1. дома
  2. Вопрос и ответ
  3. Кто-нибудь смог получить SharePoint, используя NTLM, работающую с SQUID в качестве обратного прокси?

Кто-нибудь смог получить SharePoint, используя NTLM, работающую с SQUID в качестве обратного прокси?

2008-09-24 4 views
0
  1. У нас есть обратный прокси SQUID и портал MOSS 2007. На всех сайтах используется NTLM.
  2. Мы не можем заставить его работать с SQUID в качестве обратного прокси.

Любые идеи с чего начать?Кто-нибудь смог получить SharePoint, используя NTLM, работающую с SQUID в качестве обратного прокси?

источник

2008-09-24 SharePoint Newbie

ответ

2

Можете ли вы переключиться на Kerberos вместо NTLM?

Вы сталкиваетесь с проблемой «Double-Hop Issue», при которой аутентификация NTLM не может проходить через прокси или серверы.

Это описано в этом месте: http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

И над здесь: http://support.microsoft.com/default.aspx?scid=kb;en-us;329986

Double-Hop Выпуск Проблема двойного прыжка, когда страница ASPX пытается использовать ресурсы, расположенных на сервере, который отличается от сервера IIS. В нашем случае первый «прыжок» - от клиента веб-браузера до страницы IIS ASPX; второй прыжок - AD. Для AD требуется первичный токен. Поэтому сервер IIS должен знать пароль для передачи клиентом первичного токена в AD. Если на сервере IIS имеется вторичный токен, используются учетные данные учетной записи NTAUTHORITY \ ANONYMOUS. Эта учетная запись не является учетной записью домена и имеет очень ограниченный доступ к AD.

Двойной прыжок с использованием вторичного токена происходит, например, когда клиент-браузер аутентифицируется на странице IIS ASPX с помощью проверки подлинности NTLM. В этом примере сервер IIS имеет хешированную версию пароля в результате использования NTLM. Если IIS оборачивается и передает учетные данные AD, IIS передает хешированный пароль. AD не может проверить пароль и вместо этого аутентифицируется с помощью NTAUTHORITY \ ANONYMOUS LOGON.

С другой стороны, если ваш браузер-клиент аутентифицирован на странице IIS ASPX с помощью обычной проверки подлинности, сервер IIS имеет пароль клиента и может сделать первичный токен для перехода к AD. AD может проверять пароль и выполняет аутентификацию в качестве пользователя домена. Для получения дополнительных сведений щелкните следующий номер статьи для просмотра статьи базы знаний Майкрософт: 264921 (http://support.microsoft.com/kb/264921/) Как IIS проверяет подлинность клиентов обозревателя

Если переход на Kerberos не вариант, вы исследовали Squid Проект NTLM? http://devel.squid-cache.org/ntlm/

источник

2008-09-24 09:56:47

-1

вы можете использовать HAProxy для балансировки нагрузки

источник

2014-01-22 09:52:44 MIkes

+0

Как это собирается помочь здесь? – bitfrickler 2015-05-27 18:41:19

 Смежные вопросы

  • Нет связанных вопросов^_^