Кто-нибудь смог заставить SharePoint, используя NTLM, работать со SQUID в качестве обратного прокси?

StackOverflow https://stackoverflow.com/questions/126288

  •  02-07-2019
  •  | 
  •  

Вопрос

  1. У нас есть обратный прокси-сервер SQUID и портал MOSS 2007.Все сайты используют NTLM.
  2. Мы не можем заставить его работать с SQUID в качестве обратного прокси-сервера.

Есть идеи, с чего начать?

Это было полезно?

Решение

Можете ли вы переключиться на Kerberos вместо NTLM?

Вы сталкиваетесь с "Проблемой двойного перехода", из-за которой проверка подлинности NTLM не может проходить через прокси-серверы.

Это описано в этом месте:http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

И вот здесь:http://support.microsoft.com/default.aspx?scid=kb ;ru-США;329986

Проблема с двойным переходом Проблема двойного перехода возникает, когда страница ASPX пытается использовать ресурсы, расположенные на сервере, отличном от сервера IIS.В нашем случае первый "переход" осуществляется из клиента веб-браузера на страницу IIS ASPX;второй переход - к ОБЪЯВЛЕНИЮ.Для рекламы требуется основной токен.Следовательно, сервер IIS должен знать пароль, чтобы клиент мог передать основной токен AD.Если сервер IIS имеет вторичный токен, используются учетные данные NTAUTHORITY\АНОНИМНОЙ учетной записи.Эта учетная запись не является доменной и имеет очень ограниченный доступ к объявлению.

Двойной переход с использованием вторичного токена происходит, например, когда клиент браузера аутентифицируется на странице IIS ASPX с помощью аутентификации NTLM.В этом примере сервер IIS имеет хэшированную версию пароля в результате использования NTLM.Если IIS разворачивается и передает учетные данные AD, IIS передает хэшированный пароль.AD не может проверить пароль и вместо этого проходит аутентификацию с помощью NTAUTHORITY \ АНОНИМНЫЙ ВХОД в систему.

С другой стороны, если клиент вашего браузера аутентифицирован на странице IIS ASPX с помощью базовой аутентификации, сервер IIS имеет пароль клиента и может создать основной токен для передачи AD.AD может подтвердить пароль и проходит аутентификацию как пользователь домена.Для получения дополнительной информации щелкните следующий номер статьи, чтобы просмотреть ее в базе знаний Майкрософт:264921 (http://support.microsoft.com/kb/264921/) Как IIS проверяет подлинность клиентов браузера

Если переход на Kerberos невозможен, исследовали ли вы проект Squid NTLM?http://devel.squid-cache.org/ntlm/

Другие советы

вы можете использовать HAProxy для балансировки нагрузки

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top