Назад | Перейти на главную страницу

Доступ к внутренним службам IIS с проверкой подлинности Windows из Интернета

У меня есть веб-приложение .NET, работающее на IIS за брандмауэром.
Приложение использует проверку подлинности Windows (NTLM) для проверки подлинности пользователей.
Мне нужно сделать это приложение доступным из Интернета, чтобы:

Для ясности: я не хочу, чтобы NTLM пересылалась пользователю, мне нужен [Reverse Proxy], чтобы говорить с IIS о поведении пользователя. Пользователь может ввести другие учетные данные, может использовать другой тип аутентификации (Google, FB и т. Д.), И [Обратный прокси] сопоставит внешнюю учетную запись с внутренней. Например. сотрудники настроят внешние учетные записи, которые они хотят использовать для доступа к порталу интрасети.

Какие у меня варианты?
Могу ли я использовать Nginx или Squid для реализации такого сценария с помощью настраиваемого модуля / плагина?

Похоже, что SAML или oOth были бы для вас хорошим вариантом. Вы вообще смотрели на этот путь? Обычно он используется для делегирования учетных данных других сайтов, но он должен работать и для внутренних сайтов. Однако вам, вероятно, придется создать собственный интерфейс в вашей DMZ.

Использование обратного прокси для этой цели - не лучшая идея. Проверка подлинности Windows предназначена для использования только в приложении интрасети. Есть много причин, по которым вы этого не хотите, некоторые из них можно найти Вот. Самым важным является то, что вы открываете путь из своей DMZ во внутреннюю сеть, которая может быть использована хакерами.

Вам следует использовать VPN для достижения цели, которую вы ищете. Вот это список бесплатного программного обеспечения VPN. Мой личный фаворит - OpenVPN.

Другая возможность - использовать проверку подлинности с помощью формы в веб-приложении и использовать отдельные учетные данные для ваших пользователей для входа в веб-приложение.

Тот факт, что вы хотите, чтобы обратный прокси делал это, немного усложняет задачу. Я не знаю ничего из коробки доверенное лицо программного обеспечения, которое делает это, но некоторые из устройств Junipers VPN предлагают веб-интерфейс, который не только позволяет пользователям запускать VPN-соединение, но также может использоваться в качестве такого прокси-сервера после аутентификации пользователя в веб-интерфейсе устройства VPN.