Nginx & NTLMv2

Maxim Dounin mdounin at mdounin.ru
Thu Sep 27 11:22:14 UTC 2012


Hello!

On Thu, Sep 27, 2012 at 07:01:34AM -0400, sx-sqlx wrote:

> А я так не думаю.

Ссылку на википедию я привлёл, она в свою очередь ссылается на 
документацию от компании Microsoft, где чёрным по белому написано:

: Integrated Windows authentication does not work over HTTP proxy 
: connections.

С технической точки зрения там проблема очень простая: оно 
требует, чтобы соединение с сервером было постоянным, и относилось 
к одному конкретному клиенту.  И это не то, что обеспечивается при 
проксировании в рамках протокола HTTP.

> 1.Есть некий модуль
> http-gsspi-auth-nginx-module(https://github.com/joekhoobyar/http-gsspi-auth-nginx-module)

Этот модуль не имеет отношения к проксированию.

> 2.В windows proxy,например forefront tmg есть такая возможность.

Допускаю, что если очень захотеть, то можно поднять тунель от 
клиента до бекенда, по которому оно работать будет.  Но это не 
http proxy ни разу.  Впрочем, prooflink'а я как-то не вижу, что 
отдельно смешно с учётом того, что для двух не имеющих отношения к 
проблеме пунктов вы ссылки привели.  :)

> 3.Такая же возможность есть у
> apache(http://www.opennet.ru/openforum/vsluhforumID8/7370.html)

И этот тред - тоже не имеет отношения к проксированию.

> > Решение - выключить на IIS авторизацию NTLM, включить HTTP Basic.
> > Авторизация по NTLM не проксируется.
> 
> Если бы мне нужна была basic авторизация,я так бы и сделал,но нет.

См. выше.

Maxim Dounin



Подробная информация о списке рассылки nginx-ru