Авторизация в squid доменных и недоменных пользователей
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-10-22 11:22:35
Авторизация в squid доменных и недоменных пользователей
На сервере домен на samba3, а так же squid3. Часть пользователей регистрируется в домене, часть нет (используют локальные записи). На squid настроена ntlm и basic авторизация через хелпер от самбы ntlm_auth.
Браузер IE: для доменных пользователей работает ntlm, для недоменных вылетает запрос пользователь, пароль, домен. Причем, до хелпера прописанного как basic дело даже не доходит. Соответственно необходимо указывать имя домена. Если заремить ntlm и оставить только basic хелпер, то IE авторизуется через него без указания имени домена. Как сделать, чтобы IE для недоменных пользователей использовал basic авторизацию минуя ntlm?
Браузер IE: для доменных пользователей работает ntlm, для недоменных вылетает запрос пользователь, пароль, домен. Причем, до хелпера прописанного как basic дело даже не доходит. Соответственно необходимо указывать имя домена. Если заремить ntlm и оставить только basic хелпер, то IE авторизуется через него без указания имени домена. Как сделать, чтобы IE для недоменных пользователей использовал basic авторизацию минуя ntlm?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Авторизация в squid доменных и недоменных пользователей
Надо наверное для этих пользователей отключить на клиенте windows аутенйикацию, попробуй поставить оперу или лис, которые не должны уметь ntlm-аутенфикацию и посмотреть
- estade
- мл. сержант
- Сообщения: 92
- Зарегистрирован: 2008-06-18 11:16:41
- Откуда: Челябинск
- Контактная информация:
Re: Авторизация в squid доменных и недоменных пользователей
Конфиг сквиды в студию.drpooh писал(а):На сервере домен на samba3, а так же squid3. Часть пользователей регистрируется в домене, часть нет (используют локальные записи). На squid настроена ntlm и basic авторизация через хелпер от самбы ntlm_auth.
Браузер IE: для доменных пользователей работает ntlm, для недоменных вылетает запрос пользователь, пароль, домен. Причем, до хелпера прописанного как basic дело даже не доходит. Соответственно необходимо указывать имя домена. Если заремить ntlm и оставить только basic хелпер, то IE авторизуется через него без указания имени домена. Как сделать, чтобы IE для недоменных пользователей использовал basic авторизацию минуя ntlm?
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-10-22 11:22:35
Re: Авторизация в squid доменных и недоменных пользователей
кусок конфига:
Проверял на IE 6.0.290.5503, Opera 9.26, Mozilla Firefox 2.0.0.8. Нужно работая под локальным пользователем зарегится на прокси используя доменную учетку без указания имени домена.
Если заремить первые две строчки конфига про ntlm, то все три браузера работают через Basic схему и не требуют к имени пользователя добавлять имя домена.
Если включить ntlm схему, то IE проверяет через неё и требует имя домена, до basic дело не доходит. Mozilla Firefox использует ntlm схему но(!) не требует ввода имени домена. Opera использует basic схему.
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 3
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --domain=TESTDOMAIN
auth_param basic children 3
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl users proxy_auth REQUIRED
http_access allow users
http_access deny all
Если заремить первые две строчки конфига про ntlm, то все три браузера работают через Basic схему и не требуют к имени пользователя добавлять имя домена.
Если включить ntlm схему, то IE проверяет через неё и требует имя домена, до basic дело не доходит. Mozilla Firefox использует ntlm схему но(!) не требует ввода имени домена. Opera использует basic схему.
-
- подполковник
- Сообщения: 3927
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Авторизация в squid доменных и недоменных пользователей
Можно пропробовать провести аутенфикацию через группу Domain users, она у тебя должна быть
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --reqiure-membership-of="имя домена"\\"Domain Users"
Ну и конечно посмотреть на параметр в конфиге самбы
winbind use default domain = yes/no
И вообще посмотреть что выдает wbinfo -u, а именно пользователя или домен<разделитель>пользователя
У меня строчка в smb.conf закоментирована, а wbinfo выдает пользователей без домена...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --reqiure-membership-of="имя домена"\\"Domain Users"
Ну и конечно посмотреть на параметр в конфиге самбы
winbind use default domain = yes/no
И вообще посмотреть что выдает wbinfo -u, а именно пользователя или домен<разделитель>пользователя
У меня строчка в smb.conf закоментирована, а wbinfo выдает пользователей без домена...
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-10-22 11:22:35
Re: Авторизация в squid доменных и недоменных пользователей
В конфиге самбы:snorlov писал(а):Можно пропробовать провести аутенфикацию через группу Domain users, она у тебя должна быть
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --reqiure-membership-of="имя домена"\\"Domain Users"
Ну и конечно посмотреть на параметр в конфиге самбы
winbind use default domain = yes/no
И вообще посмотреть что выдает wbinfo -u, а именно пользователя или домен<разделитель>пользователя
У меня строчка в smb.conf закоментирована, а wbinfo выдает пользователей без домена...
winbind use default domain = yes
wbinfo -u не работает, т.к. домен именно на этой машине, его изображает самба. Но при этой wbinfo -a работает. И ntlm_auth работает. Где-то читал, что это нормальное поведение, что winbindd не предназначен для обращения к самбовому контроллеру домена.
Тут http://support.microsoft.com/kb/264921/en-us прочитал вот это:
If both Basic and Windows NT Challenge/Response are supported, the browser determines which method is used. If the browser supports Windows NT Challenge/Response, it uses this method and does not fall back to Basic. If Windows NT Challenge/Response is not supported, the browser uses Basic.
Попробую еще конечно reqiure-membership-of...
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2006-12-12 14:13:23
- Откуда: Тольятти
Re: Авторизация в squid доменных и недоменных пользователей
столкнулся с подобным вопросом, по группа не хочеться делать.
пока изучаю ответы всезнаюшего гугла
Вы как-то решили вопрос?
пока изучаю ответы всезнаюшего гугла
Вы как-то решили вопрос?
---
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-10-22 11:22:35
Re: Авторизация в squid доменных и недоменных пользователей
Нет, не решил. Пока в заботах отложил этот вопрос. Хотя вопрос актуален.