Страница 1 из 1
SQUID FreeBSD ntlm
Добавлено: 2010-09-08 15:42:31
uasash
есть такая конфигурация
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost
Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-08 17:29:53
_FreeBSD
uasash писал(а):...Так вот Opera нормально по basic проходит, но ie не хочет принимать ntlm а тоже пытается авторизоваться по basic (запрашивает имя пользователя и пароля). В чем может быть проблема?
чета мысль в вопросе запутаная.
хочется чтобы как было?
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 7:56:06
uasash2
Хочется что бы авторизация проходила по ntlm тоесть для тех кто использует iexplorer имя пользователя и пароль не запрашивало.
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 10:14:28
_Гагарин
затесть ie, когда конфиг сквида только на ntlm заточен, типо:
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl internet external nt_group internet
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow ntlm internet
http_access allow localhost
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 13:02:52
uasash
_Гагарин писал(а):затесть ie, когда конфиг сквида только на ntlm заточен, типо:
Непонял ничего.
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 13:13:43
Гость
конфиг сквида чтобы только ntlm был
и попробуй через ie полазить
что не понятного то?
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 16:22:25
uasash
походу понял в чем проблема но решение так и не нашел.
при авторизации ie посылает domen\username это не проходит а вот opera шлет username это проходит
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-09 17:16:09
Гость
и как ты это понял?
попробовал чтобы в сквиде был только ntlm?
и смотри логи на серваке с AD
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-13 9:02:50
InventoR
Ничего не понимаю, что Вы делаете с acl( логика?
Вот это будет работать:
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl internet external nt_group internet
acl localnets 192.168.0.0/16
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet internet
http_access allow localhost
Вы берете группу из Ад и вяжите её к сетке
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-13 9:47:37
terminus
http://www.squid-cache.org/Doc/config/auth_param/
The order in which authentication schemes are presented to the client is
dependent on the order the scheme first appears in config file. IE
has a bug (it's not RFC 2617 compliant) in that it will use the basic
scheme if basic is the first entry presented, even if more secure
schemes are presented. For now use the order in the recommended
settings section below. If other browsers have difficulties (don't
recognize the schemes offered even if you are using basic) either
put basic first, or disable the other schemes (by commenting out their
program entry).
Once an authentication scheme is fully configured, it can only be
shutdown by shutting squid down and restarting. Changes can be made on
the fly and activated with a reconfigure. I.E. You can change to a
different helper, but not unconfigure the helper completely.
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-13 10:12:30
Гость
делов том, что написано же:
... if basic is the first entry presented...
а у него она не первая, поэтому и предложил ему, чтобы он попробовал только ntlm схему протестить
Re: SQUID FreeBSD ntlm
Добавлено: 2010-09-20 8:10:18
uasash
Все работает, после переноса с виртуальной машины забыл прописать ACL
Код: Выделить всё
setfacl -m g:squid:rx /var/db/samba34/winbindd_privileged