URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 34415
[ Назад ]

Исходное сообщение
"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 15:29

ни у кого такого не было: ставишь squid (2.5stable2), добавляешь к нему модуль, чтобы авторизовывать пользователей в домене w2k (в соответствии с этой статьей: http://bsd.opennet.ru/base/net/win_squid.txt.html), все идет нормально, пока не ставишь на клиентских машинах с 2к proff четвертый сервиспак. После его установки IE больше "не понимает" проксю, не авторизуется. В логах прокси при этом написано, что в доступе отказано, такое ощущение, что из-за того, что имя юзера не распознается. Та же фигня, кстати, имеет место с win2003 server (без сервиспаков). XP-ишка, что характерно, не имеет таких проблем.
Спасибо заранее!

Содержание

squid 2.5 + win2000 SP4,Денис, 15:41 , 08-Сен-03
- squid 2.5 + win2000 SP4,Dmitry, 15:45 , 08-Сен-03
  - squid 2.5 + win2000 SP4,Денис, 15:47 , 08-Сен-03
    - squid 2.5 + win2000 SP4,Dmitry, 15:49 , 08-Сен-03
squid 2.5 + win2000 SP4,Mikhail, 15:57 , 08-Сен-03
- squid 2.5 + win2000 SP4,Денис, 16:10 , 08-Сен-03
- squid 2.5 + win2000 SP4,Dmitry, 16:14 , 08-Сен-03
  - squid 2.5 + win2000 SP4,Mikhail, 16:21 , 08-Сен-03
    - squid 2.5 + win2000 SP4,Dmitry, 16:25 , 08-Сен-03
      - squid 2.5 + win2000 SP4,Mikhail, 16:33 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Денис, 16:35 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 16:44 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Mikhail, 16:57 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 17:05 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Eugene, 17:39 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 17:41 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Eugene, 17:47 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 18:05 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Mikhail, 18:57 , 08-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 10:21 , 09-Сен-03
        
        squid 2.5 + win2000 SP4,Custom, 11:49 , 09-Сен-03
        squid 2.5 + win2000 SP4,Sampan, 14:22 , 09-Сен-03
        
        squid 2.5 + win2000 SP4,Dmitry, 16:15 , 09-Сен-03
        
        squid 2.5 + win2000 SP4,2vl, 18:36 , 09-Сен-03

Сообщения в этом обсуждении

"squid 2.5 + win2000 SP4"
Отправлено Денис , 08-Сен-03 15:41

>ни у кого такого не было: ставишь squid (2.5stable2), добавляешь к нему
>модуль, чтобы авторизовывать пользователей в домене w2k (в соответствии с этой
>статьей: http://bsd.opennet.ru/base/net/win_squid.txt.html), все идет нормально, пока не ставишь на клиентских машинах
>с 2к proff четвертый сервиспак. После его установки IE больше "не
>понимает" проксю, не авторизуется. В логах прокси при этом написано, что
>в доступе отказано, такое ощущение, что из-за того, что имя юзера
>не распознается. Та же фигня, кстати, имеет место с win2003 server
>(без сервиспаков). XP-ишка, что характерно, не имеет таких проблем.
>
>Спасибо заранее!
На самом деле проблема не в операционке, а в Интернет-эксплорере. Это именно (после не знаю какой заплатки) не понимает, что ему делать - сначала показывает ошибку, а если рефрешнуть, то всё идёт нормально. Выход - не пользоваться IE, а юзать Оперу например. Или же сделать auth по IP. Если надо, соответсвующий конфиг могу отослать. Удачи!

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 15:45

млин.... не, опера, увы, не покатит. :-( У нас ИЕ - корпоративный стандарт, мать его за ногу... Рефреш не помогает, кстати. По айпи auth не годится также, народ часто меняет рабочие места. :-(

"squid 2.5 + win2000 SP4"
Отправлено Денис , 08-Сен-03 15:47

>млин.... не, опера, увы, не покатит. :-( У нас ИЕ - корпоративный
>стандарт, мать его за ногу... Рефреш не помогает, кстати. По айпи
>auth не годится также, народ часто меняет рабочие места. :-(
А если весь сабнет указать в конфиге?

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 15:49

дело в том, что потом отчет генерится, кто куда ходил. Если пускать по айпи, то будет понятно только то, что с этого айпи ходили туда и туда, а кто именно - нет.

"squid 2.5 + win2000 SP4"
Отправлено Mikhail , 08-Сен-03 15:57

$squid -v
Squid Cache: Version 2.5.STABLE2
squid.conf:
...
ie_refresh on
ничего такого нет. Может, squid обновить?

"squid 2.5 + win2000 SP4"
Отправлено Денис , 08-Сен-03 16:10

>$squid -v
>Squid Cache: Version 2.5.STABLE2
>
>squid.conf:
>...
>ie_refresh on
>
>ничего такого нет. Может, squid обновить?
А может и так, у меня вообще 2.4.STABLE1 стоит.. я и не обращал даже внимания ;)

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 16:14

есть такая буква. Но включение этой опции не помогло. Что характерно, кстати, опера (7-ая версия) тоже не работает.

"squid 2.5 + win2000 SP4"
Отправлено Mikhail , 08-Сен-03 16:21

Странно... У меня и IE, и Opera работает. Что я не так делаю? :-)
Включи 'debug_options ALL,1 33,2 28,9', почитай cache.log и log.winbindd.

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 16:25

>Странно... У меня и IE, и Opera работает. Что я не так
>делаю? :-)
>Включи 'debug_options ALL,1 33,2 28,9', почитай cache.log и log.winbindd.
А у тебя SP 4 стоит? я уверен, что дело в сервис-паке, т.к. на моей машине (SP 3), например, стоит IE 6 со всеми апдейтами - и все окей. Так что вряд ли только в IE дело.

"squid 2.5 + win2000 SP4"
Отправлено Mikhail , 08-Сен-03 16:33

Клиентов несколько десятков, в основном с SP4 (почти все) + security updates, IE 5.5 и выше с SP2 + cumulative update. У некоторых SP3.
Есть и win9x машины. Разницы особой не замечено.
Оперой пользуются двое (+я), basic тоже используется. Все, что нужно, работает.

"squid 2.5 + win2000 SP4"
Отправлено Денис , 08-Сен-03 16:35

>Клиентов несколько десятков, в основном с SP4 (почти все) + security updates,
>IE 5.5 и выше с SP2 + cumulative update. У некоторых
>SP3.
>Есть и win9x машины. Разницы особой не замечено.
>Оперой пользуются двое (+я), basic тоже используется. Все, что нужно, работает.

Да у меня тоже, собственно всё работало в подобном случае, только вот иной раз с рефрешем были проблемы, сейчас благодаря Михаилу знаю по крайней как их решить, за что и спасибо ;-)

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 16:44

последовал совету Михаила, вот что в логах есть из любопытного:
2003/09/08 16:36:10| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2003/09/08 16:36:10| aclMatchAcl: returning 0 sending authentication challenge.
что бы это значило????

"squid 2.5 + win2000 SP4"
Отправлено Mikhail , 08-Сен-03 16:57

1) browser шлет запрос к прокси: дай мне, мол, адрес ...
2) прокси возвращает ответ: так не пущу, давай authenticate
3) browser повторяет запрос, уже с proxy_auth header.
4) squid передает header программе, описанной в squid.conf как auth_param ntlm program и/или external_acl_type
5) та проверяет правильность (при ntlm - через winbind, тут нам его логи и пригодятся) и возвращает OK или ERR
6) если OK - прокси выполняет запрос, при ERR - возвращается TCP_DENIED/407.
Скорее всего, это был 1-й запрос, так?

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 17:05

все так, как ты говоришь, эта увлекательная история одного-единственного запроса расписана в логах на две страницы. Я о другом - почему "ломается" заголовок proxy_header??? Логи winbindd'а практически бесполезны, в них ведутся записи успешно авторизовавшихся юзеров. Во всяком случае, до него дело не доходит, как это видно из лога сквида:
2003/09/08 16:36:10| aclCheck: checking 'http_access allow users'
2003/09/08 16:36:10| aclMatchAclList: checking users
2003/09/08 16:36:10| aclMatchAcl: checking 'acl users proxy_auth_regex -i ivanov'
2003/09/08 16:36:10| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2003/09/08 16:36:10| aclMatchAcl: returning 0 sending authentication challenge.
2003/09/08 16:36:10| aclMatchAclList: returning 0
2003/09/08 16:36:10| aclCheck: requiring Proxy Auth header.
2003/09/08 16:36:10| aclCheck: match found, returning 2
2003/09/08 16:36:10| aclCheckCallback: answer=2
2003/09/08 16:36:10| The request GET http://mail.ru/ is DENIED, because it matched 'users'

"squid 2.5 + win2000 SP4"
Отправлено Eugene , 08-Сен-03 17:39

Люди, не ищите ответа
скорее всего не найдёте
после SP4 с виндой 2000 даже 4NT не дружит, а вы хотите чтоб самба нормально проводила авторизацию пользователей
что-то они там поменяли в плане передачи паролей
поситайте форум за последние дни, не только у вас такая проблема

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 17:41

хм... а тут люди уверяют, что у них все работает...

"squid 2.5 + win2000 SP4"
Отправлено Eugene , 08-Сен-03 17:47

Ну незнаю
у меня не заработало
и бегал я вокруг и в бубен бил и знакомым шаманам звонил
НЕ ЗАРАБОТАЛО
не помогло и удаление этого SP4
может попробовать использовать самбу 3-ю
может я и дурак, но факт остаётся фактом

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 08-Сен-03 18:05

как раз это и хочу сделать. Сливаю последний релиз самбы, посмотрим, что из ее установки выйдет.

"squid 2.5 + win2000 SP4"
Отправлено Mikhail , 08-Сен-03 18:57

Скажем так: после установки ничего не изменилось. О проблеме узнал сегодня из форума. Почти вся сетка через squid ходит, ставим его практически с момента выхода, никто не жаловался. Были проблемы, но с серверами приложений.
А граблей в SP4 немало, если интересно - http://w2knews.com/anecdotes.htm

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 09-Сен-03 10:21

Гм, я вот что сделал: сквид трогать погодил, а поставил сервиск-пак на клиента w2k Prof. До этого, сорри, речь шла о w2k Server. Так с клиентом Prof никаких проблем - нормально все проходит. А вот с сервером - да, проблема имеет место. Причем трабла связана с IE - он не шлет заголовки для прокси с именем юзера. После ребута Opera заработала и нормально работает: запрашивает имя и пароль юзера, и так же нормально, без проблем шлет их прокси. Так что прокси тут не причем.

"squid 2.5 + win2000 SP4"
Отправлено Custom , 09-Сен-03 11:49

Неделю назад доковырял этот же набор Squid + Winbind + AD.
На всех клинтских машинах, на серверах - везде стоят SP4.
Проблем с авторизацией вообще не заметил ни на рабочих станциях (win2k+sp4), ни на серверах (w2k advanced server + SP4). Смотри работу winbind , wb_ntlmauth , wb_auth ... компилил все правильно ? Без ошибок ? :)))

"squid 2.5 + win2000 SP4"
Отправлено Sampan , 09-Сен-03 14:22

>До этого, сорри, речь шла о w2k Server.
Учитывая новую политику MS, чуть ли не исключения IE на серверных платформах (Win2003), вполне возможно, что SP4 молча "закручивает гайки" на серверах
Погляди в настройках безопасности IE для зоны "Интернет". Там есть "Проверка подлинности пользователя". Возможные варианты:
-Автоматический вход с текущим именем пользователя
-Автоматический вход только в зоне интрасети
-Анонимный вход
-Запрос имени пользователя и пароля
Поиграй с ними, может чего получится
Есть еще одно коварное место, где MS могла напортачить
В политиках безопасности (локальных и домена), раздел "параметры безопасности" есть настройка "Уровень проверки подлинности Lan manager"
Возможные варианты:
-Посылать ответ LM и NTLM
-Посылать ответ только NTLM
-Посылать ответ только NTLMv2
-Посылать ответ только NTLMv2 и отказывать LM
-Посылать ответ только NTLMv2 и отказывать LM и NTLM
Мне кажется, это может влиять на внешнюю авторизацию.

"squid 2.5 + win2000 SP4"
Отправлено Dmitry , 09-Сен-03 16:15

Спасибо, друг! помогло ковырянье в
-Автоматический вход с текущим именем пользователя
-Автоматический вход только в зоне интрасети
-Анонимный вход
-Запрос имени пользователя и пароля
почему-то эта падла, IE, заработала только с анонимным входом. Что характерно, в логах прокси все равно имя юзера есть ;-)

"squid 2.5 + win2000 SP4"
Отправлено 2vl , 09-Сен-03 18:36

Будем знать !!!
зы . "падла, IE, заработала" :))))) супер !!