Acabei com duas soluções viáveis para esse problema. Espero que isso seja útil para qualquer um que tente configurar algo semelhante.
-
Configure o IIS com ARR (Application Request Routing) e ative a autenticação do Windows globalmente. Em seguida, configure uma regra de autorização global para permitir qualquer usuário que você deseje autenticar por meio do proxy reverso. As desvantagens desse método são que você não pode facilmente definir permissões diferentes para sites diferentes se estiver fazendo proxy de mais de um. Você pode especificar um "caminho de localização" em uma regra de autorização de URL, mas não pode dizer que servidor1 permita que esses usuários servidor2 permitam esses usuários.
-
A opção que escolhi para usar foi executar o Apache 2.4 com um plugin NTLM mais recente que encontrei no Github ( link ) . Eu não encontrei nenhuma desvantagem usando esse método. Config abaixo.
<VirtualHost *:*> ProxyPass / http://server1/ ProxyPassReverse / http://server1 ServerName proxy1 <Location /* > AuthType SSPI NTLMAuth On NTLMAuthoritative On NTLMOfferBasic On <RequireAny> Require sspi-user contoso\johnsmith </RequireAny> </Location> </VirtualHost> <VirtualHost *:*> ProxyPass / http://server2/ ProxyPassReverse / http://server2 ServerName proxy2 <Location /* > AuthType SSPI NTLMAuth On NTLMAuthoritative On NTLMOfferBasic On <RequireAny> Require sspi-group "contoso\Domain Users" </RequireAny> </Location> </VirtualHost>