И снова проблемы Squid

[kharkov_max]

День добрый.

Недавно обновил Squid до

Код: Выделить всё

squid-3.1.8         HTTP Caching Proxy

И наступил на грабли.
Стала выскакивать Basic автоирзация.
Squid сконфигурирован на авторизацию NTLM AD и Basic.
Конфиг squid стандартный, военного ни чего нет.

Появляется не сразу...
Можно открыть пару-тройку сайтов без авторизации а потом появляется окно Basic авторизации.
Если вести доменный логин/пароль дальше какое-то время работает нормально а потом опять ...
Почти уверен что если откачусь на предыдущую версию, то все будет работать нормально.

Вопрос.
Как проверить в сязи с чем это происходит?
Хочу не просто откатиться а понять причину.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

логи

[kharkov_max]

Подскажите какой конкретно показать.
Через squid.conf задано 3 файла

Код: Выделить всё

access.log      cache.log       store.log

[kharkov_max]

Так все же ...
Какие логи показать ?

[tom.cat]

Показать access.log. Желательно в тот момент, когда вылетает окно с авторизацией.

[kharkov_max]

Вот кусок лога после попытки открыть mail.ru

Код: Выделить всё

1287209455.010      0 192.168.10.11 TCP_DENIED/407 4278 CONNECT auth.mail.ru:443 - NONE/- text/html
1287209455.032      0 192.168.10.11 TCP_DENIED/407 4032 GET http://mail.ru/favicon.ico - NONE/- text/html
1287209455.076    162 192.168.10.11 TCP_MISS/200 338 GET http://counter.rambler.ru/top100.cnt? max DIRECT/81.19.88.81 image/gif
1287209455.094      0 192.168.10.11 TCP_DENIED/407 4583 GET http://r2.mail.ru/d227295.gif? - NONE/- text/html
1287209455.151    186 192.168.10.11 TCP_MISS/200 383 GET http://mail.radar.imgsmail.ru/update? max DIRECT/94.100.182.110 image/gif
1287209455.273      0 192.168.10.11 TCP_DENIED/407 4226 GET http://mail.ru/favicon.ico - NONE/- text/html
1287209455.351    192 192.168.10.11 TCP_MISS/200 340 GET http://rs.mail.ru/d292152.gif? max DIRECT/94.100.186.138 image/gif
1287209455.497      0 192.168.10.11 TCP_DENIED/407 4226 GET http://mail.ru/favicon.ico - NONE/- text/html
1287209455.732      0 192.168.10.11 TCP_DENIED/407 4226 GET http://mail.ru/favicon.ico - NONE/- text/html
1287209455.959      0 192.168.10.11 TCP_DENIED/407 4226 GET http://mail.ru/favicon.ico - NONE/- text/html
1287209464.014    188 192.168.10.11 TCP_MISS/200 156319 POST http://mkh.mine.nu/RPC2 max DIRECT/109.87.33.166 text/xml
1287209465.524     22 192.168.10.11 TCP_MISS/200 857 POST http://mkh.mine.nu/RPC2 max DIRECT/109.87.33.166 text/xml

Окно для ввода пароля выскочило, но я его не вводил.
Ошибка 200 вроде говорит о том что файла нет в кеше и он будет выкачан.

[tom.cat]

С какими опциями у тебя установлен сквид?

[kharkov_max]

Вы имеете ввиду именно установку ?
Или конфиг ?

[kharkov_max]

Если опции сборки, то вот:

Код: Выделить всё

 SQUID_KERB_AUTH=on "Install Kerberos authentication helpers"
     SQUID_LDAP_AUTH=on "Install LDAP authentication helpers"
     SQUID_NIS_AUTH=on "Install NIS/YP authentication helpers"
     SQUID_SASL_AUTH=on "Install SASL authentication helpers"
     SQUID_IPV6=off "Enable IPv6 support"
     SQUID_DELAY_POOLS=on "Enable delay pools"
     SQUID_SNMP=on "Enable SNMP support"
     SQUID_SSL=on "Enable SSL support for reverse proxies"
     SQUID_PINGER=on "Install the icmp helper"
     SQUID_DNS_HELPER=off "Use the old 'dnsserver' helper"
     SQUID_HTCP=on "Enable HTCP support"
     SQUID_VIA_DB=on "Enable forward/via database"
     SQUID_CACHE_DIGESTS=on "Enable cache digests"
     SQUID_WCCP=on "Enable Web Cache Coordination Prot. v1"
     SQUID_WCCPV2=on "Enable Web Cache Coordination Prot. v2"
     SQUID_STRICT_HTTP=on "Be strictly HTTP compliant"
     SQUID_IDENT=on "Enable ident (RFC 931) lookups"
     SQUID_REFERER_LOG=on "Enable Referer-header logging"
     SQUID_USERAGENT_LOG=on "Enable User-Agent-header logging"
     SQUID_ARP_ACL=on "Enable ACLs based on ethernet address"
     SQUID_IPFW=off "Enable transparent proxying with IPFW"
     SQUID_PF=on "Enable transparent proxying with PF"
     SQUID_IPFILTER=off "Enable transp. proxying with IPFilter"
     SQUID_FOLLOW_XFF=off "Follow X-Forwarded-For headers"
     SQUID_ECAP=off "En. loadable content adaptation modules"
     SQUID_ICAP=on "Enable ICAP client functionality"
     SQUID_ESI=off "Enable ESI support (experimental)"
     SQUID_AUFS=on "Enable the aufs storage scheme"
     SQUID_COSS=off "Enable COSS (currently not available)"
     SQUID_KQUEUE=off "Use kqueue(2) (experimental)"
     SQUID_LARGEFILE=on "Support log and cache files >2GB"
     SQUID_STACKTRACES=off "Create backtraces on fatal errors"
     SQUID_DEBUG=off "Enable debugging options"

[skeletor]

Сам наблюдал эту ситуацию и понял: дело в браузерах и то, как они поддерживают типы авторизации. К примеру explorer, firefor, chrome работает нормально, а вот опера ни в какую. Пришлось поиграться с настройками. Был тоже случай, когда explorer не хотел авторизироваться вообще, а вот firefox - нормально.

Собственно свои наблюдения описал здесь http://skeletor.org.ua/?p=422

[kharkov_max]

Сам наблюдал эту ситуацию и понял: дело в браузерах и то, как они поддерживают типы авторизации. К примеру explorer, firefor, chrome работает нормально, а вот опера ни в какую. Пришлось поиграться с настройками. Был тоже случай, когда explorer не хотел авторизироваться вообще, а вот firefox - нормально.

Собственно свои наблюдения описал здесь http://skeletor.org.ua/?p=422

Дело в том что если отключить Basic авторизацию, то через NTLM все отлично работает ...
Только ICQ и т.д. не пашет ...

Такое ощущение что кол-во авторизаций NTLM достигает максимального значения и по таймауту авторизация переходит на Basic ....

[kharkov_max]

Решил сделать UP...

[tom.cat]

Попробуй squid+kerberos. Раз такой затык.

[kharkov_max]

Вообщем как и писал выше начал делать portdowngrade.
Текущая версия была последняя, squid-3.1.8

Сделал на squid-3.1.7 - порт не собрался, начал ругаться на то что не может применить патчи.
Сделал на squid-3.1.6 - порт собрался, но к большому огорчению инет перестал ходить по https
Т.е любой запрос по https через squid получал отлуп.
Даже не стал править конфиги т.к. они верные - полез в гугл, там нашел пару постов с такой же проблемой по версии squid-3.1.6

Сделал на squid-3.1.4 - порт собрался нормально, https работает без проблем, окошки с basic авторизацией больше не появляются ...
Надеюсь больше и не будут появляться ))).

Думаю что вопрос решен...
Всем спасибо.

[tom.cat]

Вопрос решен до следующего portupgrade'а. Если, конечно, не будешь исключать обновление кальмара Успехов!

[kharkov_max]

)))
Конечно исключил ...
Нужно было дописать ...