我正在寻找一个替代 Microsoft TMG 的解决方案,并且希望有一个开源路线可以实现这一目标。
目前,我们正在使用 TMG 将 Web 资源(例如 SharePoint)从内部 Windows 域(使用 Kerberos 进行身份验证)反向代理到远程非域设备。
TMG 为设备建立相互(客户端身份验证)的 SSL 隧道,然后使用 SSL 客户端证书中的 UPN 对内部域执行 Kerberos 约束委派。
这确实很有效,这意味着客户端(假设它可以进行相互 SSL 通信)不需要知道进入后端服务所需的 Kerberos 身份验证上下文。
问题是 - 是否有任何方法可以使用 Apache / NginX / 其他一些新颖的解决方案来做到这一点?
答案1
Nginx:2009 年曾有人致力于开发一个模块,但看起来似乎从未实现。
Apache:是的,有一个模块可用于此目的。我个人没有用过它,但是链接上似乎有详细信息。Kerberos 模块