如何通过反向代理启用Windows身份验证？

发布于 2024-10-06 18:07:06 字数 696 浏览 6 评论 0原文

抱歉，如果它是重复的，因为我不是安全专家，也不是网络专家，我可能错过了查找信息的正确术语。

我正在开发一个应用程序来拦截和修改 Web 浏览器和 Web 服务器之间的 HTTP 请求和响应（请参阅如何在服务器端拦截并修改HTTP响应？为后台）。我决定在 ASP.Net 中实现反向代理，它将客户端请求转发到后端 HTTP 服务器，将响应中的链接和标头转换为正确的“代理”URL，并在提取相关信息后将响应发送到客户端从响应中。

除了身份验证部分之外，它按预期工作：Web 服务器默认使用 NTLM 身份验证，仅通过反向代理转发请求和响应不允许用户在远程应用程序上进行身份验证。反向代理和 Web 应用程序位于同一台物理计算机上，并在同一 IIS 服务器（Windows Server 2008/IIS 7，如果有的话）中执行。我尝试在反向代理应用程序上启用和禁用身份验证，但没有成功。

我查了相关资料，好像和“双跳问题”有关，不太明白。我的问题是：有没有办法使用 NTLM 通过反向代理对远程应用程序上的用户进行身份验证？如果没有，我可以使用其他身份验证方法吗？

即使您没有解决我的问题的方法，只要向我指出相关信息来帮助我摆脱困惑，那就太好了！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

允世 2024-10-13 18:07:06

我发现了问题所在（它是 NTLM）：为了让浏览器询问用户其凭据，响应必须具有 401 状态代码。我的反向代理将响应转发到浏览器，因此 IIS 添加了标准 HTML 代码来解释无法访问所请求的页面，从而防止浏览器询问凭据。
通过删除状态码为 401 时的响应内容解决了该问题。

尽管我对几年前回答这个问题的人表示应有的尊重，但我必须承认这显然是错误的。当状态码为 401 时删除响应内容后，问题确实得到了解决，但与最初的问题无关。
事实上，Windows 身份验证是为了对本地 Windows 网络上的人员进行身份验证，其中不存在甚至不需要代理服务器。
NTLM 身份验证的主要问题是该协议不验证 HTTP 会话，而是验证底层 TCP 连接，据我所知，无法从 ASP 代码访问它。
我尝试过的每个代理服务器都破坏了 NTLM 身份验证。
Windows 身份验证对于用户来说很方便，因为他不需要在 Intranet 中的任何应用程序中输入密码，这对安全人员来说是可怕的，因为如果站点域受信任，则无需提示即可自动登录。 IE，对于网络管理员来说是令人震惊的，因为它将应用程序、传输和网络层融合到一些“windows 杯子球”中，而不仅仅是普通的 http 流量。

回复收藏 0 原文

回忆躺在深渊里 2024-10-13 18:07:06

如果 TCP 数据包未完全按照反向代理收到的方式转发，NTLM 将无法工作 >他们。这就是许多反向代理不支持 NTLM 身份验证的原因。（如 nginx）>它们正确转发 HTTP 请求，但不转发 TCP 数据包。

Nginx 具有与 NTLM 身份验证配合使用的功能。需要启用 Keepalive，该功能只能通过 http_upstream_module 来使用。此外，在位置块中，您需要指定您将使用 HTTP/1.1，并且应为每个代理请求清除“Connection”标头字段。 Nginx 配置应该看起来像这样：

upstream http_backend {
    server 1.1.1.1:80;

    keepalive 16;
}

server {
...

location / {
       proxy_pass http://http_backend/;
       proxy_http_version 1.1;
       proxy_set_header Connection "";
    ...
    }
 }

我为这个问题绞尽脑汁有一段时间了，但上面的内容对我有用。请注意，如果您需要代理 HTTPS 流量，则需要单独的上游块。为了澄清一点，“keepalive 16;”指定您的代理允许保留的与上游的同时连接数。根据网站上预计的同时访问者数量调整数量。

NTLM won't work if the TCP packets are not forwarded exactly as the reverse proxy received > them. And that's why many reverse proxy doesn't work with NTLM authentication. (like nginx) > They forward HTTP requests correcty but not the TCP packets.

Nginx has the functionality to work with NTLM authentication. Keepalive needs to be enabled which is only available trough the http_upstream_module. Additionally in the location block you need to specify that you will be using HTTP/1.1 and that the "Connection" header field should be cleared for each proxied request. Nginx config should look something like:

upstream http_backend {
    server 1.1.1.1:80;

    keepalive 16;
}

server {
...

location / {
       proxy_pass http://http_backend/;
       proxy_http_version 1.1;
       proxy_set_header Connection "";
    ...
    }
 }

I scratched my head for quite some time with this issue but the above works for me. Note that if you need to proxy HTTPS traffic, a separate upstream block is deemed necessary. To clarify a bit more, "keepalive 16;" specifies the number of simultaneous connections to the upstream your proxy is allowed to keep. Adjust the number as per the expected number of simultaneous visitors on the site.

回复收藏 0 原文

最笨的告白 2024-10-13 18:07:06

虽然这是一篇旧文章，但我只是想报告一下，它对于我来说非常适合 Apache2.2 反向代理和 keepalive=on 选项。显然，这使代理和SharePoint主机之间的连接保持打开状态并“固定”到客户端代理连接。我不太清楚其背后的机制，但它运作得相当好。

但是：有时，我的用户会遇到以其他用户身份登录的问题。因此，会议中似乎存在一些混淆。我将不得不对此进行一些进一步的测试。

解决所有问题的方法（如果您有有效的签名 SSL 证书）：将 IIS 切换到基本身份验证。这绝对可以正常工作，甚至 Windows（即具有 SharePoint 连接的 Office、所有基于 WebClient 的进程等）也不会抱怨。
但是，当您仅使用不带 SSL/TLS 的 http 并且使用自签名证书时，它们就会出现。

回复收藏 0 原文