Кто-нибудь смог заставить SharePoint использовать NTLM, работающий со SQUID в качестве обратного прокси-сервера?

  1. У нас есть обратный прокси SQUID и портал MOSS 2007. Все сайты используют NTLM.
  2. Мы не можем заставить его работать со SQUID в качестве обратного прокси.

Есть идеи, с чего начать?


sharepoint squid ntlm
person SharePoint Newbie    schedule 24.09.2008    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Можно ли переключиться на Kerberos вместо NTLM?

Вы сталкиваетесь с «проблемой двойного перехода», из-за которой проверка подлинности NTLM не может проходить через прокси-серверы или серверы.

Это описано в этом месте: http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

И здесь: http://support.microsoft.com/default.aspx?scid=kb;en-us;329986

Проблема двойного перехода Проблема двойного перехода возникает, когда страница ASPX пытается использовать ресурсы, расположенные на сервере, отличном от сервера IIS. В нашем случае первый «переход» — от клиента веб-браузера к странице IIS ASPX; второй переход к AD. Для AD требуется первичный токен. Поэтому сервер IIS должен знать пароль, чтобы клиент мог передать первичный токен в AD. Если сервер IIS имеет вторичный токен, используются учетные данные NTAUTHORITY\ANONYMOUS. Эта учетная запись не является учетной записью домена и имеет очень ограниченный доступ к AD.

Двойной переход с использованием вторичного маркера происходит, например, когда клиент браузера проходит проверку подлинности на странице IIS ASPX с использованием проверки подлинности NTLM. В этом примере сервер IIS имеет хешированную версию пароля в результате использования NTLM. Если IIS разворачивается и передает учетные данные в AD, IIS передает хешированный пароль. AD не может проверить пароль и вместо этого аутентифицируется с помощью NTAUTHORITY\ANONYMOUS LOGON.

С другой стороны, если клиент вашего браузера прошел проверку подлинности на странице IIS ASPX с использованием обычной проверки подлинности, сервер IIS имеет пароль клиента и может создать первичный токен для передачи в AD. AD может проверить пароль и аутентифицироваться как пользователь домена. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт: 264921 (http://support.microsoft.com/kb/264921/) Как IIS аутентифицирует клиентов браузера

Если переход на Kerberos невозможен, изучали ли вы проект Squid NTLM? http://devel.squid-cache.org/ntlm/

person Community    schedule 24.09.2008

arrow_upward
-1
arrow_downward

вы можете использовать HAProxy для балансировки нагрузки

person MIkes    schedule 22.01.2014
comment
Как это поможет здесь? - person bitfrickler; 27.05.2015
comment
обратный прокси часто используется для балансировки нагрузки, я предлагаю использовать для этого другой продукт - person MIkes; 07.08.2015