有没有人能够使用 NTLM 与 SQUID 作为反向代理来获取 SharePoint?

发布于 2024-07-05 15:46:57 字数 129 浏览 11 评论 0原文

  1. 我们有一个 SQUID 反向代理和一个 MOSS 2007 门户。 所有站点都使用 NTLM。
  2. 我们无法让它与 SQUID 作为反向代理一起使用。

有什么想法从哪里开始吗?

  1. We have a SQUID reverse proxy and a MOSS 2007 portal. All sites are using NTLM.
  2. We cannot get it working with SQUID as a reverse proxy.

Any ideas where to start?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

此刻的回忆 2024-07-12 15:46:57

您可以切换到 Kerberos 而不是 NTLM 吗?

您遇到了“双跳问题”,即 NTLM 身份验证无法遍历代理或服务器。

在此位置概述了这一点:
http://blogs.msdn。 com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

在这里:
http://support.microsoft.com/default.aspx? scid=kb;en-us;329986

双跳问题
双跃点问题是当 ASPX 页面尝试使用位于不同于 IIS 服务器的服务器上的资源时。 在我们的例子中,第一个“跃点”是从 Web 浏览器客户端到 IIS ASPX 页面; 第二跳是到AD。 AD 需要一个主令牌。 因此,IIS 服务器必须知道客户端的密码才能将主令牌传递给 AD。 如果 IIS 服务器有辅助令牌,则使用 NTAUTHORITY\ANONYMOUS 帐户凭据。 此帐户不是域帐户,对 AD 的访问非常有限。

例如,当使用 NTLM 身份验证对 IIS ASPX 页面对浏览器客户端进行身份验证时,就会发生使用辅助令牌的双跃点。 在此示例中,由于使用 NTLM,IIS 服务器具有密码的哈希版本。 如果 IIS 转身并将凭据传递给 AD,则 IIS 将传递散列密码。 AD 无法验证密码,而是使用 NTAUTHORITY\ANONYMOUS LOGON 进行身份验证。

另一方面,如果您的浏览器客户端使用基本身份验证对 IIS ASPX 页面进行身份验证,则 IIS 服务器拥有客户端密码,并且可以创建主令牌以传递给 AD。 AD 可以验证密码并以域用户身份进行身份验证。
有关详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:
264921 (http://support.microsoft.com/kb/264921/) IIS 如何验证浏览器客户端

如果无法切换到 Kerberos,您是否研究过 Squid NTLM 项目?
http://devel.squid-cache.org/ntlm/

Can you switch to Kerberos instead of NTLM?

You're encountering the "Double-Hop Issue", whereby NTLM authentication cannot traverse proxies or servers.

This is outlined at this location:
http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

And over here:
http://support.microsoft.com/default.aspx?scid=kb;en-us;329986

Double-Hop Issue
The double-hop issue is when the ASPX page tries to use resources that are located on a server that is different from the IIS server. In our case, the first "hop" is from the web browser client to the IIS ASPX page; the second hop is to the AD. The AD requires a primary token. Therefore, the IIS server must know the password for the client to pass a primary token to the AD. If the IIS server has a secondary token, the NTAUTHORITY\ANONYMOUS account credentials are used. This account is not a domain account and has very limited access to the AD.

The double-hop using a secondary token occurs, for example, when the browser client is authenticated to the IIS ASPX page by using NTLM authentication. In this example, the IIS server has a hashed version of the password as a result of using NTLM. If IIS turns around and passes the credentials to the AD, IIS is passing a hashed password. The AD cannot verify the password and, instead, authenticates by using the NTAUTHORITY\ANONYMOUS LOGON.

On the other hand, if your browser client is authenticated to the IIS ASPX page by using Basic authentication, the IIS server has the client password and can make a primary token to pass to the AD. The AD can verify the password and does authenticate as the domain user.
For more information, click the following article number to view the article in the Microsoft Knowledge Base:
264921 (http://support.microsoft.com/kb/264921/) How IIS authenticates browser clients

If switching to Kerberos is not an option, have you investigated the Squid NTLM project?
http://devel.squid-cache.org/ntlm/

死开点丶别碍眼 2024-07-12 15:46:57

您可以使用 HAProxy 进行负载平衡

you can use HAProxy for load balancing

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文