squid

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
scfx
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-04-11 15:04:42

squid

Непрочитанное сообщение scfx » 2015-04-11 15:08:45

Настроил squid по следующему мануалу: http://www.maxblogs.ru/articles/squid3- ... tInputForm

В конфиге используются две схемы авторизации negotiate и base
По отдельности обе схемы работают. А втот вместе не хотят.
Для не доменных пользователей (например локальный Администратор) как я понял должна сработать base, но у меня почему то в cashe.log:

Код: Выделить всё

ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
Последний раз редактировалось f_andrey 2015-04-11 16:05:00, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, оформляйте сообщение по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

squid

Непрочитанное сообщение Alex Keda » 2015-04-11 22:59:41

возможно, стоит показать конфиг?
телепаты, знаете ли, уволились - не выдержали нагрузки...
Убей их всех! Бог потом рассортирует...

scfx
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-04-11 15:04:42

squid

Непрочитанное сообщение scfx » 2015-04-12 9:01:23

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
default_realm = DOMAIN.RU
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = /usr/local/etc/squid/squid.keytab
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
DOMAIN.RU = {
kdc = 10.0.0.209
}

[domain_realms]
.domain.ru = DOMAIN.RU
domain.ru=DOMAIN.RU
/usr/local/etc/squid/squid.conf

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/hostname.domain.ru@DOMAIN.RU
auth_param negotiate children 10 startup=5 idle=1
auth_param negotiate keep_alive on

auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -R -D squid@domain.ru \
                        -W /usr/local/etc/squid/scrt -b "OU=USERS,OU=K,OU=LOCATIONS,DC=domain,DC=ru" \
                        -f "sAMAccountName=%s" -h 10.0.0.209
auth_param basic children 10 startup=5 idle=1
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off

acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16

acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 1025-65535

http_access deny !Safe_ports

acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localhost
http_access deny to_localhost

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl \
        -R -b "OU=USERS,OU=K,OU=LOCATIONS,DC=domain,DC=ru" -f "(&(sAMAccountName=%v) \(memberOf=cn=%a,OU=GROUPS,OU=K,OU=LOCATIONS,DC=domain,DC=ru))" \
        -D squid@domain.ru -W /usr/local/etc/squid/scrt -h 10.0.0.209

acl k-web       external ldap_users k-web

http_access allow       all     k-web

http_access deny all

http_port hostname.domain.ru:3128

cache_dir ufs /var/squid/cache 20480 16 256

maximum_object_size_in_memory 1024 KB

cache_mem 256 MB

coredump_dir /var/squid/cache

access_log stdio:/var/squid/logs/access.log squid

cache_log /var/squid/logs/cache.log

cache_store_log none

logfile_rotate 14

pid_filename /var/run/squid/squid.pid

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320

cache_mgr max@beeper.ru

visible_hostname hostname.domain.ru

icp_port 0

error_default_language ru

error_directory /usr/local/etc/squid/errors/ru

error_log_languages on

hosts_file /etc/hosts

forwarded_for off