SQUID로 작업하는 NTLM을 역방향 프록시로 사용하여 누구든지 SharePoint를 사용할 수 있습니까?

Question

1. 우리는 SQUID 리버스 프록시와 MOSS 2007 포털을 가지고 있습니다. 모든 사이트에서 NTLM을 사용하고 있습니다.
2. SQUID를 리버스 프록시로 사용할 수 없습니다.

어디서부터 시작해야할까요?

Answer 1

NTLM 대신 Kerberos로 전환 할 수 있습니까?

NTLM 인증이 프록시 나 서버를 트래버스 할 수없는 "이중 홉 문제"가 발생했습니다. http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx

그리고 여기 위에 :

이

이 위치에 설명되어 있습니다 http://support.microsoft.com/default.aspx?scid=kb;en-us;329986

이중 홉 문제 영문 페이지는 자원을 사용하려고 할 때 이중 홉 문제는 IIS 서버와 다른 서버에 있습니다. 우리의 경우 첫 번째 "홉"은 웹 브라우저 클라이언트에서 IIS ASPX 페이지까지입니다. 두 번째 홉은 광고입니다. 광고에는 기본 토큰이 필요합니다. 따라서 IIS 서버는 클라이언트가 주 토큰을 AD에 전달할 수있는 암호를 알아야합니다. IIS 서버에 보조 토큰이 있으면 NTAUTHORITY \ ANONYMOUS 계정 자격 증명이 사용됩니다. 이 계정은 도메인 계정이 아니며 AD에 대한 액세스가 매우 제한적입니다.

예를 들어 브라우저 클라이언트가 NTLM 인증을 사용하여 IIS ASPX 페이지에 인증 될 때 보조 토큰을 사용하는 이중 홉이 발생합니다. 이 예에서 IIS 서버는 NTLM을 사용하면 해시 된 암호 버전을 갖습니다. IIS가 돌아 서서 자격 증명을 AD에 전달하면 IIS는 해시 된 암호를 전달합니다. AD는 암호를 확인할 수 없으며 대신 NTAUTHORITY \ ANONYMOUS LOGON을 사용하여 인증합니다.

반면에 브라우저 클라이언트가 기본 인증을 사용하여 IIS ASPX 페이지에 인증되면 IIS 서버는 클라이언트 암호를 가지며 기본 토큰을 AD로 전달할 수 있습니다. AD는 암호를 확인할 수 있으며 도메인 사용자로 인증합니다. 당신이 오징어를 조사 하였다, IIS가 브라우저 클라이언트

의 Kerberos로 전환하는 옵션이없는 경우

를 인증하는 방법 264921 ( http://support.microsoft.com/kb/264921/) : 자세한 내용은 Microsoft 기술 자료에있는 문서를 보려면 다음 문서 번호를 클릭하여 NTLM 프로젝트? http://devel.squid-cache.org/ntlm/

Answer 2

당신은 어떻게하는 것이 여기에 도움이 될 것입니다