Статья squid+AD

[aspr05]

"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.

В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2

Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.

не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.

Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО

Вот такая петрушка, надеюсь понятно изложил

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gmn]

"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.

В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2

Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.

не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.

Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО

Вот такая петрушка, надеюсь понятно изложил

Да, понятно.
Только не понятно, почему так происходит ...
Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше.
Но проверял, что если basic отключить - то Опера и качалки, котрые не умеют NTLM, отдыхают.

[aspr05]

Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше

а как можно по другому сделать?

[gmn]

Можно.
Выше приведен конфиг.

[aspr05]

Спасибо gmn, а автор статьи может как-нить прокомментировать сложившуюся ситуацию.
Заранее спасибо.

[Alex Keda]

юзайте файрфокс.

[aspr05]

К сожелению это не выход ;(
Хочется чтоб пользователь комп которого не в домене, был заведён в груупу2 и авторизовался по байсику.

[Alex Keda]

ну, если честно - я вообще непонимаю о чём вы...
в примере как сделаноу меня - всё рулиться по группам, вне зависимости, кто в до мене а кто нет.
ибо я сам не в домене

[aspr05]

насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.

и соответственно если пользователя нет в group1 он не авторизуется по htlm
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=domainnname\\group1

то тогда squid запрашивал байсик авторизацию и если пользователь есть в group2 то тады всё ок
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=domainname\\group2

Или я что то не допонял?

[Alex Keda]

пользователь пожет принадлежать группе ТОЛЬКО если он авторизовался.

[aspr05]

нет это то понятно, Он же будет заведён в AD и если в окне авторизации он наберёт domainame\user и пароль то он ведь должен авторизоваться и соответсвенно

пользователь пожет принадлежать группе

[Alex Keda]

насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.

ты сам понимаешь свою логику?

[gmn]

Но если вводится логин и пароль - то это basic аутентификация.
И по твоему описанию он должен быть в групее 2.

[aspr05]

а я о чем и толкую..... он есть в группе2 но его не пускает.

[gmn]

а я о чем и толкую..... он есть в группе2 но его не пускает.

Тогда приведи часть конфига, где описана сама авторизация и потом http_access для авторизированных.

[aspr05]

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=AD\\Inet_http
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=AD\\Inet_Basic
auth_param basic children 10
auth_param basic realm Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl all src 0.0.0.0/0.0.0.0
acl AD proxy_auth REQUIRED
http_access allow AD
http_access deny all

[gmn]

Да, проверил и был немножко шокирован.
Заремил basic аутентификацию.
Оставил только NTLM

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=***
auth_param ntlm children 5
auth_param ntlm keep_alive on

acl auth_users proxy_auth REQUIRED
http_access allow auth_users

В итоге Опера запрашивает логин, пароль. Ввожу - авторизация проходит. В инет пускает.
BASIC при этом вообще заремлена
Это что, получается, что как было раньше (надо было basic подключать, точно помню) - уже не надо?

Проверил еще.
Убрал "--require-membership-of=***" - всеравно basic из Оперы работает.
И NTLM работает.
Да, что-то я не пойму ...

И, более того, "auth_param ntlm program /usr/local/libexec/squid/fakeauth_auth" тоже работает с оперой запрашивая авторизацию.

Видать, много чего изменилось в самом сквиде, после того, как писались многие статьи, как приведено в squid.conf.default, как я делал свой конфиг ...
Тогда, точно помню, при отключенной basic Оперой в Инет не выйдешь. Просто висит и ждет, не запрашивая авторизацию.

[gmn]

Хух, а легче стало Перепроверил ...
Это Опера стала какая-то умная. Как-то по своему авторизируется. Логин и пароль запрашивает, но, при этом, понимает схему NTLM.

НО (!) Flashget, Total Commander и др., котрые не умеют NTLM - в пролете (а включена только NTLM):

Код: Выделить всё

Fri Nov 16 11:03:56 2007 X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
Fri Nov 16 11:03:56 2007 Proxy-Authenticate: NTLM

Так что, basic надо подключать по любому

[aspr05]

Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?

[gmn]

Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?

Нет. Так как группы уже созданы и я использовал их для проверки. Новые создавать не хотел.

Если ты все проверял оперой, то она запрашивает авторизацию, но работает по схеме NTLM.
Т.е. если юзер идет оперой, он в группе "group1" - у него будет запрашиваться логин и пароль и его выпустит в Инет.

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=group1
auth_param ntlm children 5
auth_param ntlm keep_alive on
acl auth_users proxy_auth REQUIRED
http_access allow auth_users

Но, если же этот юзер только в группе "group1" и не входит в "group2" - скачать чего-нибудь через тот же FlashGet не сможет (FlashGet не умеет NTLM).

[aspr05]

Да это то всё понятно. что он скачать не сможет это не беда , им и не положено что либо качать. меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет.

[gmn]

... меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет.

Потому что первой идет NTLM. И IE, естесвенно, сразу авторизируется по NTLM и получает отказ. До basic дело не доходит.

[aspr05]

Задам глупый вопрос, а по чему не доходит и как сделать чтоб доходило.

[gmn]

не делить юзеров по разным группам по типам авторизации.

[Гость]

Статья про сквид перерасла в релиз? или еще бета?