SQUID аутентификация NTLM HTTPS/SSL

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:
Контактная информация пользователя Jedi88Knight

SQUID аутентификация NTLM HTTPS/SSL

Непрочитанное сообщение Jedi88Knight » 2013-12-21 19:49:59

Люди добрые. Помогите мудрым советом. Настроена связка squid-ntlm-sams, Авторизация работает на ура, но когда пользователь пытается загрузить страничку https, авторизация просто напросто не происходит. Так же существует эта проблема с клиентами ICQ. Метод CONNECT разрешен, http_access allow SSl_ports Safe_ports. Все вроде есть, но при защищенном соединении не происходит авторизации.
Кусок лога ./squid/access.log
1387643344.158 0 192.168.2.203 TCP_MISS/404 0 CONNECT login.icq.com:443 - DIRECT/- -
1387643345.293 0 192.168.2.187 TCP_MISS/404 0 CONNECT http://www.facebook.com:443 - DIRECT/- -
1387643347.558 56152 192.168.2.23 TCP_MISS/200 271 GET http://notify10.dropbox.com/subscribe? kitanin DIRECT/108.160.162.34 text/plain
1387643381.782 55528 192.168.2.22 TCP_MISS/200 271 GET http://notify3.dropbox.com/subscribe? simonov DIRECT/108.160.162.50 text/plain
Любые конфиги покажу, только подскажите)) Замучился уже искать где собака зарыта. Заранее благодарен.
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:
Контактная информация пользователя Jedi88Knight

Re: SQUID аутентификация NTLM HTTPS/SSL

Непрочитанное сообщение Jedi88Knight » 2013-12-22 17:09:33

В общем вопрос снимается. Объясняю почему. Я умолчал о том, что в связке также участвует rejik. Дело в том что метод CONNECT для SSL был разрешен следующей строчкой в squid.conf
http_access deny CONNECT !SSL_ports
Получается следующее. авторизация в AD не имеет никакого отношения к разрешению коннект для SSL. И при защищенном соединении SQUID не учитывает учетную запись в домене. Rejik в свою очередь так-же не получает информации о том, какой юзер пытается получить доступ к запрашиваемому сайту и редиректит по умолчанию. Если заккоментить строчку с указанием redirect_programm, то все работает нормально.
Чтобы исправить данную ситуёвину, необходимо проделать следующее:
В конфиге squid с NTLM есть строчка
acl NTLM_USER proxy_auth REQUIRED
Так вот. Нужно ткнуть SQUID таким образом, чтобы он придавал значение тому, кто именно хочет получить доступ к защищенному соединению. Я сделал следующим образом.
acl post method POST
acl ICQ_ports port 5190
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https

acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports NTLM_USER
http_access allow CONNECT ICQ_ports NTLM_USER
Упоминание об этом встретил на форуме того-же самого режика.
Прописав эти строчки реконфигурируем SQUID и вуаля. Все заработало. Squid пишет в access.log кто именно пытается получить доступ, а следовательно тоже самое видит и режик. все проходит на ура.
Вернуться к началу