Доступ внутренне разместил IIS с аутентификацией Windows из Интернета
Вы, вероятно, согласитесь с этим, хотя существует несколько вещей знать:
Во-первых, в соответствии с этой статьей TechNet, следующее является списком символов, которые не позволяются в имени пользователя. Здесь это находится в PowerShell:
'( ; : " <> * + = \\ | ? , )' -imatch '\w'
Это возвращает false, таким образом, Ваш \w должен быть прекрасным.
Во-вторых, как возможное улучшение, Вы могли бы рассмотреть обертывание \w в круглой скобке, чтобы позволить группироваться и легкое извлечение части доменного или имени пользователя соответствия.Примечание: Это будет (очень немного), замедляют соответствие и использование (очень немного) больше памяти.
В-третьих, согласно MS Статья 938447 КБ определенные символы рассматривают как равные по именам пользователей / объекты. Быстрый тест показывает PowerShell, правильно соответствующий, что упомянутые символы с умляутом соответствуют Вашему regex, так осторожны при использовании его для создания учетных записей, которые учетная запись может все еще привести к сбою в странных случаях.
Похоже, SAML или oOth были бы для вас хорошим вариантом. Вы вообще смотрели на этот путь? Обычно он используется для делегирования учетных данных других сайтов, но он должен работать и для внутренних сайтов. Однако вам, вероятно, придется создать собственный интерфейс в вашей DMZ.
Использование обратного прокси-сервера для этой цели - не лучшая идея. Аутентификация Windows предназначена для использования только в приложении интрасети. Есть много причин, по которым вы этого не хотите, некоторые из них можно найти здесь . Самая важная из них заключается в том, что вы открываете путь из своей DMZ во внутреннюю сеть, которая может быть использована хакерами.
Вам следует использовать VPN для достижения цели, которую вы ищете. Здесь список бесплатного программного обеспечения VPN. Мне больше всего нравится OpenVPN.
Еще одна возможность - использовать проверку подлинности с помощью формы - это веб-приложение и использовать отдельные учетные данные для ваших пользователей для входа в веб-приложение.
Тот факт, что вы хотите, чтобы ваш обратный прокси делал это, немного усложняет его.Я не знаю какого-либо готового программного обеспечения прокси , которое бы это делало, но некоторые из устройств Junipers VPN предлагают веб-интерфейс, который не только позволяет пользователям запускать VPN-соединение, но также может использоваться как таковое. прокси действительно после аутентификации пользователя в веб-интерфейсе устройства VPN.