forum.opennet.ru - "Squid3 + ntlm авторизация с третьего раза" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Squid3 + ntlm авторизация с третьего раза"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Squid3 + ntlm авторизация с третьего раза"		+/–
Сообщение от Matveev (ok) on 31-Июл-09, 11:47
Добрый день! Установил, настроил squid 3.0.STABLE8. Авторизация ntlm через samba в AD. Все работает, но только с третьего раза проходит авторизация. Лог squid: ntlm: 1249025066.560 0 192.168.0.200 TCP_DENIED/407 3022 GET http://www.google.ru/ - NONE/- text/html 1249025066.565 0 192.168.0.200 TCP_DENIED/407 3331 GET http://www.google.ru/ - NONE/- text/html 1249025066.750 182 192.168.0.200 TCP_MISS/200 8379 GET http://www.google.ru/ mikle DIRECT/74.125.79.99 text/html 1249025066.956 0 192.168.0.200 TCP_DENIED/407 2822 GET http://clients1.google.ru/generate_204 - NONE/- text/html 1249025066.958 0 192.168.0.200 TCP_DENIED/407 3131 GET http://clients1.google.ru/generate_204 - NONE/- text/html 1249025067.099 139 192.168.0.200 TCP_MISS/204 253 GET http://clients1.google.ru/generate_204 mikle DIRECT/74.125.79.101 text/html 1249025067.295 151 192.168.0.200 TCP_MISS/204 343 GET http://www.google.ru/csi? mikle DIRECT/74.125.79.103 text/html При использовании basic авторизации первый запрос не авторизуется, последующие проходят нормально: 1249025600.257 0 192.168.0.200 TCP_DENIED/407 2996 GET http://www.google.ru/ - NONE/- text/html 1249025604.846 224 192.168.0.200 TCP_MISS/200 8379 GET http://www.google.ru/ mikle DIRECT/74.125.79.104 text/html 1249025605.223 124 192.168.0.200 TCP_MISS/204 253 GET http://clients1.google.ru/generate_204 mikle DIRECT/74.125.79.101 text/html 1249025605.386 90 192.168.0.200 TCP_MISS/204 343 GET http://www.google.ru/csi? mikle DIRECT/74.125.79.105 text/html часть squid.conf: http_port 192.168.0.250:3128 #---Auth param---------------------- auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Internet server auth_param basic credentialsttl 2 hours Проверялось на IE и Firefox, WinXP, Win2003. Картина одинаковая во всех сочетаниях. В сache.log ошибок нет. Подскажите в чем может быть проблема? Где копать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Squid3 + ntlm авторизация с третьего раза, Matveev, 18:10 , 07-Авг-09, (1)

Squid3 + ntlm авторизация с третьего раза, Shek, 09:56 , 26-Авг-09, (2)

Squid3 + ntlm авторизация с третьего раза, Matveev, 13:37 , 28-Авг-09, (3)

Squid3 + ntlm авторизация с третьего раза, Александр, 14:52 , 31-Авг-09, (4)

Squid3 + ntlm авторизация с третьего раза, Александр, 15:16 , 31-Авг-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Squid3 + ntlm авторизация с третьего раза" +/–

Сообщение от Matveev (ok) on 07-Авг-09, 18:10

В cache.log при включении debug_options ALL,2 следующие:
2009/08/07 18:04:26.312| The request GET http://www.google.ru/ is DENIED, because it matched 'auth_users'
2009/08/07 18:04:26.313| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.325| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAAEAAQADAAAAAFgomiHQFANn5nROQAAAAAAAAA$
2009/08/07 18:04:26.325| The request GET http://www.google.ru/ is DENIED, because it matched 'auth_users'
2009/08/07 18:04:26.326| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.403| authenticateAuthUserAddIp: user 'mikle' has been seen at a new IP address (192.168.112.200)
2009/08/07 18:04:26.403| The request GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.514| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.750| The request GET http://clients1.google.ru/generate_204 is DENIED, because it matched 'auth_users'
2009/08/07 18:04:26.751| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.754| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAAEAAQADAAAAAFgomi3HCPD2tLmucAAAAAAAAA$
2009/08/07 18:04:26.754| The request GET http://clients1.google.ru/generate_204 is DENIED, because it matched 'auth_users'
2009/08/07 18:04:26.754| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.762| The request GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.879| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users'
2009/08/07 18:04:26.958| The request GET http://www.google.ru/csi?v=3&s=webhp&action=&tran=undefined&...,21238,21299&ei=jTR8Ss6ZEZT4-A$
squid.conf:
acl auth_users proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
http_access allow manager localhost
http_access deny manager
http_access allow auth_users
http_access deny all

Почему первые два раза DENIED пишет, помогите разобраться? Заранее спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Squid3 + ntlm авторизация с третьего раза" +/–

Сообщение от Shek (??) on 26-Авг-09, 09:56

Проверь настройки анонимности, у меня такое было, когда делал, так называемый, "paranoid mode", а вот так работает отлично и анонимности хватает:
header_access X-Forwarded-For deny all
header_access From deny all
header_access Server deny all
header_access WWW-Authenticate deny all
header_access Link deny all

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Squid3 + ntlm авторизация с третьего раза" +/–

Сообщение от Matveev (ok) on 28-Авг-09, 13:37

>Проверь настройки анонимности, у меня такое было, когда делал, так называемый, "paranoid
>mode", а вот так работает отлично и анонимности хватает:
>header_access X-Forwarded-For deny all
>header_access From deny all
>header_access Server deny all
>header_access WWW-Authenticate deny all
>header_access Link deny all
Не помогло. Настройки анонимности включал и выключал. Изменений никаких.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Squid3 + ntlm авторизация с третьего раза" +/–

Сообщение от Александр (??) on 31-Авг-09, 14:52

>Подскажите в чем может быть проблема? Где копать?
Это нормальное состояние, так и должно быть, в старом FAQ по Squid это описано. Вы представляете как работает прозрачная автризация в AD браузера в Squid?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Squid3 + ntlm авторизация с третьего раза" +/–

Сообщение от Александр (??) on 31-Авг-09, 15:16

>>Подскажите в чем может быть проблема? Где копать?
>
>Это нормальное состояние, так и должно быть, в старом FAQ по Squid
>это описано. Вы представляете как работает прозрачная автризация в AD браузера
>в Squid?
Вот на буржуинском языке описан принцип работы:
http://wiki.squid-cache.org/KnowledgeBase/NTLMAuthGoryDetails

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid3 + ntlm авторизация с третьего раза"		+/–
Сообщение от Matveev (ok) on 07-Авг-09, 18:10
В cache.log при включении debug_options ALL,2 следующие: 2009/08/07 18:04:26.312\| The request GET http://www.google.ru/ is DENIED, because it matched 'auth_users' 2009/08/07 18:04:26.313\| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.325\| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAAEAAQADAAAAAFgomiHQFANn5nROQAAAAAAAAA$ 2009/08/07 18:04:26.325\| The request GET http://www.google.ru/ is DENIED, because it matched 'auth_users' 2009/08/07 18:04:26.326\| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.403\| authenticateAuthUserAddIp: user 'mikle' has been seen at a new IP address (192.168.112.200) 2009/08/07 18:04:26.403\| The request GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.514\| The reply for GET http://www.google.ru/ is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.750\| The request GET http://clients1.google.ru/generate_204 is DENIED, because it matched 'auth_users' 2009/08/07 18:04:26.751\| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.754\| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAAEAAQADAAAAAFgomi3HCPD2tLmucAAAAAAAAA$ 2009/08/07 18:04:26.754\| The request GET http://clients1.google.ru/generate_204 is DENIED, because it matched 'auth_users' 2009/08/07 18:04:26.754\| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.762\| The request GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.879\| The reply for GET http://clients1.google.ru/generate_204 is ALLOWED, because it matched 'auth_users' 2009/08/07 18:04:26.958\| The request GET http://www.google.ru/csi?v=3&s=webhp&action=&tran=undefined&...,21238,21299&ei=jTR8Ss6ZEZT4-A$ squid.conf: acl auth_users proxy_auth REQUIRED acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 http_access allow manager localhost http_access deny manager http_access allow auth_users http_access deny all Почему первые два раза DENIED пишет, помогите разобраться? Заранее спасибо!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Squid3 + ntlm авторизация с третьего раза"		+/–
	Сообщение от Shek (??) on 26-Авг-09, 09:56
	Проверь настройки анонимности, у меня такое было, когда делал, так называемый, "paranoid mode", а вот так работает отлично и анонимности хватает: header_access X-Forwarded-For deny all header_access From deny all header_access Server deny all header_access WWW-Authenticate deny all header_access Link deny all
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Squid3 + ntlm авторизация с третьего раза"		+/–
	Сообщение от Matveev (ok) on 28-Авг-09, 13:37
	>Проверь настройки анонимности, у меня такое было, когда делал, так называемый, "paranoid >mode", а вот так работает отлично и анонимности хватает: >header_access X-Forwarded-For deny all >header_access From deny all >header_access Server deny all >header_access WWW-Authenticate deny all >header_access Link deny all Не помогло. Настройки анонимности включал и выключал. Изменений никаких.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Squid3 + ntlm авторизация с третьего раза"		+/–
Сообщение от Александр (??) on 31-Авг-09, 14:52
>Подскажите в чем может быть проблема? Где копать? Это нормальное состояние, так и должно быть, в старом FAQ по Squid это описано. Вы представляете как работает прозрачная автризация в AD браузера в Squid?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Squid3 + ntlm авторизация с третьего раза"		+/–
	Сообщение от Александр (??) on 31-Авг-09, 15:16
	>>Подскажите в чем может быть проблема? Где копать? > >Это нормальное состояние, так и должно быть, в старом FAQ по Squid >это описано. Вы представляете как работает прозрачная автризация в AD браузера >в Squid? Вот на буржуинском языке описан принцип работы: http://wiki.squid-cache.org/KnowledgeBase/NTLMAuthGoryDetails
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору