patrón cuando aparece.

Actualización 1:

Tan pronto como ingrese mis credenciales haciendo clic en el botón Preferencias del sistema en el cuadro de diálogo anterior (que puedo forzar, por ejemplo, abriendo Safari y comenzando a escribir una URL en el cuadro de ubicación), se crean dos registros en el llavero de inicio de sesión , ambos con idéntico contenido:

@ xxx.xxx.xxx.xxx (nombre de usuario) Contraseña de Internet hoy, 09:10 - inicio de sesión

Ambos registros parecen idénticos, con el mismo nombre y atributos. Ambos muestran que la aplicación que solicitó esto es AuthBrokerAgent:

Actualización 2:

También probé esta sugerencia: https://discussions.apple.com/message/23848961#message23848961 , copiando las entradas de autenticación del llavero de inicio de sesión en el llavero del sistema y luego reiniciando, pero no lo solucionó. De hecho, el temido cuadro "Se requiere autenticación de proxy" apareció de nuevo al escribir esto ...

Actualización 3:

He utilizado Wireshark para observar el tráfico entre mi máquina y nuestro proxy:

• El proxy regresa con una 407 Proxy Authentication Requiredy Proxy-Authenticate: NTLM, que está en línea con mis expectativas, ya que nuestro proxy usa NTLM.
• Algunos ejemplos que he visto en el tráfico (por ejemplo, iCloud) luego envían una NTLMSSP_NEGOTIATErespuesta.
• El proxy vuelve con una NTLMSSP_CHALLENGEsolicitud
• El servicio responde con NTLMSSP_AUTHy mi nombre de usuario, que debe haber obtenido de alguna parte.
• El proxy finalmente responde con un 200 Connection established

Para mí, esto muestra que, en general, la autenticación de proxy funciona bien, si el sistema puede obtener el nombre de usuario y el proxy de alguna parte. La pregunta sigue siendo cómo / dónde almacenar el nombre de usuario / contraseña para que todos los servicios del sistema puedan encontrarlo. Algunos servicios del sistema (supongo) no tienen ningún medio para encontrar las credenciales de proxy donde las estoy almacenando actualmente.

Este es el comportamiento más probable esperado si el administrador de su sistema / red ha configurado la autenticación de fuerza de proxy que requiere más que un simple esquema de autenticación básico.

Desde la página de Microsoft gestión de la autenticación en virtud de Acerca de la autenticación HTTP sección:

Hay dos tipos generales de esquemas de autenticación:

• Esquema básico de autenticación, donde el nombre de usuario y la contraseña se envían en texto sin formato al servidor.
• Esquemas de desafío-respuesta, que permiten un formato de desafío-respuesta.

Los esquemas de desafío-respuesta permiten una autenticación más segura. Si una solicitud requiere autenticación utilizando un esquema de desafío-respuesta, el código de estado apropiado y los encabezados de autenticación se devuelven al cliente. El cliente debe reenviar la solicitud con una negociación. El servidor devolvería un código de estado apropiado con un desafío, y el cliente requeriría reenviar la solicitud con la respuesta adecuada para obtener el servicio solicitado.

Si el proxy que está utilizando utiliza el esquema de autenticación básico , lo que esté guardado en su llavero será suficiente para autenticarlo. Si se utiliza un esquema de respuesta de desafío , lo más probable es que tenga que proporcionar más información, en este caso, volver a ingresar su contraseña para autenticarse; y esto es lo que estás viendo

Proceso de autenticación NTLM

Esto es mucho más que solo almacenar credenciales. El cliente debe generar una respuesta basada en una solicitud generada por el servidor. A continuación se incluye una descripción resumida del proceso de autenticación desde la perspectiva del cliente / servidor según la documentación de Microsoft

• El cliente envía el nombre de usuario al servidor (en texto sin formato).
• El servidor genera un número aleatorio de 16 bytes, llamado desafío o nonce, y lo envía al cliente.
• El cliente cifra este desafío con el hash de la contraseña del usuario y devuelve el resultado al servidor. Esto se llama la respuesta.

• El servidor envía los siguientes tres elementos al controlador de dominio:

  • Nombre de usuario
  • Desafío enviado al cliente
  • Respuesta recibida del cliente

• El DC valida el desafío y la respuesta encriptados. Si se autentica, se otorga acceso.

El tercer paso anterior requiere que el cliente extraiga un número aleatorio que obtuvo del servidor. Esto significa inherentemente que no hay nada que almacenar en su cliente macOS.

Como mínimo, debe unirse al dominio de Active Directory. Esto significa que necesita el soporte de Kerberos habilitado y configurado correctamente para su organización específica.

Hay una frase clave en el documento "Manejo de autenticación" que he vinculado anteriormente:

Si se requiere autenticación, el indicador INTERNET_FLAG_KEEP_CONNECTION debe usarse en la llamada a HttpOpenRequest. El indicador INTERNET_FLAG_KEEP_CONNECTION se requiere para NTLM y otros tipos de autenticación para mantener la conexión mientras se completa el proceso de autenticación. Si no se mantiene la conexión, el proceso de autenticación debe reiniciarse con el proxy o el servidor.

^{(El énfasis es mío)}

Según los síntomas que se presentan, parece que su organización requiere autenticación para el proxy; su nombre de usuario / contraseña son válidos, pero sigue (re) solicitando autenticación. Probablemente sea porque está perdiendo el estado de conexión y tiene que volver a hacer esto. Lo que enfatiza aún más el punto ...

Para resolver este problema, deberá comunicarse con el administrador de su red para que lo ayude con los problemas de autenticación.

mediante la autenticación de la configuración de modificación de la aplicación de cadena clave

Ejecute el siguiente comando desde Console.app:

networksetup -setwebproxy "Your Interface Name" "web proxy hostname or IP" 
8080 on username password

Se le preguntará sobre el acceso de llavero. Acepta agregar el registro al llavero y tendrás acceso sin contraseña todo el tiempo cuando el llavero esté abierto.