Probleme mit IIS Website (geschützter Bereich) und Squid
Hi,
ich hoste eine Internetpräsenz, die ich auf einem IIS 6 laufen habe. Dort habe ich einen geschützen Bereich, den ich per Passwort nutzen kann. Dieser Schutz ist per Verzeichnisrecht vergeben, sodaß der Internetuser nicht darauf zugreifen kann, sondern halt nur derjenige, der Username und Passwort für jenes Verzeichnis kennt. Das klappt ansich auch recht gut.
Jetzt habe ich allerdings User, die hinter einen restriktiv eingerichteten Squid Proxy hängen, auf dessen Konfiguration sie keinen Zugriff haben (werden).
Diese User können ansich alle Teile der Internetpräsenz nutzen, nur in den geschützten Bereich kommen sie nicht, da bei ihnen noch nicht einmal die Eingabeaufforderung für Username und Passwort hochkommt.
Jetzt habe ich mit den Verantwortlichen des Squids gesprochen, die mir
1. sagten, daß sie an ihrer Konfiguration nichts ändern werden
2. meinten, ich solle es auf der Hostseite ändern
3. mir folgenden Link zu dem Problem gaben http://www.squid-cache.org/Doc/FAQ/FAQ-11.html#ss11.14
Quote
Version 2.5 will support Microsoft NTLM authentication. However, there are some limits on our support: We cannot proxy connections to a origin server that use NTLM authentication, but we can act as a web accelerator or proxy server and authenticate the client connection using NTLM.
We support NT4, Samba, and Windows 2000 Domain Controllers. For more information see winbind .
Why we cannot proxy NTLM even though we can use it. Quoting from summary at the end of the browser authentication section in this article:
In summary, Basic authentication does not require an implicit end-to-end state, and can therefore be used through a proxy server. Windows NT Challenge/Response authentication requires implicit end-to-end state and will not work through a proxy server.
Squid transparently passes the NTLM request and response headers between clients and servers. NTLM relies on a single end-end connection (possibly with men-in-the-middle, but a single connection every step of the way. This implies that for NTLM authentication to work at all with proxy caches, the proxy would need to tightly link the client-proxy and proxy-server links, as well as understand the state of the link at any one time. NTLM through a CONNECT might work, but we as far as we know that hasn't been implemented by anyone, and it would prevent the pages being cached - removing the value of the proxy.
NTLM authentication is carried entirely inside the HTTP protocol, but is not a true HTTP authentication protocol and is different from Basic and Digest authentication in many ways.
It is dependent on a stateful end-to-end connection which collides with RFC 2616 for proxy-servers to disjoin the client-proxy and proxy-server connections.
It is only taking place once per connection, not per request. Once the connection is authenticated then all future requests on the same connection inherities the authentication. The connection must be reestablished to set up other authentication or re-identify the user. This too collides with RFC 2616 where authentication is defined as a property of the HTTP messages, not connections.
The reasons why it is not implemented in Netscape is probably:
It is very specific for the Windows platform
It is not defined in any RFC or even internet draft.
The protocol has several shortcomings, where the most apparent one is that it cannot be proxied.
There exists an open internet standard which does mostly the same but without the shortcomings or platform dependencies: digest authentication.
quote
Auf gut deutsch heißt das für mich, daß das der Squid nicht kann und das MS wieder ein eigenens Süppchen gekocht hat.
Nichts desto trotz möchte ich, daß auch diese User normal den Bereich nutzen können.
Was kann ich dort machen? Welche Einstellungen beim IIS müssen gemacht werden? Ich möchte schon gerne bei den Windows"features" bleiben, da ich dort alles in einer Managementkonsole habe und dort auch mehrere Site noch gehostet habe.
Wer hat hilfreiche Ideen? ;)
ich hoste eine Internetpräsenz, die ich auf einem IIS 6 laufen habe. Dort habe ich einen geschützen Bereich, den ich per Passwort nutzen kann. Dieser Schutz ist per Verzeichnisrecht vergeben, sodaß der Internetuser nicht darauf zugreifen kann, sondern halt nur derjenige, der Username und Passwort für jenes Verzeichnis kennt. Das klappt ansich auch recht gut.
Jetzt habe ich allerdings User, die hinter einen restriktiv eingerichteten Squid Proxy hängen, auf dessen Konfiguration sie keinen Zugriff haben (werden).
Diese User können ansich alle Teile der Internetpräsenz nutzen, nur in den geschützten Bereich kommen sie nicht, da bei ihnen noch nicht einmal die Eingabeaufforderung für Username und Passwort hochkommt.
Jetzt habe ich mit den Verantwortlichen des Squids gesprochen, die mir
1. sagten, daß sie an ihrer Konfiguration nichts ändern werden
2. meinten, ich solle es auf der Hostseite ändern
3. mir folgenden Link zu dem Problem gaben http://www.squid-cache.org/Doc/FAQ/FAQ-11.html#ss11.14
Quote
Version 2.5 will support Microsoft NTLM authentication. However, there are some limits on our support: We cannot proxy connections to a origin server that use NTLM authentication, but we can act as a web accelerator or proxy server and authenticate the client connection using NTLM.
We support NT4, Samba, and Windows 2000 Domain Controllers. For more information see winbind .
Why we cannot proxy NTLM even though we can use it. Quoting from summary at the end of the browser authentication section in this article:
In summary, Basic authentication does not require an implicit end-to-end state, and can therefore be used through a proxy server. Windows NT Challenge/Response authentication requires implicit end-to-end state and will not work through a proxy server.
Squid transparently passes the NTLM request and response headers between clients and servers. NTLM relies on a single end-end connection (possibly with men-in-the-middle, but a single connection every step of the way. This implies that for NTLM authentication to work at all with proxy caches, the proxy would need to tightly link the client-proxy and proxy-server links, as well as understand the state of the link at any one time. NTLM through a CONNECT might work, but we as far as we know that hasn't been implemented by anyone, and it would prevent the pages being cached - removing the value of the proxy.
NTLM authentication is carried entirely inside the HTTP protocol, but is not a true HTTP authentication protocol and is different from Basic and Digest authentication in many ways.
It is dependent on a stateful end-to-end connection which collides with RFC 2616 for proxy-servers to disjoin the client-proxy and proxy-server connections.
It is only taking place once per connection, not per request. Once the connection is authenticated then all future requests on the same connection inherities the authentication. The connection must be reestablished to set up other authentication or re-identify the user. This too collides with RFC 2616 where authentication is defined as a property of the HTTP messages, not connections.
The reasons why it is not implemented in Netscape is probably:
It is very specific for the Windows platform
It is not defined in any RFC or even internet draft.
The protocol has several shortcomings, where the most apparent one is that it cannot be proxied.
There exists an open internet standard which does mostly the same but without the shortcomings or platform dependencies: digest authentication.
quote
Auf gut deutsch heißt das für mich, daß das der Squid nicht kann und das MS wieder ein eigenens Süppchen gekocht hat.
Nichts desto trotz möchte ich, daß auch diese User normal den Bereich nutzen können.
Was kann ich dort machen? Welche Einstellungen beim IIS müssen gemacht werden? Ich möchte schon gerne bei den Windows"features" bleiben, da ich dort alles in einer Managementkonsole habe und dort auch mehrere Site noch gehostet habe.
Wer hat hilfreiche Ideen? ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1716
Url: https://administrator.de/contentid/1716
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
2 Kommentare
Neuester Kommentar
hallo,
haste es mal mit htaccess dateien probiert??
oder geht das unter iss nicht??
mfg
haste es mal mit htaccess dateien probiert??
oder geht das unter iss nicht??
mfg