- У нас есть обратный прокси SQUID и портал MOSS 2007. Все сайты используют NTLM.
- Мы не можем заставить его работать со SQUID в качестве обратного прокси.
Есть идеи, с чего начать?
Есть идеи, с чего начать?
Можно ли переключиться на Kerberos вместо NTLM?
Вы сталкиваетесь с «проблемой двойного перехода», из-за которой проверка подлинности NTLM не может проходить через прокси-серверы или серверы.
Это описано в этом месте: http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx
И здесь: http://support.microsoft.com/default.aspx?scid=kb;en-us;329986
Проблема двойного перехода Проблема двойного перехода возникает, когда страница ASPX пытается использовать ресурсы, расположенные на сервере, отличном от сервера IIS. В нашем случае первый «переход» — от клиента веб-браузера к странице IIS ASPX; второй переход к AD. Для AD требуется первичный токен. Поэтому сервер IIS должен знать пароль, чтобы клиент мог передать первичный токен в AD. Если сервер IIS имеет вторичный токен, используются учетные данные NTAUTHORITY\ANONYMOUS. Эта учетная запись не является учетной записью домена и имеет очень ограниченный доступ к AD.
Двойной переход с использованием вторичного маркера происходит, например, когда клиент браузера проходит проверку подлинности на странице IIS ASPX с использованием проверки подлинности NTLM. В этом примере сервер IIS имеет хешированную версию пароля в результате использования NTLM. Если IIS разворачивается и передает учетные данные в AD, IIS передает хешированный пароль. AD не может проверить пароль и вместо этого аутентифицируется с помощью NTAUTHORITY\ANONYMOUS LOGON.
С другой стороны, если клиент вашего браузера прошел проверку подлинности на странице IIS ASPX с использованием обычной проверки подлинности, сервер IIS имеет пароль клиента и может создать первичный токен для передачи в AD. AD может проверить пароль и аутентифицироваться как пользователь домена. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт: 264921 (http://support.microsoft.com/kb/264921/) Как IIS аутентифицирует клиентов браузера
Если переход на Kerberos невозможен, изучали ли вы проект Squid NTLM? http://devel.squid-cache.org/ntlm/
вы можете использовать HAProxy для балансировки нагрузки