- 我们有一个 SQUID 反向代理和一个 MOSS 2007 门户。所有站点都使用 NTLM。
- 我们不能让它与 SQUID 作为反向代理一起工作。
任何想法从哪里开始?
问问题
8728 次
2 回答
2
您可以切换到 Kerberos 而不是 NTLM 吗?
您遇到了“双跳问题”,即 NTLM 身份验证无法遍历代理或服务器。
这在此位置进行了概述:http: //blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx
在这里: http: //support.microsoft.com/default.aspx ?scid=kb;en-us;329986
双跳问题 双跳问题是当 ASPX 页面尝试使用位于不同于 IIS 服务器的服务器上的资源时。在我们的例子中,第一个“跳跃”是从 Web 浏览器客户端到 IIS ASPX 页面;第二跳是到AD。AD 需要一个主令牌。因此,IIS 服务器必须知道客户端的密码才能将主令牌传递给 AD。如果 IIS 服务器具有辅助令牌,则使用 NTAUTHORITY\ANONYMOUS 帐户凭据。此帐户不是域帐户,对 AD 的访问权限非常有限。
例如,当浏览器客户端使用 NTLM 身份验证对 IIS ASPX 页面进行身份验证时,就会发生使用辅助令牌的双跳。在此示例中,由于使用 NTLM,IIS 服务器具有密码的散列版本。如果 IIS 转而将凭据传递给 AD,则 IIS 正在传递散列密码。AD 无法验证密码,而是使用 NTAUTHORITY\ANONYMOUS LOGON 进行身份验证。
另一方面,如果您的浏览器客户端通过使用基本身份验证对 IIS ASPX 页面进行身份验证,则 IIS 服务器拥有客户端密码,并且可以制作主令牌以传递给 AD。AD 可以验证密码并作为域用户进行身份验证。有关详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:264921 ( http://support.microsoft.com/kb/264921/ ) IIS 如何对浏览器客户端进行身份验证
如果切换到 Kerberos 不是一种选择,您是否调查过 Squid NTLM 项目? http://devel.squid-cache.org/ntlm/
于 2008-09-24T09:56:47.047 回答
-1
您可以使用 HAProxy 进行负载平衡
于 2014-01-22T09:52:44.830 回答