Страница 1 из 1
Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-27 12:28:06
omnus
Народ помогите с таким вопросом.
Стоит сервер Freebsd 9.0 x64.
Squid 3.1.19 + Samba 3.6 с авторизацией в актив директори.
Отказала BASIC авторизация пользователей, работает только NTLM. Произошло это после обновления сквида с 3.0 до 3.1 из за некоректной работы яндекса.
скажите какие логи предоставить, а то у нас касперыч через прокси отказывается обновляться.
Re: Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-27 13:51:07
snorlov
Не в тему конечно, но на сайте касперского есть утилита командной строки для закачки баз, после чего их можно рахдать внутри локалки, трафик будет меньший...
Re: Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-27 14:41:14
muirdok
а вообще интересно как это BASIC отказала а NTLM работает. Конфиг не покажете?
Re: Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-30 4:25:40
omnus
Код: Выделить всё
cat /usr/local/etc/squid/squid.conf
# created by SAMS _sams_ 2012-7-27 13:47:36
#####################
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
#auth_param digest program
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm NGCZN PRoxy
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
# TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_default_time time MTWHFAS 00:00-23:00
acl _sams_4eb38ea4680f2 proxy_auth "/usr/local/etc/squid/4eb38ea4680f2.sams"
acl _sams_4eb38ea4680f2_time time MTWHFAS 00:00-23:59
acl _sams_4eb38ef1317bc proxy_auth "/usr/local/etc/squid/4eb38ef1317bc.sams"
acl _sams_4eb38ef1317bc_time time MTWHFAS 00:00-23:59
acl _sams_4eb38f4d17396 proxy_auth "/usr/local/etc/squid/4eb38f4d17396.sams"
acl _sams_4eb38f4d17396_time time MTWHFAS 00:00-23:59
acl _sams_4eb3b3c2aaba6 proxy_auth "/usr/local/etc/squid/4eb3b3c2aaba6.sams"
acl _sams_4eb3b3c2aaba6_time time MTWHFAS 00:00-23:59
acl _sams_4eb38f6c2267e proxy_auth "/usr/local/etc/squid/4eb38f6c2267e.sams"
acl _sams_4eb38f6c2267e_time time MTWHFAS 00:00-23:59
acl _sams_4feade743367a proxy_auth "/usr/local/etc/squid/4feade743367a.sams"
acl _sams_4feade743367a_time time MTWHFAS 00:00-23:59
acl _sams_4eb3867d92176 urlpath_regex -i "/usr/local/etc/squid/4eb3867d92176.sams"
acl _sams_4eb386f0581ec url_regex "/usr/local/etc/squid/4eb386f0581ec.sams"
acl _sams_chat url_regex "/usr/local/etc/squid/chat.sams"
acl _sams_porno url_regex "/usr/local/etc/squid/porno.sams"
acl _sams_4eb38cb2cee9c urlpath_regex "/usr/local/etc/squid/4eb38cb2cee9c.sams"
acl _sams_4eb38dd50a11f url_regex "/usr/local/etc/squid/4eb38dd50a11f.sams"
acl _sams_4eb3987074edf url_regex "/usr/local/etc/squid/4eb3987074edf.sams"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
acl _sams_local_url dstdomain "/usr/local/etc/squid/local_url.sams"
#Recommended minimum configuration:
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# TAG: http_access
http_access allow _sams_default !_sams_4eb386f0581ec !_sams_4eb38cb2cee9c !_sams_chat !_sams_porno _sams_default_time
http_access allow _sams_4eb38ea4680f2 !_sams_4eb386f0581ec !_sams_4eb38cb2cee9c !_sams_chat !_sams_porno _sams_4eb38ea4680f2_time
http_access allow _sams_4eb38ef1317bc !_sams_4eb3867d92176 !_sams_porno _sams_4eb38ef1317bc_time
http_access deny _sams_4eb38f4d17396 !_sams_4eb38dd50a11f !_sams_4eb3987074edf _sams_4eb38f4d17396_time
http_access deny _sams_4eb3b3c2aaba6 !_sams_4eb3867d92176 _sams_4eb3b3c2aaba6_time
http_access allow _sams_4eb38f6c2267e _sams_4eb38f6c2267e_time
http_access allow _sams_4feade743367a _sams_4feade743367a_time
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
# And finally deny all other access to this proxy
http_access deny all
icp_access allow localnet
icp_access deny all
#Allow HTCP queries from local networks only
htcp_access allow localnet
htcp_access deny all
# Squid normally listens to port 3128
http_port 8080
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
cache_dir ufs /usr/local/squid/cache 640 16 256
pid_filename /usr/local/squid/logs/squid.pid
ftp_passive off
url_rewrite_program /usr/local/bin/samsredir
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /usr/local/squid/cache
snorlov писал(а):Не в тему конечно, но на сайте касперского есть утилита командной строки для закачки баз, после чего их можно рахдать внутри локалки, трафик будет меньший...
Да я знаю про утилиту, но начальство хочет всетаки чтобы все работало на автомате.
muirdok писал(а):а вообще интересно как это BASIC отказала а NTLM работает. Конфиг не покажете?
Не понимаю как это случилось, на версии 3.0 все работало прекрасно, а в 3.1 уже не работает, в логах по доступу видно что сквиду не передается логин и пароль:
Код: Выделить всё
1343592920.933 0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592920.946 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592920.956 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592920.966 0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-00.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592920.974 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592920.983 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592920.988 0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-05.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.003 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.012 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.018 0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-14.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.034 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.044 0 192.168.100.17 TCP_DENIED/407 4201 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.050 0 192.168.100.17 TCP_DENIED/407 4185 GET http://dnl-01.geo.kaspersky.com/index/u0607g.xml - NONE/- text/html
1343592921.062 0 192.168.100.17 TCP_DENIED/407 4221 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml.dif - NONE/- text/html
1343592921.064 0 192.168.100.17 TCP_DENIED/407 4221 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml.klz - NONE/- text/html
1343592921.067 0 192.168.100.17 TCP_DENIED/407 4205 GET http://downloads1.kaspersky-labs.com/index/u0607g.xml - NONE/- text/html
Re: Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-30 8:54:56
omnus
Вот еще с сервера:
Код: Выделить всё
/var/log/samba/ >>/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
mydomain+admin adminpass
OK
Re: Squid 3.1.19 + NTLM authentification BASIC
Добавлено: 2012-07-30 10:45:09
omnus
Покапался еще чуток в прокси, выяснил что BASIC аутентификацию какимто образом блокирует SAMS, если из конфига сквида вычестить все записи от самса, то начинает пропускать в инет.