forum.lissyara.su

7.0-RELEASE FreeBSD 7.0-RELEASE ;
squid без разницы какой, все перепробывал последние;

С недавних пор у пользователей в домене стала выскакивать авторизация на сквидовой проксе в браузере.
нагуглил несколько похожих случаев, решения не нашел.

squid.conf cache.log Вроде только с ntlm авторизацией такое происходит. С basic не наблюдается такого.

wbinfo, kinit отрабатывают нормально..

Кто-нибудь сталкивался?

mymymy писал(а):7.0-RELEASE FreeBSD 7.0-RELEASE ;
нагуглил несколько похожих случаев, решения не нашел.

Я решение нашел
перешел на NCSA - htpasswd
заодно и безопасность от троянов увеличил а то очень много могло бегать наружу

в домене реализовано?
точнее это размышление,а не вопрос..

конечно в домене
просто тип авторизации поменял и делов то
ну есть конечно минус что приходится юзверей отдельно прописывать но это мелочи
Да еще причина перехода на NCSA в том что некоторый софт нормально авторизацию пройти немог если авторизация идет через AD

mymymy писал(а):в домене реализовано?
точнее это размышление,а не вопрос..

а squid то какой?

а squid то какой?
squid без разницы какой, все перепробывал последние;

ну есть конечно минус что приходится юзверей отдельно прописывать но это мелочи

Это не страшно, можно автоматизировать процесс при выдаче учеток новым пользователям.А что вот делать со старыми 500 доменными учетками, включая доверенные региональные домены?

просто тип авторизации поменял и делов то

Я правильно понимаю,что при NCSA каждому пользователю домена придется вручную авторизироваться даже в браузере?

mymymy писал(а): Я правильно понимаю,что при NCSA каждому пользователю домена придется вручную авторизироваться даже в браузере?

взять генерялку паролей
взять список учетных записей
генерить пасс и отправлять по почте или там по джяберу (незнаю как у вас там внутри компании)
с кратенькой инструкцией
для выхода в инет появится такое окошко
пропишите свои данные туда
и поставьте галочку на сохранение

Пару дней визги юзверей обеспеченно но зато работает как часики

Админу работа кропотливая но зато потом сиди и в носу пальцем ковыряй

А может все-таки разобраться почему не работает, у меня к примеру все окей, без вопросов, у клиента только прописать надо было параметры прокси, что делается автоматически при входе в домен...

snorlov писал(а):А может все-таки разобраться почему не работает, у меня к примеру все окей, без вопросов, у клиента только прописать надо было параметры прокси, что делается автоматически при входе в домен...

У меня тоже было все окей до поры до времяни
а потом не с того не с сего началось
да и некоторый бухгалтерский софт не очень нормально работает через такую авторизацию

Да и вообще проксю которая смотрит в инет категорически не рекомендуют вообще в AD вводить и тем более делать авторизацию сквида через AD - неправильно что все учетки домена закешированны на внешнем сервере
Это с точки зрения информационной безопасности

у меня к примеру все окей

Сколько пользователей сидит одновременно?

что все учетки домена закешированны на внешнем сервере

прокся смотрит в инет за хитрым натом.Да и безопасность-это отдельная тема. Поднял NCSA, вопросов нет-работает как часы. Но тяжело будет аргументировать несведущему руководству,почему пришлось отказаться от прозрачной аутентификации в домене. А на M$ прокси категорически не хочется уходить.Так что тема проблемы все еще актуальна..

mymymy писал(а): Сколько пользователей сидит одновременно?
Но тяжело будет аргументировать несведущему руководству,почему пришлось отказаться от прозрачной аутентификации в домене.

Юзверей одновременно до 300 - но сколько одновременно на проксе незнаю но явно не менее сотни
На руководство забей
сделай им разрешение на сохранение пароля в браюзере и пусть жмут OK чтоб выйти
Я лично когда перевел всех своих то непосредственному руководству обьяснил что для подсчета трафика так удобнее так как новая софтина SAMS будет а не какаянибудь туфта типа SARG
Может у тебя ключик надо заново получить от AD - хотя он на автомате должен обновляться

У меня вот как раз так и получилось что внешний сервер это и почта и все что только можно а сейчас почти все переделал - тоже за нат поставил сервисы и гораздо спокойнее жить стало да и удобнее

Автоматизация типа NTLM согласен что удобная штука но подводит гораздо чаще чем при простой настройке
NCSA неудобна в том случае если текучка кадров высока - это у меня в конторе так

поднял debian-server с теми же службами. Та же история. Склоняюсь к мнению,что причина конкретно в домене. Осталось понять в чем именно..

mymymy писал(а):поднял debian-server с теми же службами. Та же история. Склоняюсь к мнению,что причина конкретно в домене. Осталось понять в чем именно..

А компьютер в домене? Сделай какую-нибудь шару да проверь даст она к себе зайти или нет...

все в домене, wbinfo все тесты проходит,пользователей авторизирует. Для теста прокси был взят один активный юзверь, используя прозрачную авторизацию.Но если пользователь у себя в браузере начинает быстро щелкать по ссыкам или,например, на яндексмэп заходит и начинает карту крутить,эмулируя частые запросы к проксе, то выскакивает окно авторизации на прокси. Пару раз щелкает ок,подтверждая логин\пароль и прокси проглатывает. И потом снова таже история через пару минут. Это опыт лишь с одним пользователем...
На dеbian все ставил с пакетов, поэтому можно исключить проблемность установки и настройки сервисов самого прокси, т.к история в точности повторилась,как и на фряхе 7.2 (см.первый пост).
Если зайти с windows контроллера на \\ип.адрес.прокси , то нормально открывается стандартная шара.

в логах что

mymymy писал(а):все в домене, wbinfo все тесты проходит,пользователей авторизирует. Для теста прокси был взят один активный юзверь, используя прозрачную авторизацию.Но если пользователь у себя в браузере начинает быстро щелкать по ссыкам или,например, на яндексмэп заходит и начинает карту крутить,эмулируя частые запросы к проксе, то выскакивает окно авторизации на прокси. Пару раз щелкает ок,подтверждая логин\пароль и прокси проглатывает. И потом снова таже история через пару минут. Это опыт лишь с одним пользователем...
На dеbian все ставил с пакетов, поэтому можно исключить проблемность установки и настройки сервисов самого прокси, т.к история в точности повторилась,как и на фряхе 7.2 (см.первый пост).
Если зайти с windows контроллера на \\ип.адрес.прокси , то нормально открывается стандартная шара.

Смотри свои правила доступа, их очередность, к примеру, ты даешь свободный доступ без авторизации к сайту xxxx, а на этом сайте есть ссылка(картинка) на другой сайт, а вот к нему уже нужна авторизация...

в логах просто:

libsmb/ntlmssp.c:ntlmssp_update(334)
got NTLMSSP command 1, expected 3

на контроллерах домена ничего , касающегося этого вопроса

Смотри свои правила доступа, их очередность, к примеру, ты даешь свободный доступ без авторизации к сайту xxxx, а на этом сайте есть ссылка(картинка) на другой сайт, а вот к нему уже нужна авторизация...

не совсем понимаю,что значит " без авторизации" и "нужна авторизация" ?

Смотри свои правила доступа..

у меня на фряхе был squidguard. Пускало всех,а потом им резалось по группам. на дебиане вообще без резалки поставил.Всех доменных пользователей должно пускать всюду

Для себя решил проблему следующим:

/usr/ports/net/samba3/work/samba-3.0.37/source/libsmb/ntlmssp.c

строка 333.
Было: Стало:
Криво, косо, в лог ошибку пишет все равно, но зато окошко не выскакивает.
Для меня и моих 30 пользователей - вполне приемлемо.