<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageSignatureSection"><br /></div>
<div name="messageReplySection"><br />
On Apr 18, 2016, 6:25 PM -0700, Maxim Dounin <mdounin@mdounin.ru>, wrote:<br />
<blockquote type="cite">Hello!<br />
<br />
On Mon, Apr 18, 2016 at 02:28:19PM -0700, Payam Chychi wrote:<br />
<br />
<blockquote type="cite">
<blockquote type="cite">Maxim Dounin:<br />
<br />
<blockquote type="cite">Just a side note: NTLM auth is broken by design and violates HTTP<br />
basic rules. Avoid using it if you can.<br /></blockquote>
<br />
to be clear: I don't care if it's named NTLM or ugly_voodoo<br />
<br />
The goal is a nginx accesses by a IE/edge browser. Users should not be<br />
bothered with authentication<br />
as they are already logged on into the windows account.<br />
<br />
possible?<br />
<br /></blockquote>
<br />
Im not sure what you do not understand from the reply, NTLM auth is broken.<br />
This is not about "lets call it Voodoo_melt" and make it work, Windows<br />
utilizes NTLM, so... what you are trying to use will not work. why? because<br />
NGINX NTLM does not work.<br /></blockquote>
<br />
No, you didn't get it. NTLM http auth itself, as "defined" by<br />
RFC 4559, is broken by design, and it has nothing to do with nginx.<br />
In anything more complex than "a server and directly connected<br />
clients" it's expected to require various NTLM-specific hacks,<br />
quirks, and so on. Because NTLM tries to authenticate connections<br />
instead of requests, thus breaking basic HTTP principles.<br />
<br />
The above, actually, is explicitly said in RFC 4559 Errata, see<br />
https://www.rfc-editor.org/errata_search.php?rfc=4559.<br />
<br />
And that's why I don't recommend using it if possible. Regardless<br />
of support in particular software.<br />
<br />
--<br />
Maxim Dounin<br />
http://nginx.org/<br />
<br />
_______________________________________________<br />
nginx mailing list<br />
nginx@nginx.org<br />
http://mailman.nginx.org/mailman/listinfo/nginx<br /></blockquote>
<blockquote type="cite"><br /></blockquote>
<blockquote type="cite"><br /></blockquote>
<blockquote type="cite">Hi Maxim,</blockquote>
<blockquote type="cite"><br /></blockquote>
<blockquote type="cite">Broken or not, its what MS supports and its not going anywhere just yet.</blockquote>
<blockquote type="cite"><br /></blockquote>
<blockquote type="cite">If he/his application needs ntlm, mainly because of MS based solitions and first hand i can say that nginx module v.s squid comes up very short.</blockquote>
<blockquote type="cite"><br /></blockquote>
<blockquote type="cite">So in short... If you 'need' ntlm and want a fully working ntlm auth then proxy/redir to a squid box, or wrap it in a tcp proxy; lot of ways to make something work if you 'must'</blockquote>
<blockquote type="cite"><br /></blockquote>
</div>
</body>
</html>