我正在将反向代理配置从 Apache 移动到 IIS。其中一些站点在继续之前需要在代理上进行身份验证。为简单起见,它们位于单独的 IIS 站点上。如何指定此站点和/或我在其中配置的反向代理可由特定 AD 组使用?
我试过的:
以下是在 IIS 中仅启用 Windows 身份验证的情况下完成的。都是 Server 2016 / IIS 10。
将托管反向代理站点的文件夹上的 NTFS 权限设置为仅
domain\desiredgroup和proxy\iis_iusrs组,但这没有帮助 - 它仍然允许任何domain\domain users通过。编辑
domain\desiredgroup具有访问权限和domain\domain users被拒绝的身份验证规则。这阻止了所有人。
更可接受的方法是使用应用程序请求路由 (ARR) - 但这需要设置额外的 AD FS(Active Directory 联合服务)服务器。
我最近想为 Kibana 实例做同样的事情,碰巧找到了这个帮助博客:https://www.smbadmin.com/2017/07/securing-kibana-with-iis-reverse-proxy。 html
由于链接在堆栈上不被认为是一个好的答案,我将总结一下:
因此,这对我的 Kibana 安装非常有用,因此我决定为 Jenkins 和许多其他网站和 Web 应用程序部署它,并进行了一些我最常用的调整。
但是,请注意- 我尝试过的一些网站,只是不会接受 - 例如,Confluence,授权弹出窗口会在每次页面刷新时不断出现。另一个不起眼的闭源自定义 Web 应用程序使用了一些糟糕的 Web 开发实践,可能会持续导致 500 和错误的重定向。
我将来可能会尝试设置 ARR,看看在这些情况下是否效果更好,但 ARR 超出了您最初问题的范围。
似乎在 IIS 中不受本机支持。