Авторизация в squid доменных и недоменных пользователей

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
drpooh
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-22 11:22:35

Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение drpooh » 2008-11-10 13:52:32

На сервере домен на samba3, а так же squid3. Часть пользователей регистрируется в домене, часть нет (используют локальные записи). На squid настроена ntlm и basic авторизация через хелпер от самбы ntlm_auth.
Браузер IE: для доменных пользователей работает ntlm, для недоменных вылетает запрос пользователь, пароль, домен. Причем, до хелпера прописанного как basic дело даже не доходит. Соответственно необходимо указывать имя домена. Если заремить ntlm и оставить только basic хелпер, то IE авторизуется через него без указания имени домена. Как сделать, чтобы IE для недоменных пользователей использовал basic авторизацию минуя ntlm?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3784
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение snorlov » 2008-11-10 17:45:44

Надо наверное для этих пользователей отключить на клиенте windows аутенйикацию, попробуй поставить оперу или лис, которые не должны уметь ntlm-аутенфикацию и посмотреть

Аватара пользователя
estade
мл. сержант
Сообщения: 92
Зарегистрирован: 2008-06-18 11:16:41
Откуда: Челябинск
Контактная информация:

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение estade » 2008-11-10 18:18:27

drpooh писал(а):На сервере домен на samba3, а так же squid3. Часть пользователей регистрируется в домене, часть нет (используют локальные записи). На squid настроена ntlm и basic авторизация через хелпер от самбы ntlm_auth.
Браузер IE: для доменных пользователей работает ntlm, для недоменных вылетает запрос пользователь, пароль, домен. Причем, до хелпера прописанного как basic дело даже не доходит. Соответственно необходимо указывать имя домена. Если заремить ntlm и оставить только basic хелпер, то IE авторизуется через него без указания имени домена. Как сделать, чтобы IE для недоменных пользователей использовал basic авторизацию минуя ntlm?
Конфиг сквиды в студию. :smile:

drpooh
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-22 11:22:35

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение drpooh » 2008-11-11 5:31:40

кусок конфига:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 3
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --domain=TESTDOMAIN
auth_param basic children 3
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl users proxy_auth REQUIRED
http_access allow users
http_access deny all
Проверял на IE 6.0.290.5503, Opera 9.26, Mozilla Firefox 2.0.0.8. Нужно работая под локальным пользователем зарегится на прокси используя доменную учетку без указания имени домена.
Если заремить первые две строчки конфига про ntlm, то все три браузера работают через Basic схему и не требуют к имени пользователя добавлять имя домена.
Если включить ntlm схему, то IE проверяет через неё и требует имя домена, до basic дело не доходит. Mozilla Firefox использует ntlm схему но(!) не требует ввода имени домена. Opera использует basic схему.

snorlov
подполковник
Сообщения: 3784
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение snorlov » 2008-11-11 11:38:31

Можно пропробовать провести аутенфикацию через группу Domain users, она у тебя должна быть
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --reqiure-membership-of="имя домена"\\"Domain Users"
Ну и конечно посмотреть на параметр в конфиге самбы
winbind use default domain = yes/no
И вообще посмотреть что выдает wbinfo -u, а именно пользователя или домен<разделитель>пользователя
У меня строчка в smb.conf закоментирована, а wbinfo выдает пользователей без домена...

drpooh
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-22 11:22:35

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение drpooh » 2008-11-11 13:05:00

snorlov писал(а):Можно пропробовать провести аутенфикацию через группу Domain users, она у тебя должна быть
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --reqiure-membership-of="имя домена"\\"Domain Users"
Ну и конечно посмотреть на параметр в конфиге самбы
winbind use default domain = yes/no
И вообще посмотреть что выдает wbinfo -u, а именно пользователя или домен<разделитель>пользователя
У меня строчка в smb.conf закоментирована, а wbinfo выдает пользователей без домена...
В конфиге самбы:
winbind use default domain = yes
wbinfo -u не работает, т.к. домен именно на этой машине, его изображает самба. Но при этой wbinfo -a работает. И ntlm_auth работает. Где-то читал, что это нормальное поведение, что winbindd не предназначен для обращения к самбовому контроллеру домена.

Тут http://support.microsoft.com/kb/264921/en-us прочитал вот это:
If both Basic and Windows NT Challenge/Response are supported, the browser determines which method is used. If the browser supports Windows NT Challenge/Response, it uses this method and does not fall back to Basic. If Windows NT Challenge/Response is not supported, the browser uses Basic.
:(

Попробую еще конечно reqiure-membership-of...

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение s.romanov » 2008-12-02 13:42:30

столкнулся с подобным вопросом, по группа не хочеться делать.
пока изучаю ответы всезнаюшего гугла :)
Вы как-то решили вопрос?
---

drpooh
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-10-22 11:22:35

Re: Авторизация в squid доменных и недоменных пользователей

Непрочитанное сообщение drpooh » 2008-12-02 14:26:22

Нет, не решил. Пока в заботах отложил этот вопрос. Хотя вопрос актуален.