Народ! Помогите разобраться.
Имеется "сквозной" Linux-сервер Mandrake 8.2
На нем установлены Squid и Samba серверы.
Проблема аутентификации user's loocalnetwork решена так:
(файл - squid.conf)
...
authenticate_program /usr/lib/squid/pam_auth
acl password proxy_auth REQUIRED
http_access allow password
...

Используется также NAT, осуществляющая prerouting
на порт 3128 squida всего трафика

Аутентификация с сервером проходит в два этапа:
1. User's входят в домен, определенный в smb.conf, (1-я регистрация,
не обязательная, кстати, для возможности работать с Internet expl.)
2. User's запускают Internet explorer (2-я регистрация, обязательная)

Проблемы:
1. При запуске еще одной оболочки Internet explorer снова требуется аут-ция (неудобно).
2. При вводе name и password другого usera (имеющего account), на этом
же PC, регистрация не проходит (в течение 10-30 мин.)!
Замечено, что если в этот момент на сервере сделать squid -k reconfigure,
то регистрация удается.
Можно предположить, что установившийся connect держит кэш squida, однако
данный механизм я себе плохо представляю (причем здесь имя usera?).

Врпросы:
1. Можно ли сделать так, чтобы аутентификация для работы с squid
производилась лишь при входе в сеть (как это сделать?);
2. Как настроить squid, чтобы он не кэшировал connect аутентификации?;
3. Как при регистрации sbm клиента заставить отработать shell script
на сервере, чтобы отработал squid -k reconfigure? (не такой простой ?, как кажется)
4. Что означает эта вырезка из примера squid.conf, приведенном в DOC?
#    make sure you add the user using smbpasswd -a -U username
#    then create a file called /var/lib/samba/netlogon/proxyauth
#    and simply enter an allow line
#authenticate_program /usr/lib/squid/smb_auth -W KSB

У меня уже снаряд сидит в голове, последние 3 месяца мне пришлось
с нуля вгрызаться во все это (Linux и все linux-производное). Такое ощущение, что решение лежит на поверхности, но где это место?

Большое всем спасибо, кто ответит.

Иван.

• RE: Проблема аутентификации SQUID-SAMBA,AD, 11:00 , 10-Июн-02

#authenticate_program /usr/local/bin/ncsa_auth /usr/local/etc/passwd
#
#Default:
authenticate_program /usr/local/sbin/ncsa_auth /usr/local/squid/etc/.squid_password

тебе надо будет ставить smb_auth.
squid юзеров блокирует по IP в строчке
#  TAG: authenticate_ip_ttl_is_strict
#    This option makes authenticate_ip_ttl a bit stricted. With this
#    enabled authenticate_ip_ttl will deny all access from other IP
#    addresses until the TTL has expired, and the IP address "owning"
#    the userid will not be forced to reauthenticate.
#
#Default:
authenticate_ip_ttl_is_strict on

время блокировки
#  TAG: authenticate_ip_ttl
#    With this option you control how long a proxy authentication
#    will be bound to a specific IP address. If a request using
#    the same user name is received during this time then access
#    will be denied and both users are required to reauthenticate
#    them selves.  The idea behind this is to make it annoying
#    for people to share their password to their friends, but
#    yet allow a dialup user to reconnect on a different dialup
#    port.
#
#    The default is 0 to disable the check. Recommended value
#    if you have dialup users are no more than 60 seconds to allow
#    the user to redial without hassle. If all your users are
#    stationary then higher values may be used.
#
#    See also authenticate_ip_ttl_is_strict
#
#Default:
authenticate_ip_ttl 300 seconds

и как долго юзер может ходить в инет без перелогина
#  TAG: authenticate_ttl
#    The time a checked username/password combination remains cached.
#    If a wrong password is given for a cached user, the user gets
#    removed from the username/password cache forcing a revalidation.
#
#Default:
authenticate_ttl 1 hour