Squid и ntlm аутентификация в домене

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-08 10:31:29

7.0-RELEASE FreeBSD 7.0-RELEASE ;
squid без разницы какой, все перепробывал последние;

С недавних пор у пользователей в домене стала выскакивать авторизация на сквидовой проксе в браузере.
нагуглил несколько похожих случаев, решения не нашел.

squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
cache.log

Код: Выделить всё

libsmb/ntlmssp.c:ntlmssp_update(334)
got NTLMSSP command 1, expected 3
Вроде только с ntlm авторизацией такое происходит. С basic не наблюдается такого.

wbinfo, kinit отрабатывают нормально..

Кто-нибудь сталкивался?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение arkan » 2009-09-08 11:52:23

mymymy писал(а):7.0-RELEASE FreeBSD 7.0-RELEASE ;
нагуглил несколько похожих случаев, решения не нашел.
Я решение нашел
перешел на NCSA - htpasswd
заодно и безопасность от троянов увеличил а то очень много могло бегать наружу

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-08 14:30:41

в домене реализовано?
точнее это размышление,а не вопрос..

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение arkan » 2009-09-08 15:53:12

конечно в домене
просто тип авторизации поменял и делов то
ну есть конечно минус что приходится юзверей отдельно прописывать но это мелочи
Да еще причина перехода на NCSA в том что некоторый софт нормально авторизацию пройти немог если авторизация идет через AD

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение snorlov » 2009-09-08 18:49:13

mymymy писал(а):в домене реализовано?
точнее это размышление,а не вопрос..
а squid то какой?

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-09 6:06:47

а squid то какой?
squid без разницы какой, все перепробывал последние;
ну есть конечно минус что приходится юзверей отдельно прописывать но это мелочи
Это не страшно, можно автоматизировать процесс при выдаче учеток новым пользователям.А что вот делать со старыми 500 доменными учетками, включая доверенные региональные домены?
просто тип авторизации поменял и делов то
Я правильно понимаю,что при NCSA каждому пользователю домена придется вручную авторизироваться даже в браузере?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение arkan » 2009-09-09 10:49:25

mymymy писал(а): Я правильно понимаю,что при NCSA каждому пользователю домена придется вручную авторизироваться даже в браузере?
взять генерялку паролей
взять список учетных записей
генерить пасс и отправлять по почте или там по джяберу (незнаю как у вас там внутри компании)
с кратенькой инструкцией
для выхода в инет появится такое окошко
пропишите свои данные туда
и поставьте галочку на сохранение

Пару дней визги юзверей обеспеченно но зато работает как часики

Админу работа кропотливая но зато потом сиди и в носу пальцем ковыряй

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение snorlov » 2009-09-09 15:47:31

А может все-таки разобраться почему не работает, у меня к примеру все окей, без вопросов, у клиента только прописать надо было параметры прокси, что делается автоматически при входе в домен...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение arkan » 2009-09-09 16:19:17

snorlov писал(а):А может все-таки разобраться почему не работает, у меня к примеру все окей, без вопросов, у клиента только прописать надо было параметры прокси, что делается автоматически при входе в домен...
У меня тоже было все окей до поры до времяни
а потом не с того не с сего началось
да и некоторый бухгалтерский софт не очень нормально работает через такую авторизацию

Да и вообще проксю которая смотрит в инет категорически не рекомендуют вообще в AD вводить и тем более делать авторизацию сквида через AD - неправильно что все учетки домена закешированны на внешнем сервере
Это с точки зрения информационной безопасности

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-10 6:27:49

у меня к примеру все окей
Сколько пользователей сидит одновременно?
что все учетки домена закешированны на внешнем сервере
прокся смотрит в инет за хитрым натом.Да и безопасность-это отдельная тема. Поднял NCSA, вопросов нет-работает как часы. Но тяжело будет аргументировать несведущему руководству,почему пришлось отказаться от прозрачной аутентификации в домене. А на M$ прокси категорически не хочется уходить.Так что тема проблемы все еще актуальна..

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение arkan » 2009-09-11 4:48:16

mymymy писал(а): Сколько пользователей сидит одновременно?
Но тяжело будет аргументировать несведущему руководству,почему пришлось отказаться от прозрачной аутентификации в домене.
Юзверей одновременно до 300 - но сколько одновременно на проксе незнаю но явно не менее сотни
На руководство забей
сделай им разрешение на сохранение пароля в браюзере и пусть жмут OK чтоб выйти
Я лично когда перевел всех своих то непосредственному руководству обьяснил что для подсчета трафика так удобнее так как новая софтина SAMS будет а не какаянибудь туфта типа SARG
Может у тебя ключик надо заново получить от AD - хотя он на автомате должен обновляться

У меня вот как раз так и получилось что внешний сервер это и почта и все что только можно а сейчас почти все переделал - тоже за нат поставил сервисы и гораздо спокойнее жить стало да и удобнее

Автоматизация типа NTLM согласен что удобная штука но подводит гораздо чаще чем при простой настройке
NCSA неудобна в том случае если текучка кадров высока - это у меня в конторе так

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-17 20:24:00

поднял debian-server с теми же службами. Та же история. Склоняюсь к мнению,что причина конкретно в домене. Осталось понять в чем именно..

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение snorlov » 2009-09-17 20:48:01

mymymy писал(а):поднял debian-server с теми же службами. Та же история. Склоняюсь к мнению,что причина конкретно в домене. Осталось понять в чем именно..
А компьютер в домене? Сделай какую-нибудь шару да проверь даст она к себе зайти или нет...

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-18 8:12:51

все в домене, wbinfo все тесты проходит,пользователей авторизирует. Для теста прокси был взят один активный юзверь, используя прозрачную авторизацию.Но если пользователь у себя в браузере начинает быстро щелкать по ссыкам или,например, на яндексмэп заходит и начинает карту крутить,эмулируя частые запросы к проксе, то выскакивает окно авторизации на прокси. Пару раз щелкает ок,подтверждая логин\пароль и прокси проглатывает. И потом снова таже история через пару минут. Это опыт лишь с одним пользователем...
На dеbian все ставил с пакетов, поэтому можно исключить проблемность установки и настройки сервисов самого прокси, т.к история в точности повторилась,как и на фряхе 7.2 (см.первый пост).
Если зайти с windows контроллера на \\ип.адрес.прокси , то нормально открывается стандартная шара.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение Alex Keda » 2009-09-18 8:19:21

в логах что
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение snorlov » 2009-09-18 8:50:32

mymymy писал(а):все в домене, wbinfo все тесты проходит,пользователей авторизирует. Для теста прокси был взят один активный юзверь, используя прозрачную авторизацию.Но если пользователь у себя в браузере начинает быстро щелкать по ссыкам или,например, на яндексмэп заходит и начинает карту крутить,эмулируя частые запросы к проксе, то выскакивает окно авторизации на прокси. Пару раз щелкает ок,подтверждая логин\пароль и прокси проглатывает. И потом снова таже история через пару минут. Это опыт лишь с одним пользователем...
На dеbian все ставил с пакетов, поэтому можно исключить проблемность установки и настройки сервисов самого прокси, т.к история в точности повторилась,как и на фряхе 7.2 (см.первый пост).
Если зайти с windows контроллера на \\ип.адрес.прокси , то нормально открывается стандартная шара.
Смотри свои правила доступа, их очередность, к примеру, ты даешь свободный доступ без авторизации к сайту xxxx, а на этом сайте есть ссылка(картинка) на другой сайт, а вот к нему уже нужна авторизация...

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mymymy » 2009-09-18 9:08:41

в логах просто:
libsmb/ntlmssp.c:ntlmssp_update(334)
got NTLMSSP command 1, expected 3
на контроллерах домена ничего , касающегося этого вопроса
Смотри свои правила доступа, их очередность, к примеру, ты даешь свободный доступ без авторизации к сайту xxxx, а на этом сайте есть ссылка(картинка) на другой сайт, а вот к нему уже нужна авторизация...
не совсем понимаю,что значит " без авторизации" и "нужна авторизация" ?
Смотри свои правила доступа..
у меня на фряхе был squidguard. Пускало всех,а потом им резалось по группам. на дебиане вообще без резалки поставил.Всех доменных пользователей должно пускать всюду

mahn0
рядовой
Сообщения: 10
Зарегистрирован: 2009-12-04 16:16:55
Контактная информация:

Re: Squid и ntlm аутентификация в домене

Непрочитанное сообщение mahn0 » 2009-12-04 16:21:24

Для себя решил проблему следующим:

/usr/ports/net/samba3/work/samba-3.0.37/source/libsmb/ntlmssp.c

строка 333.
Было:

Код: Выделить всё

        if (ntlmssp_command != ntlmssp_state->expected_state) {
                DEBUG(1, ("got NTLMSSP command %u, expected %u\n", ntlmssp_command, ntlmssp_state->expected_state));
                return NT_STATUS_INVALID_PARAMETER;
        }
Стало:

Код: Выделить всё

        if (ntlmssp_command != ntlmssp_state->expected_state) {
                DEBUG(1, ("got NTLMSSP command %u, expected %u\n", ntlmssp_command, ntlmssp_state->expected_state));
                return NT_STATUS_OK;
        }
Криво, косо, в лог ошибку пишет все равно, но зато окошко не выскакивает.
Для меня и моих 30 пользователей - вполне приемлемо.