Qualcuno è stato in grado di far funzionare SharePoint usando NTLM con SQUID come proxy inverso?

StackOverflow https://stackoverflow.com/questions/126288

  •  02-07-2019
  •  | 
  •  

Domanda

  1. Abbiamo un proxy inverso SQUID e un portale MOSS 2007. Tutti i siti utilizzano NTLM.
  2. Non possiamo farlo funzionare con SQUID come proxy inverso.

Qualche idea da dove cominciare?

È stato utile?

Soluzione

Puoi passare a Kerberos anziché a NTLM?

Stai riscontrando il "problema di doppio salto", per cui l'autenticazione NTLM non può attraversare proxy o server.

Questo è delineato in questa posizione: http: //blogs.msdn. com / knowledgecast / archive / 2007/01/31 / il-doppio-hop-problem.aspx

E qui: http://support.microsoft.com/default.aspx? SCID = kb; en-us; 329.986

  

Problema a doppio hop   Il problema del doppio hop è quando la pagina ASPX tenta di utilizzare risorse che si trovano su un server diverso dal server IIS. Nel nostro caso, il primo "hop" è dal client del browser Web alla pagina ASPX di IIS; il secondo hop è per l'AD. L'AD richiede un token primario. Pertanto, il server IIS deve conoscere la password affinché il client passi un token primario all'AD. Se il server IIS ha un token secondario, vengono utilizzate le credenziali dell'account NTAUTHORITY \ ANONYMOUS. Questo account non è un account di dominio e ha un accesso molto limitato all'AD.

     

Il doppio hop utilizzando un token secondario si verifica, ad esempio, quando il client del browser viene autenticato nella pagina ASPX IIS utilizzando l'autenticazione NTLM. In questo esempio, il server IIS ha una versione con hash della password come risultato dell'utilizzo di NTLM. Se IIS si gira e passa le credenziali all'AD, IIS passa una password con hash. L'AD non può verificare la password e, invece, esegue l'autenticazione utilizzando NTAUTHORITY \ ANONYMOUS LOGON.

     

D'altra parte, se il client del browser è autenticato nella pagina ASPX di IIS utilizzando l'autenticazione di base, il server IIS dispone della password del client e può creare un token primario da passare all'AD. L'AD può verificare la password e si autentica come utente del dominio.   Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo del Microsoft Knowledge Base:   264921 ( http://support.microsoft.com/kb/264921/ ) Come IIS autentica i client browser

Se il passaggio a Kerberos non è un'opzione, hai studiato il progetto Squid NTLM? http://devel.squid-cache.org/ntlm/

Altri suggerimenti

puoi usare HAProxy per il bilanciamento del carico

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top