Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Probleme mit IIS Website (geschützter Bereich) und Squid

Mitglied: hevtig

hevtig (Level 1) - Jetzt verbinden

03.07.2006, aktualisiert 08.09.2006, 8018 Aufrufe, 2 Kommentare

Hi,

ich hoste eine Internetpräsenz, die ich auf einem IIS 6 laufen habe. Dort habe ich einen geschützen Bereich, den ich per Passwort nutzen kann. Dieser Schutz ist per Verzeichnisrecht vergeben, sodaß der Internetuser nicht darauf zugreifen kann, sondern halt nur derjenige, der Username und Passwort für jenes Verzeichnis kennt. Das klappt ansich auch recht gut.
Jetzt habe ich allerdings User, die hinter einen restriktiv eingerichteten Squid Proxy hängen, auf dessen Konfiguration sie keinen Zugriff haben (werden).
Diese User können ansich alle Teile der Internetpräsenz nutzen, nur in den geschützten Bereich kommen sie nicht, da bei ihnen noch nicht einmal die Eingabeaufforderung für Username und Passwort hochkommt.
Jetzt habe ich mit den Verantwortlichen des Squids gesprochen, die mir
1. sagten, daß sie an ihrer Konfiguration nichts ändern werden
2. meinten, ich solle es auf der Hostseite ändern
3. mir folgenden Link zu dem Problem gaben http://www.squid-cache.org/Doc/FAQ/FAQ-11.html#ss11.14

Quote
Version 2.5 will support Microsoft NTLM authentication. However, there are some limits on our support: We cannot proxy connections to a origin server that use NTLM authentication, but we can act as a web accelerator or proxy server and authenticate the client connection using NTLM.

We support NT4, Samba, and Windows 2000 Domain Controllers. For more information see winbind .

Why we cannot proxy NTLM even though we can use it. Quoting from summary at the end of the browser authentication section in this article:

In summary, Basic authentication does not require an implicit end-to-end state, and can therefore be used through a proxy server. Windows NT Challenge/Response authentication requires implicit end-to-end state and will not work through a proxy server.

Squid transparently passes the NTLM request and response headers between clients and servers. NTLM relies on a single end-end connection (possibly with men-in-the-middle, but a single connection every step of the way. This implies that for NTLM authentication to work at all with proxy caches, the proxy would need to tightly link the client-proxy and proxy-server links, as well as understand the state of the link at any one time. NTLM through a CONNECT might work, but we as far as we know that hasn't been implemented by anyone, and it would prevent the pages being cached - removing the value of the proxy.

NTLM authentication is carried entirely inside the HTTP protocol, but is not a true HTTP authentication protocol and is different from Basic and Digest authentication in many ways.


It is dependent on a stateful end-to-end connection which collides with RFC 2616 for proxy-servers to disjoin the client-proxy and proxy-server connections.
It is only taking place once per connection, not per request. Once the connection is authenticated then all future requests on the same connection inherities the authentication. The connection must be reestablished to set up other authentication or re-identify the user. This too collides with RFC 2616 where authentication is defined as a property of the HTTP messages, not connections.

The reasons why it is not implemented in Netscape is probably:


It is very specific for the Windows platform
It is not defined in any RFC or even internet draft.
The protocol has several shortcomings, where the most apparent one is that it cannot be proxied.
There exists an open internet standard which does mostly the same but without the shortcomings or platform dependencies: digest authentication.
quote

Auf gut deutsch heißt das für mich, daß das der Squid nicht kann und das MS wieder ein eigenens Süppchen gekocht hat.
Nichts desto trotz möchte ich, daß auch diese User normal den Bereich nutzen können.
Was kann ich dort machen? Welche Einstellungen beim IIS müssen gemacht werden? Ich möchte schon gerne bei den Windows"features" bleiben, da ich dort alles in einer Managementkonsole habe und dort auch mehrere Site noch gehostet habe.

Wer hat hilfreiche Ideen? ;)
Mitglied: 6890
08.09.2006 um 14:36 Uhr
hallo,

haste es mal mit htaccess dateien probiert??
oder geht das unter iss nicht??

mfg
Bitte warten ..
Mitglied: hevtig
08.09.2006 um 16:53 Uhr
Hi,

nee, htaccess geht mit IIS nicht. Allerdings konnte ich das Problem jetzt umgehen, indem ich NTLM deaktiviert habe indem ich auf "basic authentication" umgestellt habe. Ist zwar nicht optimal, aber ich kann damit erstmal leben.
Bitte warten ..
Ähnliche Inhalte
Firewall
Squid Logging Problem Extern
gelöst Frage von wurscht12Firewall10 Kommentare

Guten Morgen ! Habe pfSense auf einem alten Server Rechner installiert. Versuche nun meine Squid Access Logs auf einen ...

Debian
Squid Proxyserver - HTTPS Problem
Frage von CartmanDebian1 Kommentar

Guten Morgen Community, ich habe einen Squid Proxyserver installiert und möchte natürlich HTTP als auch HTTPS verwenden können. HTTPS ...

Router & Routing
Squid Reverse Proxy Login Form Problem
gelöst Frage von theoberlinRouter & Routing8 Kommentare

Hallo zusammen, Umgebung ist ein PfSense CARP Cluster mit Squid Reverse Proxy. Der Reverse Proxy wird zur Filterung des ...

Windows Server

DHCP Problem bei Reservierung im deaktivierten Bereich

gelöst Frage von menaceWindows Server2 Kommentare

Hallo, ich habe einen 2012 Server, auf dem die DHCP-Rolle konfiguriert ist. Aktuell gibt es einen Konfigurierten Bereich 192.168.1.0, ...

Neue Wissensbeiträge
DSL, VDSL

Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID

Tipp von the-buccaneer vor 20 StundenDSL, VDSL

Ohne Gewähr für Aktualität. Im Netz gefunden. Buc

Batch & Shell
Powershell-Scripts ohne Anzeige aufrufen
Tipp von fritzo vor 20 StundenBatch & Shell

Ich habe ein Powershell-Script geschrieben, welches personalisierte Vorlagenpfade für MS Office für den angemeldeten User aus dem Active Directory ...

Sicherheits-Tools

CDBurnerXP Updates werden als unerwünschted Programm angezeigt Win32 FusionCore.T

Information von StefanKittel vor 21 StundenSicherheits-Tools

Hallo, dies ist nur eine Information. ich verteile bei einigen sehr kleinen Kunden 3rd parity Updates mit NinitePro. Heute ...

Windows 10

Aus der Reihe "Windows 10 und der Datenschutz"

Information von Trontur vor 1 TagWindows 105 Kommentare

"Unter dem Druck der Datenschutz-Grundverordnung (DSGVO) kommt Microsoft den europäischen Kunden peu à peu entgegen. Wenn sich Windows 10 ...

Heiß diskutierte Inhalte
Outlook & Mail
Outlook Profile 2019
Frage von AkcentOutlook & Mail16 Kommentare

Hallo, vor Outlook 2019 konnte man unter der Systemsteuerung noch die Outlook Profile und Mailkonten ohne Outlook zu starten ...

Windows Server
Win2016 - Shadowcopies werden nicht aufgelistet
gelöst Frage von emeriksWindows Server15 Kommentare

Hi, habe hier ein seltsames Problem: Win 2016 Server mit 4 Daten-Volumes Für jedes Volume werden mehrmals am Tag ...

Windows 10
Daten auf SSD verschwunden
Frage von m.riefWindows 1015 Kommentare

Guten Abend, Ich habe heute ein Notebook neu installiert da die Festplatte Probleme machte. Nun ist Windows 10 1909 ...

E-Mail
Spam von russischen Servern
Frage von mausebaerE-Mail14 Kommentare

Ich bekam bis vor kurzem noch jede Menge Spam von Absendern mit russischen Adressen. Hab mir sogar einen Ordner ...