forum.opennet.ru

Составление сообщения

Исходное сообщение

"Squid + kerberos, все работает, но..."
Отправлено ctumko, 02-Дек-13 19:05

Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает.
Работает с одной оговоркой. Пробую описать ситуацию.
Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками.
На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...".
Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту.
В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.
Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась.
На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня.
function FindProxyForURL(url, host) {
    if (isPlainHostName(host)) {
        return "DIRECT";
    }
    if (dnsDomainIs(host, ".my.domain")) {
        return "DIRECT";
    }
return "PROXY squid.my.domain:3128"
}
Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.
Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена.
wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой.
Господа, с чем может быть связан такой казус?
Любая информация и конфиги по требованию.
squid 3.1.20
lighttpd 1.4.31
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI)
PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший.
Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :(
Простите за большое количество текста.

Исходное сообщение
"Squid + kerberos, все работает, но..." Отправлено ctumko, 02-Дек-13 19:05
Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает. Работает с одной оговоркой. Пробую описать ситуацию. Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками. На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...". Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту. В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится. Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась. На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня. function FindProxyForURL(url, host) { if (isPlainHostName(host)) { return "DIRECT"; } if (dnsDomainIs(host, ".my.domain")) { return "DIRECT"; } return "PROXY squid.my.domain:3128" } Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел. Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена. wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой. Господа, с чем может быть связан такой казус? Любая информация и конфиги по требованию. squid 3.1.20 lighttpd 1.4.31 Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI) PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший. Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :( Простите за большое количество текста.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси 
> с basic на kerberos. Все прошло удачно, работает.

> Работает с одной оговоркой. Пробую описать ситуацию.

> Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 
> 7), у него должна открываться стартовая страница, предписанная групповыми политиками. 
 
> На деле - первая открытая страница "Зависает", а в статус баре значится 
> "соединение...".
> Так происходит до тех пор, пока это самое "соединение..." не отобьет по 
> тайм-ауту.

> В тоже время, если открыть вторую вкладку браузера в этом же окне, 
> то там все моментально открывается! Повторю, пока первая вкладка не может 
> соединиться с чем-то там, во второй уже можно работать. А если 
> на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.

> Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит 
> как и должно. Но жалуются довольно часто и в тестовой виртуальной 
> машине проблема подтвердилась.

> На самом деле проблема может быть в WPAD? В тестовой среде, если 
> напрямую указывать FQDN прокси-сервера я так и не смог уловить эту 
> проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но 
> умножая на количество пользователей - это серьезная проблема для меня.

> function FindProxyForURL(url, host) { 
>  if (isPlainHostName(host)) { 
>   return "DIRECT"; 
>  } 
>  if (dnsDomainIs(host, ".my.domain")) { 
>   return "DIRECT"; 
>  } 
> return "PROXY squid.my.domain:3128" 
> }

> Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.

> Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой 
> политикой домена.
> wpad.dat размещен на том же сервере что и сквид, доступ к нему 
> без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается 
> wpad.dat файл по пути, указанному политикой.

> Господа, с чем может быть связан такой казус?

> Любая информация и конфиги по требованию.
> squid 3.1.20 
> lighttpd 1.4.31 
> Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 
> 7, без GUI)

> PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? 
> Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, 
> с такими же настройками и со своим wpad.dat. Между ними работает 
> ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая 
> раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, 
> указывая что прокси сервер - он, а не умерший.

> Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos 
> аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал 
> :(

> Простите за большое количество текста.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру