Probleme mit IIS (geschützter Bereich) und Zugriff über Squid

[hevtig 10]

Hi,

 

ich hoste eine Internetpräsenz, die ich auf einem IIS 6 laufen habe. Dort habe ich einen geschützen Bereich, den ich per Passwort nutzen kann. Dieser Schutz ist per Verzeichnisrecht vergeben, sodaß der Internetuser nicht darauf zugreifen kann, sondern halt nur derjenige, der Username und Passwort für jenes Verzeichnis kennt. Das klappt ansich auch recht gut.

Jetzt habe ich allerdings User, die hinter einen restriktiv eingerichteten Squid Proxy hängen, auf dessen Konfiguration sie keinen Zugriff haben (werden).

Diese User können ansich alle Teile der Internetpräsenz nutzen, nur in den geschützten Bereich kommen sie nicht, da bei ihnen noch nicht einmal die Eingabeaufforderung für Username und Passwort hochkommt.

Jetzt habe ich mit den Verantwortlichen des Squids gesprochen, die mir

1. sagten, daß sie an ihrer Konfiguration nichts ändern werden

2. meinten, ich solle es auf der Hostseite ändern

3. mir folgenden Link zu dem Problem gaben >>HIER<<

http://www.squid-cache.org/Doc/FAQ/FAQ-11.html#ss11.14

Version 2.5 will support Microsoft NTLM authentication. However, there are some limits on our support: We cannot proxy connections to a origin server that use NTLM authentication, but we can act as a web accelerator or proxy server and authenticate the client connection using NTLM.

...

Why we cannot proxy NTLM even though we can use it. Quoting from summary at the end of the browser authentication section in this article:

 

In summary, Basic authentication does not require an implicit end-to-end state, and can therefore be used through a proxy server. Windows NT Challenge/Response authentication requires implicit end-to-end state and will not work through a proxy server.

 

Squid transparently passes the NTLM request and response headers between clients and servers. NTLM relies on a single end-end connection (possibly with men-in-the-middle, but a single connection every step of the way. This implies that for NTLM authentication to work at all with proxy caches, the proxy would need to tightly link the client-proxy and proxy-server links, as well as understand the state of the link at any one time. NTLM through a CONNECT might work, but we as far as we know that hasn't been implemented by anyone, and it would prevent the pages being cached - removing the value of the proxy.

 

NTLM authentication is carried entirely inside the HTTP protocol, but is not a true HTTP authentication protocol and is different from Basic and Digest authentication in many ways.

 

 

It is dependent on a stateful end-to-end connection which collides with RFC 2616 for proxy-servers to disjoin the client-proxy and proxy-server connections.

It is only taking place once per connection, not per request. Once the connection is authenticated then all future requests on the same connection inherities the authentication. The connection must be reestablished to set up other authentication or re-identify the user. This too collides with RFC 2616 where authentication is defined as a property of the HTTP messages, not connections.

...

 

Auf gut deutsch heißt das für mich, daß das der Squid nicht kann und das MS wieder ein eigenens Süppchen gekocht hat.

Nichts desto trotz möchte ich, daß auch diese User normal den Bereich nutzen können.

Was kann ich dort machen? Welche Einstellungen beim IIS müssen gemacht werden? Ich möchte schon gerne bei den Windows"features" bleiben, da ich dort alles in einer Managementkonsole habe und dort auch mehrere Site noch gehostet habe.

 

Wer hat hilfreiche Ideen? ;)

[nobex 10]

Hast Du schon als Authentifizierunsmethode 'Standardauthentifizierung (Kennwort wird als Klartext gesendet)' probiert? Diese hat natürlich auch die in Klammern setehende Konsequenz, evtl. mal über SSL nachdenken.

[hevtig 10]

Hallo,

 

vielen Dank. Werde es mal austesten, ob´s damit hinhaut..

Über https denke ich auch mal nach ;)