Existe alguma solução não apenas para proxy NTLM, mas para converter HTTP Basic Auth no lado de entrada para NTLM no lado de saída?
Histórico : um servidor interno do SharePoint usando NTLM Auth deve ser acessível por meio de um proxy reverso Apache. O problema é que o NTLM tem estado e o mod_proxy não consegue lidar com isso. Agora, o Apache com mod_proxy poderia apenas fornecer autenticação básica (e autenticar por meio de um arquivo passwd ou similar) e proxy para outro tradutor interno de autenticação básica para NTLM. Isso apenas lê nossas credenciais de autenticação http e as passa para o servidor SharePoint.
Não existe uma solução puramente baseada em Apache. Suas opções (eu conheço e tentei) são:
Há também o Nginx Plus que reivindica suporte, mas não tentei.
Você pode colocar seu novo proxy reverso na frente do Apache. Não "O Apache serve algo e faz proxy de algo", mas a-la "Caddy faz proxy de tudo, distribuindo entre diferentes back-ends". Isso resultaria em uma arquitetura geral melhor, com funções claramente definidas e fraca interdependência de serviços: um servidor proxy faz apenas proxy, enquanto o servidor web faz apenas serviços, e cada parte pode ser substituída ou gerenciada de forma independente (por exemplo, por diferentes equipes de administradores, etc.).
Se você optar pelo Caddy, primeiro você precisa mover o Apache para algumas portas diferentes de 80/443. Haverá o Caddy, que não deve apenas reverter o proxy do seu material NTLM, mas também o material que o Apache está servindo. Como bônus, você pode usar os recursos SSL automáticos do Caddy (ele tem, por exemplo, cliente ACME integrado, para interagir com Let's Encrypt e Zero SSL), remover SSL e usar apenas uma porta não padrão para HTTP do Apache.
Ou você pode mover toda a carga para o Caddy, livrando-se do Apache. Mas eu não faria isso.
Como alternativa, você pode executar uma pequena VM (ou contêiner) dedicada apenas com o Caddy e expô-la externamente; esta é a solução que encontrei no passado, quando estava resolvendo exatamente o mesmo problema (o proxy reverso do OWA e de algum outro site, usando apenas um único endereço IP público). Esta também seria a única solução possível se você escolher o Kerio.