SQUID FreeBSD ntlm

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
uasash
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-09-07 13:04:25

SQUID FreeBSD ntlm

Непрочитанное сообщение uasash » 2010-09-08 15:42:31

есть такая конфигурация

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group  %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost
Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

_FreeBSD
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение _FreeBSD » 2010-09-08 17:29:53

uasash писал(а):...Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?
чета мысль в вопросе запутаная.
хочется чтобы как было?

uasash2
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение uasash2 » 2010-09-09 7:56:06

Хочется что бы авторизация проходила по ntlm тоесть для тех кто использует iexplorer имя пользователя и пароль не запрашивало.

_Гагарин
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение _Гагарин » 2010-09-09 10:14:28

затесть ie, когда конфиг сквида только на ntlm заточен, типо:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group  %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost

uasash
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-09-07 13:04:25

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение uasash » 2010-09-09 13:02:52

_Гагарин писал(а):затесть ie, когда конфиг сквида только на ntlm заточен, типо:
Непонял ничего.

Гость
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение Гость » 2010-09-09 13:13:43

конфиг сквида чтобы только ntlm был
и попробуй через ie полазить
что не понятного то?

uasash
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-09-07 13:04:25

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение uasash » 2010-09-09 16:22:25

походу понял в чем проблема но решение так и не нашел.
при авторизации ie посылает domen\username это не проходит а вот opera шлет username это проходит

Гость
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение Гость » 2010-09-09 17:16:09

и как ты это понял?

попробовал чтобы в сквиде был только ntlm?

и смотри логи на серваке с AD

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение InventoR » 2010-09-13 9:02:50

Ничего не понимаю, что Вы делаете с acl( логика?

Вот это будет работать:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group  %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl internet external nt_group internet
acl localnets 192.168.0.0/16
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet internet
http_access allow localhost
Вы берете группу из Ад и вяжите её к сетке
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение terminus » 2010-09-13 9:47:37

http://www.squid-cache.org/Doc/config/auth_param/
The order in which authentication schemes are presented to the client is
dependent on the order the scheme first appears in config file. IE
has a bug (it's not RFC 2617 compliant) in that it will use the basic
scheme if basic is the first entry presented
, even if more secure
schemes are presented. For now use the order in the recommended
settings section below. If other browsers have difficulties (don't
recognize the schemes offered even if you are using basic) either
put basic first, or disable the other schemes (by commenting out their
program entry).

Once an authentication scheme is fully configured, it can only be
shutdown by shutting squid down and restarting. Changes can be made on
the fly and activated with a reconfigure. I.E. You can change to a
different helper, but not unconfigure the helper completely.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Гость
проходил мимо

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение Гость » 2010-09-13 10:12:30

делов том, что написано же:
... if basic is the first entry presented...
а у него она не первая, поэтому и предложил ему, чтобы он попробовал только ntlm схему протестить

uasash
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-09-07 13:04:25

Re: SQUID FreeBSD ntlm

Непрочитанное сообщение uasash » 2010-09-20 8:10:18

Все работает, после переноса с виртуальной машины забыл прописать ACL

Код: Выделить всё

setfacl -m g:squid:rx /var/db/samba34/winbindd_privileged