Hat jemand in der Lage gewesen als Reverse Proxy mit SQUID Arbeitssharepoint mit NTLM zu bekommen?

StackOverflow https://stackoverflow.com/questions/126288

  •  02-07-2019
  •  | 
  •  

Frage

  1. Wir haben einen SQUID Reverse-Proxy und ein MOSS 2007-Portal. Alle Standorte sind mit NTLM.
  2. Wir können es mit SQUID als Reverse Proxy nicht bekommen zu arbeiten.

Irgendwelche Ideen, wo Sie anfangen sollen?

War es hilfreich?

Lösung

Können Sie Kerberos-Schalter anstelle von NTLM?

Sie die Begegnung mit dem „Double-Hop-Problem“, wobei die NTLM-Authentifizierung nicht Proxys oder Server durchqueren kann.

Dies wird an dieser Stelle beschrieben: http: //blogs.msdn. com / knowledgecast / Archiv / 2007/01/31 / the-double-Hop-problem.aspx

Und hier: http://support.microsoft.com/default.aspx? scid = kb; en-us; 329986

  

Double-Hop-Ausgabe   Das Double-Hop-Problem ist, wenn die ASPX-Seite versucht, Ressourcen zu nutzen, die auf einem Server befinden, das vom IIS-Server unterscheidet. In unserem Fall ist die erste „Hop“ von dem Web-Browser-Client auf die IIS-ASPX-Seite; der zweite Hop ist mit dem AD. Der AD erfordert ein primäres Token. Daher muss der IIS-Server das Passwort kennen, der Client eine primären Token an den AD zu übergeben. Wenn der IIS-Server ein sekundäres Token hat, werden die NTAUTHORITY \ ANONYMOUS Konto-Anmeldeinformationen verwendet. Dieses Konto ist kein Domänenkonto und hat nur sehr begrenzten Zugang zum AD.

     

Der Double-Hop ein sekundäres Token tritt zum Beispiel auf, wenn der Browser-Client unter Verwendung von NTLM-Authentifizierung auf die IIS-ASPX-Seite authentifiziert wird. In diesem Beispiel hat der IIS-Server eine Hash-Version des Passworts als Folge der NTLM verwenden. Wenn IIS dreht sich um und übergibt die Anmeldeinformationen an den AD, ist vorbei IIS ein Hash-Passwort. Die AD kann das Kennwort nicht überprüfen und stattdessen authentifiziert durch die NTAUTHORITY \ ANONYMOUS-Anmeldung verwendet wird.

     

Auf der anderen Seite, wenn Ihr Browser-Client auf die IIS-ASPX-Seite mithilfe der Standardauthentifizierung authentifiziert ist, hat der IIS-Server das Passwort-Client und kann eine primären Token an den AD Pass. Die AD kann das Passwort verifiziert und als Domäne-Benutzer authentifiziert.   Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:   264921 ( http://support.microsoft.com/kb/264921/ ) Wie IIS authentisiert Browser-Clients

Wenn Kerberos Schalt ist keine Option, haben Sie das Squid NTLM-Projekt untersucht? http://devel.squid-cache.org/ntlm/

Andere Tipps

Sie können HAProxy für das Load-Balancing

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top