Squid Kerberos + basic
Добавлено: 2015-04-15 17:59:42
Здравствуйте.
Давно настроил squid с аутентификацией по kerberos (squid_kerb_auth)
Все работает хорошо, но недавно возникла задача добавить еще и basic метод, если пользователь находиться не в домене или приложение не умеет работать с kerberos.
Добавил ниже еще один метод аутентификации, создал пользователя, acl'ки и правила.
Приложения, где можно явно указать методы аутентификации работают нормально, но в браузерах (IE8,10, Chrome) после ввода логина пароля, окошко появляется снова и снова. При разборе http траффика видно, что squid отдает возможные методы аутентификации (negotiate, basic), но браузер все равно ломиться по ntlm:
В логах сквида соответственно
Причем теперь у некоторых пользователей (которые всегда работали по kerberos без проблем) начали появляться окошки с предложением ввести логин и пароль. (на 400 пользователей работает 100 children'ов)
Подскажите в какую сторону копать?
И можно ли сделать так, чтобы при обращении к разным ресурсам (IP-адресам) были разные схемы аутентификации?
Заранее благодарен
Давно настроил squid с аутентификацией по kerberos (squid_kerb_auth)
Все работает хорошо, но недавно возникла задача добавить еще и basic метод, если пользователь находиться не в домене или приложение не умеет работать с kerberos.
Добавил ниже еще один метод аутентификации, создал пользователя, acl'ки и правила.
Приложения, где можно явно указать методы аутентификации работают нормально, но в браузерах (IE8,10, Chrome) после ввода логина пароля, окошко появляется снова и снова. При разборе http траффика видно, что squid отдает возможные методы аутентификации (negotiate, basic), но браузер все равно ломиться по ntlm:
Proxy-Connection: Keep-Alive
Proxy-Authorization: Negotiate
В логах сквида соответственно
Пробовал менять keep_alive on\off на kerberos методе, но в траффике все равно Proxy-Connection: Keep-Alive.Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Причем теперь у некоторых пользователей (которые всегда работали по kerberos без проблем) начали появляться окошки с предложением ввести логин и пароль. (на 400 пользователей работает 100 children'ов)
Подскажите в какую сторону копать?
И можно ли сделать так, чтобы при обращении к разным ресурсам (IP-адресам) были разные схемы аутентификации?
Заранее благодарен