IE squid ssl и ntlm.

Pumbey · Непрочитанное сообщение **Pumbey** » 2014-12-12 9:55:26

Добрый день.
Стоит squid с нтлм. Все отлично, все работает.. вот только одно но.
при попытке авторизовать запросы к ssl сайтам - IE перестает авторизоваться.
Сквид

Код: Выделить всё

http_port 3128
visible_hostname        unknown
access_log /usr/local/squid/logs/access.log squid
debug_options ALL,3 #11,9

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 40

external_acl_type nt_group %LOGIN       \
         /usr/local/libexec/squid/ext_wbinfo_group_acl

acl     inet_users      external nt_group inet_users
acl     MYDOMAIN            proxy_auth     REQUIRED
acl     CONNECT          method         CONNECT
acl SSL_ports port 443

http_access allow  CONNECT SSL_ports
http_access allow inet_users all
http_access     deny   all

В таком варианте все работает, но стоит попросить аутентификацию

Код: Выделить всё

http_access allow inet_users CONNECT SSL_ports

- все. IE перестот ходить по ссл вообще. А мозилла при этом прекрасно работает.
Подскажите, куда копать?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov · Непрочитанное сообщение **snorlov** » 2014-12-12 17:28:10

А какие настройки у IE, по идее там должен стоять один проксик на все протоколы...

Pumbey · Непрочитанное сообщение **Pumbey** » 2014-12-12 18:54:27

snorlov писал(а):А какие настройки у IE, по идее там должен стоять один проксик на все протоколы...

да, совершенно верно. и в фф точно так же.

если включить дебаг секции авторизации

Код: Выделить всё

debug_options ALL,0 11,9

то будет видно, (не привожу код, уж ооочень много) что фф получает 1 раз 407 отлуп, и следующей попыткой успешно авторизуется 200, а ие получает 2 раз подряд 407 и спокойно перестает работать.

Pumbey · Непрочитанное сообщение **Pumbey** » 2014-12-15 11:49:43

Небольшой апдейт.
При сбое аутентификации в дебаг падает следующее

Код: Выделить всё

2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8558 Checklist.cc:45
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1d98 Checklist.cc:160
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f71058 store_client.cc:154
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040b03f8 store_client.cc:337
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f6f058 CommCalls.cc:21
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1cd8 clientStream.cc:235
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8418 Checklist.cc:320
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040987d8 client_side_request.cc:134
2014/12/15 11:47:56 kid1| Starting new ntlmauthenticator helpers...
2014/12/15 11:47:56 kid1| helperOpenServers: Starting 1/40 'ntlm_auth' processes
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8558 Checklist.cc:45
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1d98 Checklist.cc:160
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f71058 store_client.cc:154
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040b03f8 store_client.cc:337
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x808f6f058 CommCalls.cc:21
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a1cd8 clientStream.cc:235
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040a8418 Checklist.cc:320
2014/12/15 11:47:56 kid1| CBDATA memory leak. cbdata=0x8040987d8 client_side_request.cc:134

К сожалению гугление не дало ничего интересного

skeletor

Сам недавно столкнулся с таким. Решение такое: описываем метод connect и порты, которые могут использоваться при этом методе. Ну и добавляем собственно разрешение на коннект. Всё вместе выглядит так:

Код: Выделить всё

...
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
...
http_access     allow   CONNECT SSL_ports
...

Правило http_access нужно ставить как можно выше.

flatic · Непрочитанное сообщение **flatic** » 2015-02-26 16:32:04

skeletor писал(а):Сам недавно столкнулся с таким. Решение такое: описываем метод connect и порты, которые могут использоваться при этом методе. Ну и добавляем собственно разрешение на коннект. Всё вместе выглядит так:
Код: Выделить всё
...
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
...
http_access     allow   CONNECT SSL_ports
...
Правило http_access нужно ставить как можно выше.

Прошу прощения, но в чем Ваше решение отличается от первого поста автора ? Как авторизации не было для доступа по https так и нет. Всем 443 разрешен.
С толкнулся с такой же проблемой, пока что гуглю.

Kobzar · Непрочитанное сообщение **Kobzar** » 2015-02-27 10:41:16

а если попробовать поиграться с параметром

Код: Выделить всё

"keep_alive" on|off

И добавить еще вот так

Код: Выделить всё

http_access allow inet_users CONNECT SSL_ports MYDOMAIN

damir_madaga

У меня тоже проблема, но я только отстраиваю систему, думал что туплю где-то, а оказывается у многих проблема тут!

flatic · Непрочитанное сообщение **flatic** » 2015-02-27 12:56:45

Код: Выделить всё

external_acl_type nt_group ttl=300 negative_ttl=300 %LOGIN /usr/local/libexec/sq
uid/ext_wbinfo_group_acl

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
acl MYDOMAIN proxy_auth REQUIRED
acl localinternet external nt_group localinternet

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localinternet CONNECT SSL_ports MYDOMAIN
http_access allow localinternet
http_access deny all

Результат прежний из ie выскакивает авторизация.

damir_madaga

А у кого какая версия Squid???
моя

Код: Выделить всё

Squid Cache: Version 3.4.12

flatic · Непрочитанное сообщение **flatic** » 2015-02-27 13:07:48

такая же.
Но на крайняк я уже подумываю, открыть 443 как в первом посте автор написал. После чего сверху вешать deny запрешшеных сайтов с https, а http как по группе работало так и путь пашет.

skeletor

flatic писал(а): Прошу прощения, но в чем Ваше решение отличается от первого поста автора ? Как авторизации не было для доступа по https так и нет. Всем 443 разрешен.
С толкнулся с такой же проблемой, пока что гуглю.

Ничем. Просто невнимательно прочёл.

enfogar · Непрочитанное сообщение **enfogar** » 2015-03-11 10:05:25

damir_madaga писал(а):А у кого какая версия Squid???
моя
Код: Выделить всё
Squid Cache: Version 3.4.12

Код: Выделить всё

# squid -v
Squid Cache: Version 3.4.12

Код: Выделить всё

# ntlm_auth -V
Version 3.6.25

IE 10 и 11 не работает на ssl c ntlm_auth. FF, Chrome все Ок

enfogar · Непрочитанное сообщение **enfogar** » 2015-03-13 15:07:15

С тем же конфигом squid 3.3 нормально работает с IE

CLLLAgOB

такая же беда господа

у кого нибуть есть подвижки? Зы подтверждаю на старом сквиде все работает нормально.

therb · Непрочитанное сообщение **therb** » 2015-03-28 0:12:52

1427462359.591 10410 10.20.10.41 TCP_MISS/200 3840 CONNECT vec03.maps.yandex.net:443 manager.m HIER_DIRECT/5.45.196.95 – Здоровый браузер
1427462349.264 119 10.20.10.41 TCP_DENIED/407 4036 CONNECT vec04.maps.yandex.net:443 - HIER_NONE/- text/html - IE
от ИЕ не передается имя пользователя в следствии чего нельзя проверить пользователя на наличие в группе.

Код: Выделить всё

Как по мне возможно нужно копать не прокси а ИЕ

Предлагаю консилиум в понедельник по этому вопросу, можем собраться в скайпе и пообсуждать потестить.
Если кто за пишите.

therb1 · Непрочитанное сообщение **therb1** » 2015-03-30 9:35:55

login808 мой скайп

enfogar · Непрочитанное сообщение **enfogar** » 2015-03-30 12:34:31

у себя на FreeBSD 9.2 вижу, что ntlm_auth в 3.4.12 и 3.5.2 не работает в IE при ssl. в 3.3 работает во всех браузерах.

Перешел на kerberos - все Ок.

CLLLAgOB

enfogar писал(а):у себя на FreeBSD 9.2 вижу, что ntlm_auth в 3.4.12 и 3.5.2 не работает в IE при ssl. в 3.3 работает во всех браузерах.

Перешел на kerberos - все Ок.

Можно подробней?

damir_madaga

CLLLAgOB

Может кто подскажет как поставить ntlm_auth версии 3.3? На FreeBSD 10.1

therb1 · Непрочитанное сообщение **therb1** » 2015-04-21 1:17:46

не помогло щас буду переводить все на керберос, обидно, чертов ИЕ

damir_madaga

CLLLAgOB, дай основу с чего керберос поднимал!

skeletor

CLLLAgOB писал(а):Может кто подскажет как поставить ntlm_auth версии 3.3? На FreeBSD 10.1

Через configure с указанием нужных опций. У меня собран с такими:

Код: Выделить всё

# /usr/local/squid33/sbin/squid -v
Squid Cache: Version 3.3.13
configure options:  '--with-default-user=squid' '--bindir=/usr/local/squid33/sbin' '--sbindir=/usr/local/squid33/sbin' '--datadir=/usr/local/squid33/etc/squid' '--libexecdir=/usr/local/squid33/libexec/squid' '--localstatedir=/usr/local/squid33/var' '--sysconfdir=/usr/local/squid33/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/usr/local/squid33/var/run/squid/squid.pid' '--with-swapdir=/usr/local/squid33/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-eui' '--disable-cache-digests' '--enable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--with-large-files' '--disable-http-violations' '--disable-snmp' '--enable-ssl' '--enable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL SMB NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group wbinfo_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--without-pthreads' '--enable-storeio=diskd rock ufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--with-openssl=/usr' '--prefix=/usr/local/squid33' '--mandir=/usr/local/squid33/man' '--infodir=/usr/local/squid33/info/' '--build=amd64-portbld-freebsd10.1' 'build_alias=amd64-portbld-freebsd10.1' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/local/include -I/usr/local/include -I/usr/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -Wl,-rpath,/usr/lib:/usr/local/lib -L/usr/lib -fstack-protector' 'LIBS=' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing  -Wno-unused-private-field' 'CPP=cpp'

CLLLAgOB

ну что коллеги у кого нибудь получилось решить проблему?

forum.lissyara.su