The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid выбор авторизации"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 07-Авг-14, 09:47 
Добрый день товарищи.
Столкнулся вот с такой проблемой.
Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap
Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки.
ТАк же в cache.log постояно сыпиться

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.
Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "squid выбор авторизации"  +/
Сообщение от pavel_simple (ok) on 07-Авг-14, 15:11 
> Добрый день товарищи.
> Столкнулся вот с такой проблемой.
> Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard +
> ldap
> Через сквид работают 5 пользователей, страницы открываются с задержкой,  выяснил что
> проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP
> вначале использует Basic и Digest авторизацию и лишь потом NTLM. По
> этому и происходят задержки.

где написано что есть какая-то очерёдность протоколов авторизации?

задержки в данном случае скорее всего связаны с dns

>[оверквотинг удален]
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
> - use NTLMv2 session security if possible, но записи сыпяться.
> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
> в интернет?

уже как 100 лет нет никакой необходимости понижать уровень на клиентах -- я конечно мог чего и запамятовать за дальностью лет, но бывалые в этой теме не дадут соврать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid выбор авторизации"  +/
Сообщение от ipmanyak (ok) on 07-Авг-14, 15:50 
Хочешь Керберос, юзай
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Wind...
http://wiki.bitbinary.com/index.php/Active_Directory_Integra...

squid+ad2008\kerberos+ldap и win7\ie8
http://www.lissyara.su/?id=2101

Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin Reporter
http://alldebian.ru/debian-squeeze-squid-kerberosldap-active...

Можно просто привязаться к LDAP
http://samag.ru/archive/article/204
http://system-administrators.info/?p=3299

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "squid выбор авторизации"  +/
Сообщение от gfh (??) on 07-Авг-14, 15:51 
Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-act.../ или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 07-Авг-14, 15:52 
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>>
>> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
>> - use NTLMv2 session security if possible, но записи сыпяться.
>> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
>> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
>> в интернет?
> уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
> я конечно мог чего и запамятовать за дальностью лет, но бывалые
> в этой теме не дадут соврать.

версия сквида:


Squid Cache: Version 3.1.20
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${p                                                                             refix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info'                                                                              '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '                                                                             --srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disab                                                                             le-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--man                                                                             dir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-as                                                                             ync-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap'                                                                              '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enabl                                                                             e-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntl                                                                             m,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3                                                                             ,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_l                                                                             m,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helper                                                                             s=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,uni                                                                             x_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--en                                                                             able-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pid                                                                             file=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '-                                                                             -with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-g                                                                             nu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -W                                                                             error=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFL                                                                             AGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-bu                                                                             ffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.                                                                             1.20

может версия сквида у меня старая?
в access.log пишется следующие:

1407412115.063      0 172.18.2.36 TCP_DENIED/407 4393 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
1407412115.173      1 172.18.2.36 TCP_DENIED/407 4748 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
1407412115.376    102 172.18.2.36 TCP_MISS/301 537 GET http://www.tikkurila.ru/www/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applica$
1407412116.511   1056 172.18.2.36 TCP_MISS/200 8743 GET http://www.tikkurila.ru/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applicatio$

видно, что сквид авторизует только с 3 раза.
а как если не понижать уровень, избежать того, то бы в cache.log валилась эта запись, он разрастается довольно быстро и приходится руками удалять

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 07-Авг-14, 15:55 
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>>
>> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
>> - use NTLMv2 session security if possible, но записи сыпяться.
>> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
>> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
>> в интернет?
> уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
> я конечно мог чего и запамятовать за дальностью лет, но бывалые
> в этой теме не дадут соврать.

ошибочно два раза одно и тоже послал

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 07-Авг-14, 16:00 
> Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-act.../
> или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...

почитал, но не очень подоходит. у меня в связке сквидгард, которые основываясь на группах в ад пускает на те или иные сайты.
так как у нас ад разбито по группа по офисам, сделать общую папку аля "inet user" как то выглядит не логично.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 07-Авг-14, 16:13 
>[оверквотинг удален]
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
> - use NTLMv2 session security if possible, но записи сыпяться.
> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
> в интернет?

вот полный вариант cache.log


2014/08/07 16:06:54| Squid Cache (Version 3.1.20): Exiting normally.
2014/08/07 16:07:17| Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...
2014/08/07 16:07:18| Process ID 14532
2014/08/07 16:07:18| With 16384 file descriptors available
2014/08/07 16:07:18| Initializing IP Cache...
2014/08/07 16:07:18| DNS Socket created at [::], FD 8
2014/08/07 16:07:18| DNS Socket created at 0.0.0.0, FD 9
2014/08/07 16:07:18| Adding nameserver 172.18.2.10 from squid.conf
2014/08/07 16:07:18| helperOpenServers: Starting 200/200 'squidGuard' processes
2014/08/07 16:07:20| helperOpenServers: Starting 450/450 'ntlm_auth' processes
2014/08/07 16:07:44| Unlinkd pipe opened on FD 1314
2014/08/07 16:07:44| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/08/07 16:07:44| Store logging disabled
2014/08/07 16:07:44| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/08/07 16:07:44| Target number of buckets: 1008
2014/08/07 16:07:44| Using 8192 Store buckets
2014/08/07 16:07:44| Max Mem  size: 262144 KB
2014/08/07 16:07:44| Max Swap size: 0 KB
2014/08/07 16:07:44| Using Least Load store dir selection
2014/08/07 16:07:44| Current Directory is /
2014/08/07 16:07:44| Loaded Icons.
2014/08/07 16:07:44| Accepting  HTTP connections at [::]:3128, FD 1315.
2014/08/07 16:07:44| HTCP Disabled.
2014/08/07 16:07:44| Squid plugin modules loaded: 0
2014/08/07 16:07:44| Adaptation support is off.
2014/08/07 16:07:44| Ready to serve requests.
2014/08/07 16:07:45| storeLateRelease: released 0 objects
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

не очень понятно почему где DNS Socket нули.
почему весь кэш лог засоряется NTLMSSP ?
и подскажиет, какая актуальная версия сквида?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "squid выбор авторизации"  +/
Сообщение от pavel_simple (ok) on 07-Авг-14, 18:01 
>[оверквотинг удален]
> 2014/08/07 16:07:44| Ready to serve requests.
> 2014/08/07 16:07:45| storeLateRelease: released 0 objects
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
> не очень понятно почему где DNS Socket нули.
> почему весь кэш лог засоряется NTLMSSP ?
> и подскажиет, какая актуальная версия сквида?

у меня google прокачен, и он говорит следующее
http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+comma...

начинайте уметь гуглить

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "squid выбор авторизации"  +/
Сообщение от Ninjatrasher (ok) on 08-Авг-14, 09:02 
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>> got NTLMSSP command 3, expected 1
>> got NTLMSSP command 3, expected 1
>>
>> не очень понятно почему где DNS Socket нули.
>> почему весь кэш лог засоряется NTLMSSP ?
>> и подскажиет, какая актуальная версия сквида?
> у меня google прокачен, и он говорит следующее
> http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+comma...
> начинайте уметь гуглить

Павел, если вы внимательно смотрели мой первый пост, то этот вариант, я уже применил)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру