有没有人能够使用 NTLM 与 SQUID 作为反向代理来获取 SharePoint？

Question

1. 我们有一个 SQUID 反向代理和一个 MOSS 2007 门户。 所有站点都使用 NTLM。
2. 我们无法让它与 SQUID 作为反向代理一起使用。

有什么想法从哪里开始吗？

Answer 1

您可以切换到 Kerberos 而不是 NTLM 吗？

您遇到了“双跳问题”，即 NTLM 身份验证无法遍历代理或服务器。

在此位置概述了这一点：
http://blogs.msdn。 com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

在这里：
http://support.microsoft.com/default.aspx? scid=kb;en-us;329986

双跳问题
双跃点问题是当 ASPX 页面尝试使用位于不同于 IIS 服务器的服务器上的资源时。 在我们的例子中，第一个“跃点”是从 Web 浏览器客户端到 IIS ASPX 页面； 第二跳是到AD。 AD 需要一个主令牌。 因此，IIS 服务器必须知道客户端的密码才能将主令牌传递给 AD。 如果 IIS 服务器有辅助令牌，则使用 NTAUTHORITY\ANONYMOUS 帐户凭据。 此帐户不是域帐户，对 AD 的访问非常有限。

例如，当使用 NTLM 身份验证对 IIS ASPX 页面对浏览器客户端进行身份验证时，就会发生使用辅助令牌的双跃点。 在此示例中，由于使用 NTLM，IIS 服务器具有密码的哈希版本。 如果 IIS 转身并将凭据传递给 AD，则 IIS 将传递散列密码。 AD 无法验证密码，而是使用 NTAUTHORITY\ANONYMOUS LOGON 进行身份验证。

另一方面，如果您的浏览器客户端使用基本身份验证对 IIS ASPX 页面进行身份验证，则 IIS 服务器拥有客户端密码，并且可以创建主令牌以传递给 AD。 AD 可以验证密码并以域用户身份进行身份验证。
有关详细信息，请单击以下文章编号以查看 Microsoft 知识库中的文章：
264921 (http://support.microsoft.com/kb/264921/) IIS 如何验证浏览器客户端

如果无法切换到 Kerberos，您是否研究过 Squid NTLM 项目？
http://devel.squid-cache.org/ntlm/

Answer 2

您可以使用 HAProxy 进行负载平衡