¿Alguien ha podido hacer que SharePoint utilice NTLM y funcione con SQUID como proxy inverso?

StackOverflow https://stackoverflow.com/questions/126288

  •  02-07-2019
  •  | 
  •  

Pregunta

  1. Disponemos de un proxy inverso SQUID y un portal MOSS 2007.Todos los sitios utilizan NTLM.
  2. No podemos hacerlo funcionar con SQUID como proxy inverso.

¿Alguna idea de por dónde empezar?

¿Fue útil?

Solución

¿Puedes cambiar a Kerberos en lugar de NTLM?

Te encuentras con el "Problema de doble salto", por el cual la autenticación NTLM no puede atravesar servidores proxy o servidores.

Esto se describe en esta ubicación:http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

Y por aquí:http://support.microsoft.com/default.aspx?scid=kb;en-us;329986

Problema de doble salto El problema de doble salto es cuando la página ASPX intenta usar recursos ubicados en un servidor que sea diferente del servidor IIS.En nuestro caso, el primer "salto" es desde el cliente del navegador web a la página IIS ASPX;el segundo salto es al AD.El AD requiere un token primario.Por lo tanto, el servidor IIS debe conocer la contraseña del cliente para pasar un token principal al AD.Si el servidor IIS tiene un token secundario, se utilizan las credenciales de la cuenta NTAUTHORITY\ANONYMOUS.Esta cuenta no es una cuenta de dominio y tiene acceso muy limitado al AD.

El doble salto que utiliza un token secundario se produce, por ejemplo, cuando el cliente del navegador se autentica en la página IIS ASPX mediante la autenticación NTLM.En este ejemplo, el servidor IIS tiene una versión hash de la contraseña como resultado del uso de NTLM.Si IIS se da vuelta y pasa las credenciales al AD, IIS está pasando una contraseña hash.El AD no puede verificar la contraseña y, en su lugar, se autentica mediante el inicio de sesión NTAUTHORITY\ANONYMOUS.

Por otro lado, si el cliente de su navegador está autenticado en la página IIS ASPX mediante la autenticación básica, el servidor IIS tiene la contraseña del cliente y puede crear un token principal para pasar al AD.El AD puede verificar la contraseña y se autentica como usuario del dominio.Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:264921 (http://support.microsoft.com/kb/264921/) Cómo autentica IIS los clientes del navegador

Si cambiar a Kerberos no es una opción, ¿ha investigado el proyecto Squid NTLM?http://devel.squid-cache.org/ntlm/

Otros consejos

puedes usar HAProxy para equilibrar la carga

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top