- SQUIDリバースプロキシとMOSS2007ポータルがあります。すべてのサイトでNTLMを使用しています。
- SQUIDをリバースプロキシとして使用することはできません。
どこから始めればいいですか?
8728 次
2 に答える
2
NTLMではなくKerberosに切り替えることはできますか?
「ダブルホップの問題」が発生しているため、NTLM認証はプロキシまたはサーバーを通過できません。
これは次の場所で概説されています:http: //blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx
そしてここに: http ://support.microsoft.com/default.aspx?scid = kb; en-us; 329986
ダブルホップの問題ダブルホップの問題は、ASPXページがIISサーバーとは異なるサーバーにあるリソースを使用しようとした場合に発生します。この場合、最初の「ホップ」はWebブラウザクライアントからIISASPXページへのホップです。2番目のホップはADへのホップです。ADにはプライマリトークンが必要です。したがって、IISサーバーは、クライアントがプライマリトークンをADに渡すためのパスワードを知っている必要があります。IISサーバーにセカンダリトークンがある場合は、NTAUTHORITY\ANONYMOUSアカウントの資格情報が使用されます。このアカウントはドメインアカウントではなく、ADへのアクセスが非常に制限されています。
セカンダリトークンを使用したダブルホップは、たとえば、ブラウザクライアントがNTLM認証を使用してIISAPPXページに対して認証された場合に発生します。この例では、NTLMを使用した結果、IISサーバーにハッシュバージョンのパスワードが設定されています。IISが向きを変えて、資格情報をADに渡す場合、IISはハッシュされたパスワードを渡します。ADはパスワードを確認できず、代わりにNTAUTHORITY \ANONYMOUSLOGONを使用して認証します。
一方、ブラウザクライアントが基本認証を使用してIIS ASPXページに対して認証されている場合、IISサーバーはクライアントパスワードを持っており、ADに渡すプライマリトークンを作成できます。ADはパスワードを確認でき、ドメインユーザーとして認証されます。詳細については、次の記事番号をクリックして、マイクロソフトナレッジベースの記事を表示してください。264921(http://support.microsoft.com/kb/264921/)IISがブラウザークライアントを認証する方法
Kerberosへの切り替えがオプションではない場合、Squid NTLMプロジェクトを調査しましたか? http://devel.squid-cache.org/ntlm/
于 2008-09-24T09:56:47.047 に答える
-1
HAProxy を負荷分散に使用できます
于 2014-01-22T09:52:44.830 に答える