Страница 2 из 12
Re: Статья squid+AD
Добавлено: 2007-11-15 14:34:28
aspr05
"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.
В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2
Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.
не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.
Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО
Вот такая петрушка, надеюсь понятно изложил
Re: Статья squid+AD
Добавлено: 2007-11-15 15:36:02
gmn
aspr05 писал(а):"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.
В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2
Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.
не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.
Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО
Вот такая петрушка, надеюсь понятно изложил
Да, понятно.
Только не понятно, почему так происходит ...
Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше.
Но проверял, что если basic отключить - то Опера и качалки, котрые не умеют NTLM, отдыхают.
Re: Статья squid+AD
Добавлено: 2007-11-15 15:49:16
aspr05
Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше
а как можно по другому сделать?
Re: Статья squid+AD
Добавлено: 2007-11-15 17:05:11
gmn
Можно.
Выше приведен конфиг.
Re: Статья squid+AD
Добавлено: 2007-11-16 8:52:12
aspr05
Спасибо gmn, а автор статьи может как-нить прокомментировать сложившуюся ситуацию.
Заранее спасибо.
Re: Статья squid+AD
Добавлено: 2007-11-16 9:06:45
Alex Keda
юзайте файрфокс.
Re: Статья squid+AD
Добавлено: 2007-11-16 9:24:25
aspr05
К сожелению это не выход ;(
Хочется чтоб пользователь комп которого не в домене, был заведён в груупу2 и авторизовался по байсику.
Re: Статья squid+AD
Добавлено: 2007-11-16 9:42:48
Alex Keda
ну, если честно - я вообще непонимаю о чём вы...
в примере как сделаноу меня - всё рулиться по группам, вне зависимости, кто в до мене а кто нет.
ибо я сам не в домене
Re: Статья squid+AD
Добавлено: 2007-11-16 10:17:05
aspr05
насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.
и соответственно если пользователя нет в group1 он не авторизуется по htlm
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=domainnname\\group1
то тогда squid запрашивал байсик авторизацию и если пользователь есть в group2 то тады всё ок
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=domainname\\group2
Или я что то не допонял?
Re: Статья squid+AD
Добавлено: 2007-11-16 10:25:27
Alex Keda
пользователь пожет принадлежать группе ТОЛЬКО если он авторизовался.
Re: Статья squid+AD
Добавлено: 2007-11-16 10:37:54
aspr05
нет это то понятно, Он же будет заведён в AD и если в окне авторизации он наберёт domainame\user и пароль то он ведь должен авторизоваться и соответсвенно
lissyara писал(а):пользователь пожет принадлежать группе
Re: Статья squid+AD
Добавлено: 2007-11-16 11:14:22
Alex Keda
aspr05 писал(а):насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.
ты сам понимаешь свою логику?
Re: Статья squid+AD
Добавлено: 2007-11-16 11:14:50
gmn
Но если вводится логин и пароль - то это basic аутентификация.
И по твоему описанию он должен быть в групее 2.
Re: Статья squid+AD
Добавлено: 2007-11-16 11:18:28
aspr05
а я о чем и толкую..... он есть в группе2 но его не пускает.
Re: Статья squid+AD
Добавлено: 2007-11-16 11:21:01
gmn
aspr05 писал(а):а я о чем и толкую..... он есть в группе2 но его не пускает.
Тогда приведи часть конфига, где описана сама авторизация и потом http_access для авторизированных.
Re: Статья squid+AD
Добавлено: 2007-11-16 11:33:26
aspr05
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=AD\\Inet_http
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=AD\\Inet_Basic
auth_param basic children 10
auth_param basic realm Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src 0.0.0.0/0.0.0.0
acl AD proxy_auth REQUIRED
http_access allow AD
http_access deny all
Re: Статья squid+AD
Добавлено: 2007-11-16 11:57:25
gmn
Да, проверил и был немножко шокирован.
Заремил basic аутентификацию.
Оставил только NTLM
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=***
auth_param ntlm children 5
auth_param ntlm keep_alive on
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
В итоге Опера запрашивает логин, пароль. Ввожу - авторизация проходит. В инет пускает.
BASIC при этом вообще заремлена
Это что, получается, что как было раньше (надо было basic подключать, точно помню) - уже не надо?
Проверил еще.
Убрал "--require-membership-of=***" - всеравно basic из Оперы работает.
И NTLM работает.
Да, что-то я не пойму ...
И, более того, "auth_param ntlm program /usr/local/libexec/squid/fakeauth_auth" тоже работает с оперой запрашивая авторизацию.
Видать, много чего изменилось в самом сквиде, после того, как писались многие статьи, как приведено в squid.conf.default, как я делал свой конфиг ...
Тогда, точно помню, при отключенной basic Оперой в Инет не выйдешь. Просто висит и ждет, не запрашивая авторизацию.
Re: Статья squid+AD
Добавлено: 2007-11-16 12:07:11
gmn
Хух, а легче стало
Перепроверил ...
Это Опера стала какая-то умная. Как-то по своему авторизируется. Логин и пароль запрашивает, но, при этом, понимает схему NTLM.
НО (!) Flashget, Total Commander и др., котрые не умеют NTLM - в пролете (а включена только NTLM):
Код: Выделить всё
Fri Nov 16 11:03:56 2007 X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
Fri Nov 16 11:03:56 2007 Proxy-Authenticate: NTLM
Так что, basic надо подключать по любому
Re: Статья squid+AD
Добавлено: 2007-11-16 12:37:51
aspr05
Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?
Re: Статья squid+AD
Добавлено: 2007-11-16 13:24:55
gmn
aspr05 писал(а):Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?
Нет. Так как группы уже созданы и я использовал их для проверки. Новые создавать не хотел.
Если ты все проверял оперой, то она запрашивает авторизацию, но работает по схеме NTLM.
Т.е. если юзер идет оперой, он в группе "group1" - у него будет запрашиваться логин и пароль и его выпустит в Инет.
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=group1
auth_param ntlm children 5
auth_param ntlm keep_alive on
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
Но, если же этот юзер только в группе "group1" и не входит в "group2" - скачать чего-нибудь через тот же FlashGet не сможет (FlashGet не умеет NTLM).
Re: Статья squid+AD
Добавлено: 2007-11-16 14:20:06
aspr05
Да это то всё понятно. что он скачать не сможет это не беда , им и не положено что либо качать. меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет.
Re: Статья squid+AD
Добавлено: 2007-11-16 15:42:16
gmn
aspr05 писал(а):... меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет.
Потому что первой идет NTLM. И IE, естесвенно, сразу авторизируется по NTLM и получает отказ. До basic дело не доходит.
Re: Статья squid+AD
Добавлено: 2007-11-16 16:23:48
aspr05
Задам глупый вопрос, а по чему не доходит и как сделать чтоб доходило.
Re: Статья squid+AD
Добавлено: 2007-11-16 16:58:59
gmn
не делить юзеров по разным группам по типам авторизации.
Re: Статья squid+AD
Добавлено: 2007-11-16 18:20:38
Гость
Статья про сквид перерасла в релиз? или еще бета?