
<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title>

</head>

<body>

<div name="messageSignatureSection"><br /></div>

<div name="messageReplySection"><br />

On Apr 18, 2016, 6:25 PM -0700, Maxim Dounin <mdounin@mdounin.ru>, wrote:<br />

<blockquote type="cite">Hello!<br />

<br />

On Mon, Apr 18, 2016 at 02:28:19PM -0700, Payam Chychi wrote:<br />

<br />

<blockquote type="cite">

<blockquote type="cite">Maxim Dounin:<br />

<br />

<blockquote type="cite">Just a side note: NTLM auth is broken by design and violates HTTP<br />

basic rules. Avoid using it if you can.<br /></blockquote>

<br />

to be clear: I don't care if it's named NTLM or ugly_voodoo<br />

<br />

The goal is a nginx accesses by a IE/edge browser. Users should not be<br />

bothered with authentication<br />

as they are already logged on into the windows account.<br />

<br />

possible?<br />

<br /></blockquote>

<br />

Im not sure what you do not understand from the reply, NTLM auth is broken.<br />

This is not about "lets call it Voodoo_melt" and make it work, Windows<br />

utilizes NTLM, so... what you are trying to use will not work. why? because<br />

NGINX NTLM does not work.<br /></blockquote>

<br />

No, you didn't get it. NTLM http auth itself, as "defined" by<br />

RFC 4559, is broken by design, and it has nothing to do with nginx.<br />

In anything more complex than "a server and directly connected<br />

clients" it's expected to require various NTLM-specific hacks,<br />

quirks, and so on. Because NTLM tries to authenticate connections<br />

instead of requests, thus breaking basic HTTP principles.<br />

<br />

The above, actually, is explicitly said in RFC 4559 Errata, see<br />

https://www.rfc-editor.org/errata_search.php?rfc=4559.<br />

<br />

And that's why I don't recommend using it if possible. Regardless<br />

of support in particular software.<br />

<br />

--<br />

Maxim Dounin<br />

http://nginx.org/<br />

<br />

_______________________________________________<br />

nginx mailing list<br />

nginx@nginx.org<br />

http://mailman.nginx.org/mailman/listinfo/nginx<br /></blockquote>

<blockquote type="cite"><br /></blockquote>

<blockquote type="cite"><br /></blockquote>

<blockquote type="cite">Hi Maxim,</blockquote>

<blockquote type="cite"><br /></blockquote>

<blockquote type="cite">Broken or not, its what MS supports and its not going anywhere just yet.</blockquote>

<blockquote type="cite"><br /></blockquote>

<blockquote type="cite">If he/his application needs ntlm, mainly because of MS based solitions and first hand i can say that nginx module v.s squid comes up very short.</blockquote>

<blockquote type="cite"><br /></blockquote>

<blockquote type="cite">So in short... If you 'need' ntlm and want a fully working ntlm auth then proxy/redir to a squid box, or wrap it in a tcp proxy; lot of ways to make something work if you 'must'</blockquote>

<blockquote type="cite"><br /></blockquote>

</div>

</body>

</html>