nginx代理windowsAD域认证 ntlm认证处理

已于 2023-04-12 13:27:54 修改
阅读量3.2k 收藏 4
点赞数
文章标签: nginx 运维 后端
于 2023-04-12 13:22:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44310246/article/details/130077300
版权

nginx代理windowsAD域认证 ntlm认证处理

使用场景

公司登陆内网项目需要使用windows域认证(以下简称AD域AD认证),但是,不是在项目中使用LDAP去认证(nginx配置LDAP的朋友可以闪了),而是在.net中写的一个认证,给了一个get链接,返回用户名和token
在这里插入图片描述
然后前端页面登陆时,会先调用这个地址,获取用户信息后再给项目认证。
问题有两点:

  1. 因为跨域,所以前端需要使用jsonp
  2. 我们项目全是使用的nginx代理,使用的http协议,当需要升级https协议时,只需要在nginx中配置。但是AD认证这里只有http,当页面使用https时,默认调用AD也会使用https。

所以这里我们需要把AD认证也配置到nginx中。这样不存在跨域和协议不同的问题。

开始配置

直接在nginx配置转发
在这里插入图片描述

问题来了

在这里插入图片描述
使用代理的链接,居然弹出了认证页面?
这个我先忍它一波,于是我输入了账号密码,点击登陆!
好家伙,还弹?难道手速太快输错了??再试一波,还弹??
哪里出了问题?难道认证用的是本机ip??
于是我修改了nginx中的转发配置。还是一样的结果。
莽(你知道莽村的莽是怎么来的么?)试了好久还是弹弹弹,难受。这就是不知道原理硬上的结果

使用postman测试

直接写入AD认证的地址,得先有个正确结果不是。
在这里插入图片描述
直接访问应该是不行,没有认证信息啊?
做为一个面向搜索引擎的开发,直接搜索postman怎么认证windowsAD域
结果如下:
在这里插入图片描述

好了,正常的结果已经出现,怎么能够停止不前
于是我换上了nginx代理的链接。
在这里插入图片描述
意料之中,科学之外(这不科学啊!!!)
暂时没有思路,所以也无法面向搜索开发了
先吃个午饭,再说…
果然,时间能解决一切,我想到了一个问题,我看看postman发送的请求有啥不相同呗!
于是:
在这里插入图片描述

咦??怎么发了3次请求?
请看这3次的请求和返回:
第一个请求:
在这里插入图片描述
第二个请求
在这里插入图片描述
第三个请求
在这里插入图片描述
这应该是认证过程,注意这个NTLM和postman中的认证名字一样
于是我又打开了搜索引擎(天晴了,雨停了,我觉得我又行了),搜索NTLM认证原理。
果然,不愧是搜索引擎,很快我就知道了这个认证的原理。
大概就是3次认证需要同一个连接,但是nginx这里的3次连接都不是同一个,所以需要处理。(需要懂原理的自行搜索,我就不重复了)。

nginx配置NTLM

直接打开nginx,上配置

http {
    upstream windowsAdStream {
        server 服务ip:服务端口; #多个ip时可配置多个server
        keepalive 1; # 必须设置,最大空闲连接,不建议设置过大值。
        #配置意思是使用多少次后关闭该长连接
        # 注:重点!!!必须配置,且必须是3,这个配置虽然是可选设置,但是因为认证需要的是3次,如果这里配置少于3,那么认证会失败,会有弹框!当然,如果你页面再刷新一次,相当于4次,那第3次时会认证成功。如果你大于3,相当于你认证后,keepalive_timeout 秒后才会关闭该长连接,那这个时间内,另一个用户访问时,会直接得到你的认证信息!
        keepalive_requests 3;
        keepalive_timeout 3s; # 可选设置,keepalive conn 超时关闭时间。看自己网络等需求设置大小,这里最好别设置太长
    }
	#域认证转发
    location /DomainUser {
        proxy_pass http://windowsAdStream;
        # 必须设置下面这两个配置,否则不会生效。
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        }
}

注:再次说明重点 keepalive_requests 必须设置为3,每次认证(使用3次)后,都关掉该长连接。否则认证信息会窜台的…
执行 nginx -t 看看配置是否可用。
成功了就直接 nginx -s reload。
如果没有成功,看看配置没错的话,是否缺少模块,缺少模块自己索引一下怎么添加哪个模板。

成果

肯定是搞定了啊。O(∩_∩)O哈哈~

在这里插入图片描述

问题大了…

不上测试不知道,一上测试问题来了…
因为建立的是长连接,会导致2个或者多个用户同时认证时,可能会返回别人的信息,比如张三和李四同时认证,然后张三的电脑返回了李四的info,
把keepalive_requests 设置为3,keepalive_timeout 设置为1,只能减少几率,但是并发上来,还是得凉,这肯定不允许啊。
靠nginx本身的配置肯定是搞不定了(nginx plus可以解决,毕竟收费,有ntlm功能…[手动狗头]),这里我觉得应该加一个配置,同一个ip建立一个长连接,但是暂时不会c语言,没法写模块。

再次解决

于是发挥我搜索的能力,找了半天,发现nginx本身是支持ntlm的,但是 是nginx plus版本,也就是需要付费版。
那不能,没赚钱怎么能花钱。
于是我换个搜索引擎再搜搜,发现了大佬写的ntlm模块,只需要下载下来,然后解压,按说明添加模板,在upstream中加一个 ntlm;参数就行了。地址如下:

https://github.com/gabihodoroaga/nginx-ntlm-module
在linux中使用unzip解压,然后有两种添加方式

./configure \
    --add-module=../nginx-ntlm-module

./configure \
    --add-dynamic-module=../nginx-ntlm-module

我使用的是第一种,然后配置后,关掉nginx,重新启动。

http {
    upstream windowsAdStream {
        ntlm; #模块中只需要加这个配置
        server 服务ip:服务端口; #多个ip时可配置多个server
    }
	#域认证转发
    location /DomainUser {
        proxy_pass http://windowsAdStream;
        # 必须设置下面这两个配置,否则不会生效。
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        }
}
橙巴布
关注
内网渗透-Windows内网渗透
lza20001103的博客
08-15 2381
内网渗透-Windows内网渗透 文章目录内网渗透-Windows内网渗透前言一、信息收集1.1、SPN1.2、端口连接1.3、配置文件1.4、用户信息1.6、会话收集1.7、凭据收集navicat:SecureCRT:Xshell:WinSCP:VNC:1.8、DPAPI1.9、域信任1.10、域传送1.11、DNS记录获取1.12、WIFI1.13、GPP1.14、Seatbelt1.15、Bloodhound1.16、Exchange1.16.1 邮箱用户密码爆破1.16.3 信息收集二、传输通道2.
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 6647
Kerberos认证详解
AD域单点登陆NTLM
04-12
java 基于NTLM协议集成AD账号域登录 内含JAR包,DEMO包以及说明文档
详细解释:nginxNginx Main Module(主模块)配置及各个参数含义
eltdong的专栏
10-10 312
这里是控制 Nginx 的基本功能的指令. 指令: [#daemon daemon] [#debug_points debug_points] [#error_log error_log] [#include include] [#lock_file lock_file] [#master_process master_process] [#pid pid] [#ssl_en...
使用 Nginx 搭建代理服务器(正向代理 HTTPS 网站)指南
最新发布
m0_74823658的博客
03-02 922
本文介绍了如何使用 Nginx 搭建正向代理服务器,支持 HTTP 和 HTTPS 网站代理,并提供了详细的代码和配置示例。通过本文的学习,您可以掌握搭建正向代理的基础知识,并能在实际项目中应用。代理服务器是一种非常强大的工具,能够帮助我们隐藏客户端信息、绕过 IP 限制等。合理的配置和优化可以提升代理服务器的性能,从而满足实际应用中的需求。
Nginx用户访问及密码验证
代码创造世界
07-04 2066
需求:访问Web页面需要进行用户认证 用户名为:tom,密码为:123456 nginx 下,提供了 ngx_http_auth_basic_module 模块实现让用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。(如果没有安装,点击链接:) 配置nginx配置文件 [root@proxy ~]# vim /usr/local/nginx/conf/...
Nginx 1.25.2 Windows版本,带自编译NTLM及HTTPS等多种模块
gitblog_09703的博客
10-21 606
Nginx 1.25.2 Windows版本,带自编译NTLM及HTTPS等多种模块 【下载地址】Nginx1.25.2Windows版本带自编译NTLM及HTTPS等多种模块 Nginx 1.25.2 Windows版本,带自编译NTLM及HTTPS等多种模块本仓库提供了一个基于最新版本Nginx 1.25.2的Win...
nginx设置用户认证
WTYX666的博客
06-22 758
在server模块中添加: auth_basic "auth-domain:"; //认证提示符信息 auth_basic_user_file "/usr/local/nginx/pass"; //认证的密码文件 [root@web1 nginx-1.17.6]# yum -y install httpd-tools [root@web1 ~]# yum -y install httpd-tools [root@web1 nginx-
Nginx代理配置
热门推荐
Ben_10_的博客
07-26 1万+
是指客户端通过代理服务器来访问目标服务器,目标服务器不知道真正的客户端是谁,只知道请求来自于代理服务器。是指客户端通过代理服务器来访问目标服务器集群,客户端不知道真正的目标服务器是哪一个,只知道请求发送到了代理服务器。
nginx https认证
adjan的博客
08-03 201
通过CertBot为nginx配置https。 先配置nginx server { server_name taobao.yooxinz.com; location / { proxy_pass http://localhost:8080; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html;
通过nginx给转发添加登录认证
Ch3nnn的博客
11-21 2429
1、安装Nginx: 1 [root@ELK /]# yum -y install nginx 2、安装Apache密码生产工具: 1 [root@ELK /]# yum install httpd-tools 3、生成密码文件:   1 2 [root@ELK /]# ...
实战NTLM
吾将上下而求索
02-07 4353
实战NTLM项目描述:2个域,A和BA的域服务器连接外网,同时装有isa2004防火墙,开web代理,信任域B需要域B的一台机器上穿透代理连接外网服务器(不是http服务器)完成代穿透后,卡在isa上;使用443意外端口得话,isa返回502错,使用443端口则返回407错结论:需要通过isa得域验证,且isa只允许443端口的ssl连接;isa支持windows集成身份验证(NTLM和K
cas spnego认证方式(即加ad域的windows主机应用免登录)高可用集群方案(目前来看国内第一份资料,本人探索出来的)
10-21
然而,在加入AD域的Windows主机环境下实现CAS的SPNEGO认证模式,并构建高可用集群方案,国内鲜有现成资料和技术指导。本文档旨在分享通过作者亲身经历及不懈努力探索出的一套完整解决方案。 #### 二、关键技术点...
nginx 代理地址访问加鉴权
01-05
#### 对 Windows AD 进行 NTLM 身份验证 当涉及到更复杂的企业环境时,比如集成到现有的 Windows Active Directory 结构内,则可能需要用到更为复杂的方案如 NTLM 或 Kerberos 协议来进行单点登录(SSO)[^4]。这需要...
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1666
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
Nginx 学习
howeres的博客
05-01 1961
Nginx安装 下载 wget http://nginx.org/download/nginx-1.16.1.tar.gz 解压: tar -zxvf nginx-1.16.1.tar.gz 进入解压目录: cd nginx-1.16.1 安装 ./configure --prefix=/opt/nginx --with-http_gzip_static_module --with-http_v2_module --with-openssl=/opt/openssl-1.1.1d --
nginx 搭建LDAP认证
兰辉
08-30 7552
一.添加nginx-auth-ldap nginx模块 编译nginx-auth-ldap模块需要ldap.h头文件,所以需要先安装ldap库 yum -y install openldap-devel 在编译nginx时,添加上模块编译参数,如 cd /usr/local/src git clone https://github.com/kvspb/nginx-au
Nginx 的 安装升级、用户名密码认证、虚拟主机(基于域名、基于IP、基于端口)、HTTPS加密网站(SSL虚机主机)
m0_60379130的博客
04-17 3043
目录 nginx简介 可以作为Web服务器的有: 案例一:nginx安装与升级 步骤一:平滑升级nginx服务器 案例二:nginx 服务器 用户认证(用户名密码) 案例三:nginx 虚拟主机(基于域名、基于IP、基于端口) 案例四:HTTPS加密网站 (SSL虚机主机) nginx简介 是俄罗斯人编写的轻量级的HTTP服务器 是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器 官方网站:nginx newshttp:...
9月20号上课笔记
g66kai的博客
09-25 357
默认虚拟主机 server { listen 80 default_server; server_name localhost; index index.html index.htm index.php; root /usr/local/nginx/html; deny all; location ~ \.php$  { include fastcgi_params; fastcgi_pass...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值