Inlogproblemen met Sharepoint wanneer achter een proxyserver
Afgelopen weken hebben we het op het werk weer behoorlijk druk gehad met het maken van verschillende Sharepoint websites. Een van deze websites was een publieke site (dus het Internet). Dit is natuurlijk goed te doen, aangezien Sharepoint behoorlijk veel vrijheid biedt en er al veel onderdelen standaard in zitten. Bij oplevering van deze specifieke website was iedereen blij met het resultaat, maar na 1 dag kwamen ze achter een klein probleem.
Tijdens het testen en ontwikkelen hadden we de site onder een bepaalde hostheader geplaatst, laten we deze even https://website.bedrijf.nl noemen. Hier kon men de pagina’s prima mee bekijken, bewerken, toevoegen en verwijderen. De website wordt echter aan het publiek getoond onder de hostheader https://www.website.nl.
Het probleem op dit laatste adres is echter dat ze vanaf de klant hun werk locatie niet in kunnen loggen op de website. Aangezien de beide hostheaders naar dezelfde website verwijzen (via het uitbreiden van een sitecollectie), zijn er dus op zich geen kritieke problemen, maar echt fijn is het niet. Het probleem zit hem in de proxy server of firewall bij de klant, deze blokkeert de verzoeken om in te kunnen loggen op de website (Windows inlogbox en NTLM).
Dit werd bevestigd na een behoorlijke tijd te zoeken naar dit probleem, maar echte oplossingen hiervoor kon ik niet vinden. Uiteindelijk las ik iets over Basisverificatie op websites. Dit houdt in dat er geen encryptie meer wordt plaatsgevonden op het wachtwoord en deze dus als plain-text wordt verstuurd. Dit is dus absoluut niet meer veilig en ook niet aan te raden op een productie omgeving, maar het houdt wel in dat de proxy server het inlogverzoek niet meer blokkeert.
Om zeker te zijn van m’n zaak heb ik dit dus eerst als test ingeschakeld (onder Toepassingsbeheer -> Verificatieproviders) en aan de klant gevraagd of ze in konden loggen via de uiteindelijke link https://www.website.nl.
Dit bleek het geval te zijn en dus wist ik zeker dat Basisverificatie (Basic Authentication) echt gaat werken in dit geval. Nu moet er nog wel een SSL-certificaat worden geinstalleerd, zodat het wachtwoord wel weer wordt versleuteld, of we moeten gebruik gaan maken van forms-authenticatie. Dat gaat volgens mij ook werken, maar nog niet uitgeprobeerd. Dit krijgt zeker nog een vervolg, aangezien het nuttig is om te weten hoe dit op een correcte manier opgelost dient te worden.
Momenteel ben ik namelijk niet echt tevreden, aangezien ik al heb gelezen dat de Verificatieproviders ook op hele andere manieren gebruikt kunnen worden wat mij persoonlijk beter lijkt. Dan krijg je namelijk een URL om de website te bekijken en een om te bewerken (via intern) en eventueel nog een url om als Intranet van dienst te kunnen doen.