Wsus не может авторизоваться по basic на Squid 3.1.018

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-01 9:51:51

День добрый.
Есть проблема, Wsus не проходит basic авторизацию чеез Squid 3.1.018, при включенной ntlm авторизации.

Конфиг Squid:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-basic
# Количество процессов авторизации запросов
 auth_param basic children 30
# Надпись на окне аутентификации 
auth_param basic realm Squid proxy-caching web server
# Указываем время хранения авторизации, в данном случае 2 часа.
# credentialsttl  2 minutes 2 hours
auth_param basic credentialsttl 2 hours
# указываем, что регистр введенных данных роли не играет
auth_param basic casesensitive on
# Логин, только с одного IP адреса
# authenticate_ip_ttl 0
# Samba хранит группу пользователя из AD как указано в конфиге, Squid хранит около 1 часа
# Что б после смены группы пользователя в AD не ждать 1 час нужно установить ttl=0
# тогда при следующем логине в Squid пользователь будет отработан по нужной группе

external_acl_type win_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_all external win_group access_full
acl inet_32 external win_group speed_32
acl inet_64 external win_group speed_64
acl inet_96 external win_group speed_96
acl inet_unlim external win_group speed_unlim

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl squidusers proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet squidusers inet_all inet_32
http_access deny localnet squidusers inet_all inet_32
http_access allow localnet squidusers inet_all inet_64
http_access deny localnet squidusers inet_all inet_64
http_access allow localnet squidusers inet_all inet_96
http_access deny localnet squidusers inet_all inet_96
http_access allow localnet squidusers inet_all inet_unlim
http_access deny all
# Разрешено все.
# http_access allow all
На сервере Wsus указано ходить через basic авторизацию.
Если в squid выключаю ntlm авторизицию wsus нормально конектится и работает без вопросов.

При включенной ntlm пробовал логинится под локальным пользователем и выйти в инет через прокси, при авторизации пользователя (т.к. он не доменный) система выкидывает окно для ntlm авторизации, а по идее должно выпадать окно basic авторизации (окна ntlm и basic авторизации, для ввода логина и пароля, внешне отличаются).

Из этого делаю для себя вывод, что если в моем конфиге включена ntlm, то любой пользователь ломится в инет только через ntlm, не доходя до basic авторизации.
Хотя если я выключаю basic а ntlm включена, то ICQ, в которой прописан логин и пароль, матерится что пароль не верен. Т.е. вроде как ICQ использует basic авторизацию при включенной ntlm.

Samba и winbind работают без вопросов.
Доступ пользователям в инет реализован так:
- пользователь должен прийти с локальной подсети
- должен входить в группу AD internet_access
- в группу по доступу inet_all
- в группу по скорости инета (inet_32 или inet_64 или inet_96 или inet_unlim)
Если пользователь не входит в какую либо группу инет закрыт.

Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all, inet_64.

Помогите пожалуйста разобраться и докрутить конфиг.
Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение arkan » 2009-10-01 10:22:03

Там же в WSUS закладывается в параметрах куда и как ходить

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-01 11:33:34

arkan писал(а):Там же в WSUS закладывается в параметрах куда и как ходить
На сервере Wsus указано ходить через basic авторизацию.
т.е. галка стоит и логин с паролем тоже ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-02 7:37:13

Народ есть варианты?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение arkan » 2009-10-02 8:02:38

Снеми галочки в WSUS использования прокси сервера - нажми OK
Заново в WSUS введи проксю и логин с пасом на авторизацию - нажми OK
синхронизировать вручную - OK
синхронизация -OK

а вот когда запланированная то почемуто отваливается

Раз в недельку вручную синхронизировать не грех

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-02 9:35:35

Это у Wsus такой замеченный глюк ?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение arkan » 2009-10-02 10:24:47

kharkov_max писал(а):Это у Wsus такой замеченный глюк ?
я думаю что именно у WSUS у меня 3.2 версия
так как все другое работает нормально

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-02 12:20:49

Мдя...
у меня тоже 3.2

попробую, спасибо ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение kharkov_max » 2009-10-03 9:51:58

arkan писал(а):Снеми галочки в WSUS использования прокси сервера - нажми OK
Заново в WSUS введи проксю и логин с пасом на авторизацию - нажми OK
синхронизировать вручную - OK
синхронизация -OK

а вот когда запланированная то почемуто отваливается

Раз в недельку вручную синхронизировать не грех
Проверил, не работает ...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Wsus не может авторизоваться по basic на Squid 3.1.018

Непрочитанное сообщение arkan » 2009-10-03 17:02:21

Вы неповерите но там есть еще одна фишка очень интересная ы выни:
вам ради эксперимента надо взять:
десктоп - проксю/Squid + авторизация NCSA + жестко настроенные правила фаервола (т.е. 3128 от десктопа и куда угодно на мелкософт а остальное все задропить нафиг) и при нажатии в ишаке десктопа Сервис - Центр обновления - вы якобы выходите в инет все нормально но на какойто стадии вываливается ошибка что невозможно обновить вынду
Но если сделать апсолютно тоже саое но при условии что заворачивается все на сквид и в конфиге правил фаервола разрешено все и куда угодно - ЫЫЫ вында обновляется за нефиг делать
И с WSUS примерно таже самая хренятина происходит
Я незнаю как такое есть так как не безопасник но какнибудь докопаю фишку мелкософта что там ходит и куда
ВОТ ОНА ВАША ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВСЕЙ СТРАНЫ