Squid 3.1.19 + NTLM authentification BASIC

[omnus]

Народ помогите с таким вопросом.
Стоит сервер Freebsd 9.0 x64.
Squid 3.1.19 + Samba 3.6 с авторизацией в актив директори.
Отказала BASIC авторизация пользователей, работает только NTLM. Произошло это после обновления сквида с 3.0 до 3.1 из за некоректной работы яндекса.
скажите какие логи предоставить, а то у нас касперыч через прокси отказывается обновляться.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Не в тему конечно, но на сайте касперского есть утилита командной строки для закачки баз, после чего их можно рахдать внутри локалки, трафик будет меньший...

[muirdok]

а вообще интересно как это BASIC отказала а NTLM работает. Конфиг не покажете?

[omnus]

Код: Выделить всё

cat /usr/local/etc/squid/squid.conf
# created by SAMS _sams_ 2012-7-27 13:47:36

#####################

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
#auth_param digest program
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm NGCZN PRoxy
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off


# ACCESS CONTROLS
# -----------------------------------------------------------------------------

#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_default_time time MTWHFAS 00:00-23:00
acl _sams_4eb38ea4680f2 proxy_auth "/usr/local/etc/squid/4eb38ea4680f2.sams"
acl _sams_4eb38ea4680f2_time time MTWHFAS 00:00-23:59
acl _sams_4eb38ef1317bc proxy_auth "/usr/local/etc/squid/4eb38ef1317bc.sams"
acl _sams_4eb38ef1317bc_time time MTWHFAS 00:00-23:59
acl _sams_4eb38f4d17396 proxy_auth "/usr/local/etc/squid/4eb38f4d17396.sams"
acl _sams_4eb38f4d17396_time time MTWHFAS 00:00-23:59
acl _sams_4eb3b3c2aaba6 proxy_auth "/usr/local/etc/squid/4eb3b3c2aaba6.sams"
acl _sams_4eb3b3c2aaba6_time time MTWHFAS 00:00-23:59
acl _sams_4eb38f6c2267e proxy_auth "/usr/local/etc/squid/4eb38f6c2267e.sams"
acl _sams_4eb38f6c2267e_time time MTWHFAS 00:00-23:59
acl _sams_4feade743367a proxy_auth "/usr/local/etc/squid/4feade743367a.sams"
acl _sams_4feade743367a_time time MTWHFAS 00:00-23:59
acl _sams_4eb3867d92176 urlpath_regex -i "/usr/local/etc/squid/4eb3867d92176.sams"
acl _sams_4eb386f0581ec url_regex "/usr/local/etc/squid/4eb386f0581ec.sams"
acl _sams_chat url_regex "/usr/local/etc/squid/chat.sams"
acl _sams_porno url_regex "/usr/local/etc/squid/porno.sams"
acl _sams_4eb38cb2cee9c urlpath_regex "/usr/local/etc/squid/4eb38cb2cee9c.sams"
acl _sams_4eb38dd50a11f url_regex "/usr/local/etc/squid/4eb38dd50a11f.sams"
acl _sams_4eb3987074edf url_regex "/usr/local/etc/squid/4eb3987074edf.sams"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
acl _sams_local_url dstdomain "/usr/local/etc/squid/local_url.sams"

#Recommended minimum configuration:
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

#
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow _sams_default  !_sams_4eb386f0581ec !_sams_4eb38cb2cee9c !_sams_chat !_sams_porno _sams_default_time
http_access allow _sams_4eb38ea4680f2  !_sams_4eb386f0581ec !_sams_4eb38cb2cee9c !_sams_chat !_sams_porno _sams_4eb38ea4680f2_time
http_access allow _sams_4eb38ef1317bc  !_sams_4eb3867d92176 !_sams_porno _sams_4eb38ef1317bc_time
http_access deny _sams_4eb38f4d17396  !_sams_4eb38dd50a11f !_sams_4eb3987074edf _sams_4eb38f4d17396_time
http_access deny _sams_4eb3b3c2aaba6  !_sams_4eb3867d92176 _sams_4eb3b3c2aaba6_time
http_access allow _sams_4eb38f6c2267e  _sams_4eb38f6c2267e_time
http_access allow _sams_4feade743367a  _sams_4feade743367a_time

#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

icp_access allow localnet
icp_access deny all

#Allow HTCP queries from local networks only
htcp_access allow localnet
htcp_access deny all

# Squid normally listens to port 3128
http_port 8080

#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

cache_dir ufs /usr/local/squid/cache 640 16 256

pid_filename /usr/local/squid/logs/squid.pid

ftp_passive off

url_rewrite_program /usr/local/bin/samsredir

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

icp_port 3130

coredump_dir /usr/local/squid/cache

Не в тему конечно, но на сайте касперского есть утилита командной строки для закачки баз, после чего их можно рахдать внутри локалки, трафик будет меньший...

Да я знаю про утилиту, но начальство хочет всетаки чтобы все работало на автомате.

а вообще интересно как это BASIC отказала а NTLM работает. Конфиг не покажете?

Не понимаю как это случилось, на версии 3.0 все работало прекрасно, а в 3.1 уже не работает, в логах по доступу видно что сквиду не передается логин и пароль:

Код: Выделить всё

1343592920.933      0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592920.946      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592920.956      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592920.966      0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592920.974      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592920.983      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592920.988      0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.003      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.012      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.018      0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.034      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.044      0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.050      0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.062      0 192.168.100.17 TCP_DENIED/407 4221 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.064      0 192.168.100.17 TCP_DENIED/407 4221 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.067      0 192.168.100.17 TCP_DENIED/407 4205 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml - NONE/- text/html

[omnus]

Вот еще с сервера:

Код: Выделить всё

/var/log/samba/ >>/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
mydomain+admin adminpass
OK

[omnus]

Покапался еще чуток в прокси, выяснил что BASIC аутентификацию какимто образом блокирует SAMS, если из конфига сквида вычестить все записи от самса, то начинает пропускать в инет.