Проблемы с установкой, настройкой и работой системных и сетевых программ.
Модераторы: GRooVE, alexco
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
uasash
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-09-07 13:04:25
Непрочитанное сообщение
uasash » 2010-09-08 15:42:31
есть такая конфигурация
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost
Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?
uasash
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
_FreeBSD
- проходил мимо
Непрочитанное сообщение
_FreeBSD » 2010-09-08 17:29:53
uasash писал(а):...Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?
чета мысль в вопросе запутаная.
хочется чтобы как было?
_FreeBSD
-
uasash2
- проходил мимо
Непрочитанное сообщение
uasash2 » 2010-09-09 7:56:06
Хочется что бы авторизация проходила по ntlm тоесть для тех кто использует iexplorer имя пользователя и пароль не запрашивало.
uasash2
-
_Гагарин
- проходил мимо
Непрочитанное сообщение
_Гагарин » 2010-09-09 10:14:28
затесть ie, когда конфиг сквида только на ntlm заточен, типо:
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost
_Гагарин
-
uasash
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-09-07 13:04:25
Непрочитанное сообщение
uasash » 2010-09-09 13:02:52
_Гагарин писал(а):затесть ie, когда конфиг сквида только на ntlm заточен, типо:
Непонял ничего.
uasash
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-09-09 13:13:43
конфиг сквида чтобы только ntlm был
и попробуй через ie полазить
что не понятного то?
Гость
-
uasash
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-09-07 13:04:25
Непрочитанное сообщение
uasash » 2010-09-09 16:22:25
походу понял в чем проблема но решение так и не нашел.
при авторизации ie посылает domen\username это не проходит а вот opera шлет username это проходит
uasash
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-09-09 17:16:09
и как ты это понял?
попробовал чтобы в сквиде был только ntlm?
и смотри логи на серваке с AD
Гость
-
InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
-
Контактная информация:
Непрочитанное сообщение
InventoR » 2010-09-13 9:02:50
Ничего не понимаю, что Вы делаете с acl( логика?
Вот это будет работать:
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl internet external nt_group internet
acl localnets 192.168.0.0/16
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet internet
http_access allow localhost
Вы берете группу из Ад и вяжите её к сетке
ну вот и сказочке конец, кто слушал, тот молодец.
InventoR
-
terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Непрочитанное сообщение
terminus » 2010-09-13 9:47:37
http://www.squid-cache.org/Doc/config/auth_param/
The order in which authentication schemes are presented to the client is
dependent on the order the scheme first appears in config file. IE
has a bug (it's not RFC 2617 compliant) in that it will use the basic
scheme if basic is the first entry presented, even if more secure
schemes are presented. For now use the order in the recommended
settings section below. If other browsers have difficulties (don't
recognize the schemes offered even if you are using basic) either
put basic first, or disable the other schemes (by commenting out their
program entry).
Once an authentication scheme is fully configured, it can only be
shutdown by shutting squid down and restarting. Changes can be made on
the fly and activated with a reconfigure. I.E. You can change to a
different helper, but not unconfigure the helper completely.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
terminus
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-09-13 10:12:30
делов том, что написано же:
... if basic is the first entry presented...
а у него она не первая, поэтому и предложил ему, чтобы он попробовал только ntlm схему протестить
Гость
-
uasash
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2010-09-07 13:04:25
Непрочитанное сообщение
uasash » 2010-09-20 8:10:18
Все работает, после переноса с виртуальной машины забыл прописать ACL
Код: Выделить всё
setfacl -m g:squid:rx /var/db/samba34/winbindd_privileged
uasash