Hat jemand in der Lage gewesen als Reverse Proxy mit SQUID Arbeitssharepoint mit NTLM zu bekommen?
-
02-07-2019 - |
Frage
- Wir haben einen SQUID Reverse-Proxy und ein MOSS 2007-Portal. Alle Standorte sind mit NTLM.
- Wir können es mit SQUID als Reverse Proxy nicht bekommen zu arbeiten.
Irgendwelche Ideen, wo Sie anfangen sollen?
Lösung
Können Sie Kerberos-Schalter anstelle von NTLM?
Sie die Begegnung mit dem „Double-Hop-Problem“, wobei die NTLM-Authentifizierung nicht Proxys oder Server durchqueren kann.
Dies wird an dieser Stelle beschrieben: http: //blogs.msdn. com / knowledgecast / Archiv / 2007/01/31 / the-double-Hop-problem.aspx
Und hier: http://support.microsoft.com/default.aspx? scid = kb; en-us; 329986
Double-Hop-Ausgabe Das Double-Hop-Problem ist, wenn die ASPX-Seite versucht, Ressourcen zu nutzen, die auf einem Server befinden, das vom IIS-Server unterscheidet. In unserem Fall ist die erste „Hop“ von dem Web-Browser-Client auf die IIS-ASPX-Seite; der zweite Hop ist mit dem AD. Der AD erfordert ein primäres Token. Daher muss der IIS-Server das Passwort kennen, der Client eine primären Token an den AD zu übergeben. Wenn der IIS-Server ein sekundäres Token hat, werden die NTAUTHORITY \ ANONYMOUS Konto-Anmeldeinformationen verwendet. Dieses Konto ist kein Domänenkonto und hat nur sehr begrenzten Zugang zum AD.
Der Double-Hop ein sekundäres Token tritt zum Beispiel auf, wenn der Browser-Client unter Verwendung von NTLM-Authentifizierung auf die IIS-ASPX-Seite authentifiziert wird. In diesem Beispiel hat der IIS-Server eine Hash-Version des Passworts als Folge der NTLM verwenden. Wenn IIS dreht sich um und übergibt die Anmeldeinformationen an den AD, ist vorbei IIS ein Hash-Passwort. Die AD kann das Kennwort nicht überprüfen und stattdessen authentifiziert durch die NTAUTHORITY \ ANONYMOUS-Anmeldung verwendet wird.
Auf der anderen Seite, wenn Ihr Browser-Client auf die IIS-ASPX-Seite mithilfe der Standardauthentifizierung authentifiziert ist, hat der IIS-Server das Passwort-Client und kann eine primären Token an den AD Pass. Die AD kann das Passwort verifiziert und als Domäne-Benutzer authentifiziert. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base: 264921 ( http://support.microsoft.com/kb/264921/ ) Wie IIS authentisiert Browser-Clients
Wenn Kerberos Schalt ist keine Option, haben Sie das Squid NTLM-Projekt untersucht? http://devel.squid-cache.org/ntlm/
Andere Tipps
Sie können HAProxy für das Load-Balancing