Страница 1 из 1

SQUID аутентификация NTLM HTTPS/SSL

Добавлено: 2013-12-21 19:49:59
Jedi88Knight
Люди добрые. Помогите мудрым советом. Настроена связка squid-ntlm-sams, Авторизация работает на ура, но когда пользователь пытается загрузить страничку https, авторизация просто напросто не происходит. Так же существует эта проблема с клиентами ICQ. Метод CONNECT разрешен, http_access allow SSl_ports Safe_ports. Все вроде есть, но при защищенном соединении не происходит авторизации.
Кусок лога ./squid/access.log
1387643344.158 0 192.168.2.203 TCP_MISS/404 0 CONNECT login.icq.com:443 - DIRECT/- -
1387643345.293 0 192.168.2.187 TCP_MISS/404 0 CONNECT http://www.facebook.com:443 - DIRECT/- -
1387643347.558 56152 192.168.2.23 TCP_MISS/200 271 GET http://notify10.dropbox.com/subscribe? kitanin DIRECT/108.160.162.34 text/plain
1387643381.782 55528 192.168.2.22 TCP_MISS/200 271 GET http://notify3.dropbox.com/subscribe? simonov DIRECT/108.160.162.50 text/plain
Любые конфиги покажу, только подскажите)) Замучился уже искать где собака зарыта. Заранее благодарен.

Re: SQUID аутентификация NTLM HTTPS/SSL

Добавлено: 2013-12-22 17:09:33
Jedi88Knight
В общем вопрос снимается. Объясняю почему. Я умолчал о том, что в связке также участвует rejik. Дело в том что метод CONNECT для SSL был разрешен следующей строчкой в squid.conf
http_access deny CONNECT !SSL_ports
Получается следующее. авторизация в AD не имеет никакого отношения к разрешению коннект для SSL. И при защищенном соединении SQUID не учитывает учетную запись в домене. Rejik в свою очередь так-же не получает информации о том, какой юзер пытается получить доступ к запрашиваемому сайту и редиректит по умолчанию. Если заккоментить строчку с указанием redirect_programm, то все работает нормально.
Чтобы исправить данную ситуёвину, необходимо проделать следующее:
В конфиге squid с NTLM есть строчка
acl NTLM_USER proxy_auth REQUIRED
Так вот. Нужно ткнуть SQUID таким образом, чтобы он придавал значение тому, кто именно хочет получить доступ к защищенному соединению. Я сделал следующим образом.
acl post method POST
acl ICQ_ports port 5190
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https

acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports NTLM_USER
http_access allow CONNECT ICQ_ports NTLM_USER
Упоминание об этом встретил на форуме того-же самого режика.
Прописав эти строчки реконфигурируем SQUID и вуаля. Все заработало. Squid пишет в access.log кто именно пытается получить доступ, а следовательно тоже самое видит и режик. все проходит на ура.