IE squid ssl и ntlm.

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

IE squid ssl и ntlm.

Непрочитанное сообщение Pumbey » 2014-12-12 9:55:26

Добрый день.
Стоит squid с нтлм. Все отлично, все работает.. вот только одно но.
при попытке авторизовать запросы к ssl сайтам - IE перестает авторизоваться.
Сквид

Код: Выделить всё

http_port 3128
visible_hostname        unknown
access_log /usr/local/squid/logs/access.log squid
debug_options ALL,3 #11,9

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 40

external_acl_type nt_group %LOGIN       \
         /usr/local/libexec/squid/ext_wbinfo_group_acl

acl     inet_users      external nt_group inet_users
acl     MYDOMAIN            proxy_auth     REQUIRED
acl     CONNECT          method         CONNECT
acl SSL_ports port 443

http_access allow  CONNECT SSL_ports
http_access allow inet_users all
http_access     deny   all
В таком варианте все работает, но стоит попросить аутентификацию

Код: Выделить всё

http_access allow inet_users CONNECT SSL_ports
- все. IE перестот ходить по ссл вообще. А мозилла при этом прекрасно работает.
Подскажите, куда копать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3811
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IE squid ssl и ntlm.

Непрочитанное сообщение snorlov » 2014-12-12 17:28:10

А какие настройки у IE, по идее там должен стоять один проксик на все протоколы...

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: IE squid ssl и ntlm.

Непрочитанное сообщение Pumbey » 2014-12-12 18:54:27

snorlov писал(а):А какие настройки у IE, по идее там должен стоять один проксик на все протоколы...
да, совершенно верно. и в фф точно так же.

если включить дебаг секции авторизации

Код: Выделить всё

debug_options ALL,0 11,9
то будет видно, (не привожу код, уж ооочень много) что фф получает 1 раз 407 отлуп, и следующей попыткой успешно авторизуется 200, а ие получает 2 раз подряд 407 и спокойно перестает работать.

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: IE squid ssl и ntlm.

Непрочитанное сообщение Pumbey » 2014-12-15 11:49:43

Небольшой апдейт.
При сбое аутентификации в дебаг падает следующее

Код: Выделить всё

2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8558 Checklist.cc:45
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1d98 Checklist.cc:160
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f71058 store_client.cc:154
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040b03f8 store_client.cc:337
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f6f058 CommCalls.cc:21
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1cd8 clientStream.cc:235
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8418 Checklist.cc:320
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040987d8 client_side_request.cc:134
2014/12/15 11:47:56 kid1| Starting new ntlmauthenticator helpers...
2014/12/15 11:47:56 kid1| helperOpenServers: Starting 1/40 'ntlm_auth' processes
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8558 Checklist.cc:45
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1d98 Checklist.cc:160
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f71058 store_client.cc:154
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040b03f8 store_client.cc:337
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f6f058 CommCalls.cc:21
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1cd8 clientStream.cc:235
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8418 Checklist.cc:320
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040987d8 client_side_request.cc:134
К сожалению гугление не дало ничего интересного

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: IE squid ssl и ntlm.

Непрочитанное сообщение skeletor » 2014-12-19 14:17:07

Сам недавно столкнулся с таким. Решение такое: описываем метод connect и порты, которые могут использоваться при этом методе. Ну и добавляем собственно разрешение на коннект. Всё вместе выглядит так:

Код: Выделить всё

...
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
...
http_access     allow   CONNECT SSL_ports
...
Правило http_access нужно ставить как можно выше.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

flatic
рядовой
Сообщения: 15
Зарегистрирован: 2011-10-24 10:30:51

IE squid ssl и ntlm.

Непрочитанное сообщение flatic » 2015-02-26 16:32:04

skeletor писал(а):Сам недавно столкнулся с таким. Решение такое: описываем метод connect и порты, которые могут использоваться при этом методе. Ну и добавляем собственно разрешение на коннект. Всё вместе выглядит так:

Код: Выделить всё

...
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
...
http_access     allow   CONNECT SSL_ports
...
Правило http_access нужно ставить как можно выше.
Прошу прощения, но в чем Ваше решение отличается от первого поста автора ? Как авторизации не было для доступа по https так и нет. Всем 443 разрешен.
С толкнулся с такой же проблемой, пока что гуглю.

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

IE squid ssl и ntlm.

Непрочитанное сообщение Kobzar » 2015-02-27 10:41:16

а если попробовать поиграться с параметром

Код: Выделить всё

"keep_alive" on|off
И добавить еще вот так

Код: Выделить всё

http_access allow inet_users CONNECT SSL_ports MYDOMAIN
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение damir_madaga » 2015-02-27 11:45:55

У меня тоже проблема, но я только отстраиваю систему, думал что туплю где-то, а оказывается у многих проблема тут!
Женщины и софт - должны быть бесплатными!

flatic
рядовой
Сообщения: 15
Зарегистрирован: 2011-10-24 10:30:51

IE squid ssl и ntlm.

Непрочитанное сообщение flatic » 2015-02-27 12:56:45

Код: Выделить всё

external_acl_type nt_group ttl=300 negative_ttl=300 %LOGIN /usr/local/libexec/sq
uid/ext_wbinfo_group_acl

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
acl MYDOMAIN proxy_auth REQUIRED
acl localinternet external nt_group localinternet

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localinternet CONNECT SSL_ports MYDOMAIN
http_access allow localinternet
http_access deny all
Результат прежний из ie выскакивает авторизация. :x :( :cz2:

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение damir_madaga » 2015-02-27 13:04:00

А у кого какая версия Squid???
моя

Код: Выделить всё

Squid Cache: Version 3.4.12
Женщины и софт - должны быть бесплатными!

flatic
рядовой
Сообщения: 15
Зарегистрирован: 2011-10-24 10:30:51

IE squid ssl и ntlm.

Непрочитанное сообщение flatic » 2015-02-27 13:07:48

такая же.
Но на крайняк я уже подумываю, открыть 443 как в первом посте автор написал. После чего сверху вешать deny запрешшеных сайтов с https, а http как по группе работало так и путь пашет.

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение skeletor » 2015-03-04 16:17:16

flatic писал(а): Прошу прощения, но в чем Ваше решение отличается от первого поста автора ? Как авторизации не было для доступа по https так и нет. Всем 443 разрешен.
С толкнулся с такой же проблемой, пока что гуглю.
Ничем. Просто невнимательно прочёл.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

enfogar
проходил мимо

IE squid ssl и ntlm.

Непрочитанное сообщение enfogar » 2015-03-11 10:05:25

damir_madaga писал(а):А у кого какая версия Squid???
моя

Код: Выделить всё

Squid Cache: Version 3.4.12

Код: Выделить всё

# squid -v
Squid Cache: Version 3.4.12

Код: Выделить всё

# ntlm_auth -V
Version 3.6.25
IE 10 и 11 не работает на ssl c ntlm_auth. FF, Chrome все Ок

enfogar
проходил мимо

IE squid ssl и ntlm.

Непрочитанное сообщение enfogar » 2015-03-13 15:07:15

С тем же конфигом squid 3.3 нормально работает с IE

CLLLAgOB
рядовой
Сообщения: 19
Зарегистрирован: 2011-07-13 10:30:14

IE squid ssl и ntlm.

Непрочитанное сообщение CLLLAgOB » 2015-03-23 17:49:00

такая же беда господа :( у кого нибуть есть подвижки? Зы подтверждаю на старом сквиде все работает нормально.

therb
проходил мимо

IE squid ssl и ntlm.

Непрочитанное сообщение therb » 2015-03-28 0:12:52

1427462359.591 10410 10.20.10.41 TCP_MISS/200 3840 CONNECT vec03.maps.yandex.net:443 manager.m HIER_DIRECT/5.45.196.95 – Здоровый браузер
1427462349.264 119 10.20.10.41 TCP_DENIED/407 4036 CONNECT vec04.maps.yandex.net:443 - HIER_NONE/- text/html - IE
от ИЕ не передается имя пользователя в следствии чего нельзя проверить пользователя на наличие в группе.

Код: Выделить всё

Как по мне возможно нужно копать не прокси а ИЕ
Предлагаю консилиум в понедельник по этому вопросу, можем собраться в скайпе и пообсуждать потестить.
Если кто за пишите.

therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

IE squid ssl и ntlm.

Непрочитанное сообщение therb1 » 2015-03-30 9:35:55

login808 мой скайп

enfogar
проходил мимо

IE squid ssl и ntlm.

Непрочитанное сообщение enfogar » 2015-03-30 12:34:31

у себя на FreeBSD 9.2 вижу, что ntlm_auth в 3.4.12 и 3.5.2 не работает в IE при ssl. в 3.3 работает во всех браузерах.

Перешел на kerberos - все Ок.

CLLLAgOB
рядовой
Сообщения: 19
Зарегистрирован: 2011-07-13 10:30:14

IE squid ssl и ntlm.

Непрочитанное сообщение CLLLAgOB » 2015-03-30 15:42:28

enfogar писал(а):у себя на FreeBSD 9.2 вижу, что ntlm_auth в 3.4.12 и 3.5.2 не работает в IE при ssl. в 3.3 работает во всех браузерах.

Перешел на kerberos - все Ок.
Можно подробней?

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение damir_madaga » 2015-03-30 15:57:59

+1
Женщины и софт - должны быть бесплатными!

CLLLAgOB
рядовой
Сообщения: 19
Зарегистрирован: 2011-07-13 10:30:14

IE squid ssl и ntlm.

Непрочитанное сообщение CLLLAgOB » 2015-04-13 13:33:35

Может кто подскажет как поставить ntlm_auth версии 3.3? На FreeBSD 10.1

therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

IE squid ssl и ntlm.

Непрочитанное сообщение therb1 » 2015-04-21 1:17:46

не помогло щас буду переводить все на керберос, обидно, чертов ИЕ

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение damir_madaga » 2015-05-07 13:02:39

CLLLAgOB, дай основу с чего керберос поднимал!
Женщины и софт - должны быть бесплатными!

Аватара пользователя
skeletor
майор
Сообщения: 2501
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

IE squid ssl и ntlm.

Непрочитанное сообщение skeletor » 2015-05-08 13:36:03

CLLLAgOB писал(а):Может кто подскажет как поставить ntlm_auth версии 3.3? На FreeBSD 10.1
Через configure с указанием нужных опций. У меня собран с такими:

Код: Выделить всё

# /usr/local/squid33/sbin/squid -v
Squid Cache: Version 3.3.13
configure options:  '--with-default-user=squid' '--bindir=/usr/local/squid33/sbin' '--sbindir=/usr/local/squid33/sbin' '--datadir=/usr/local/squid33/etc/squid' '--libexecdir=/usr/local/squid33/libexec/squid' '--localstatedir=/usr/local/squid33/var' '--sysconfdir=/usr/local/squid33/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/usr/local/squid33/var/run/squid/squid.pid' '--with-swapdir=/usr/local/squid33/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-eui' '--disable-cache-digests' '--enable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--with-large-files' '--disable-http-violations' '--disable-snmp' '--enable-ssl' '--enable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL SMB NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group wbinfo_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--without-pthreads' '--enable-storeio=diskd rock ufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--with-openssl=/usr' '--prefix=/usr/local/squid33' '--mandir=/usr/local/squid33/man' '--infodir=/usr/local/squid33/info/' '--build=amd64-portbld-freebsd10.1' 'build_alias=amd64-portbld-freebsd10.1' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/local/include -I/usr/local/include -I/usr/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -Wl,-rpath,/usr/lib:/usr/local/lib -L/usr/lib -fstack-protector' 'LIBS=' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing  -Wno-unused-private-field' 'CPP=cpp'
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

CLLLAgOB
рядовой
Сообщения: 19
Зарегистрирован: 2011-07-13 10:30:14

IE squid ssl и ntlm.

Непрочитанное сообщение CLLLAgOB » 2016-01-27 17:21:39

ну что коллеги у кого нибудь получилось решить проблему?