URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74079
[ Назад ]

Исходное сообщение
"Приветствую! Очень нужна помощь по SQUID. Авторизация IP+NTLM"
Отправлено PheliXXX , 16-Май-07 11:13

Доброго дня всем!
Не могу разобраца со Squid, проблема такая: все юзеры авторизуются на проксе через NTLM (т.е. есть группа в АД инетюзерс); но помимо этого есть сервисы, которым необходимо попадать в интернет через ту же проксю, но они не могут авторизоваться в домене. Следовательно для них должна использоваться авторизация по IP. Собственно именно она и не работает.
Ниже привожу вырезки из squid.conf и access.log
#NTLM Auth
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=mydomen.RU\\internetusers
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=mydomen.RU\\internetusers
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#сюда пишутся IP тех, кому разрешен инет без авторизации в домене
acl proxy_noregexp src "/usr/local/etc/squid/allowed_users_noregexp"
#разрешение для этого ACL
http_access allow proxy_noregexp
http_access allow all AuthorizedUsers
http_access deny all
Соответственно, добавив IP в allowed_users_noregexp и перестартовав squid, по идее можно ходить в инет без авторизации в домене.
Однако реально это не работает. Добавляю IP, после чего смотрю access.log, в котором:
192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html
192.168.30.10 TCP_DENIED/407 1849 GET http://ya.ru/ - NONE/- text/html
192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html
А сам брозер предлагает ввести имя/пароль и следовательно в итоге выдает ошибку Cache Access Denied
Насколько я понимаю второй тип авторизации в данном исполнении просто не работает...
Еще интересно, что рядом (на другой машине) стоит такой же сквид с такими же конфигами, на котором все работает как надо. Насколько понимаю, люди переходили на новый канал связи и собирали сквид на другой машине по образу и подобию первого, а первый в данное время работает как резервный.
Подскажите плиз, что можно посмотреть - поправить?
Заранее пасибо.

Содержание

Приветствую! Очень нужна помощь по SQUID. Авторизация IP+NTL...,PheliXXX, 16:02 , 16-Май-07

Сообщения в этом обсуждении

"Приветствую! Очень нужна помощь по SQUID. Авторизация IP+NTL..."
Отправлено PheliXXX , 16-Май-07 16:02

>Доброго дня всем!
>Не могу разобраца со Squid, проблема такая: все юзеры авторизуются на проксе
>через NTLM (т.е. есть группа в АД инетюзерс); но помимо
>этого есть сервисы, которым необходимо попадать в интернет через ту же
>проксю, но они не могут авторизоваться в домене. Следовательно для них
>должна использоваться авторизация по IP. Собственно именно она и не работает.
>
>Ниже привожу вырезки из squid.conf и access.log
>
>#NTLM Auth
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=mydomen.RU\\internetusers
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>auth_param ntlm max_challenge_lifetime 2 minutes
>auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=mydomen.RU\\internetusers
>auth_param basic children 5
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>auth_param basic casesensitive off
>
>#сюда пишутся IP тех, кому разрешен инет без авторизации в домене
>acl proxy_noregexp src "/usr/local/etc/squid/allowed_users_noregexp"
>
>#разрешение для этого ACL
>http_access allow proxy_noregexp
>
>http_access allow all AuthorizedUsers
>http_access deny all
>
>Соответственно, добавив IP в allowed_users_noregexp и перестартовав squid, по идее можно ходить
>в инет без авторизации в домене.
>
>Однако реально это не работает. Добавляю IP, после чего смотрю access.log, в
>котором:
>
>192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html
>192.168.30.10 TCP_DENIED/407 1849 GET http://ya.ru/ - NONE/- text/html
>192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html
>
>А сам брозер предлагает ввести имя/пароль и следовательно в итоге выдает ошибку
>Cache Access Denied
>
>Насколько я понимаю второй тип авторизации в данном исполнении просто не работает...
>
>
>Еще интересно, что рядом (на другой машине) стоит такой же сквид с
>такими же конфигами, на котором все работает как надо. Насколько понимаю,
>люди переходили на новый канал связи и собирали сквид на другой
>машине по образу и подобию первого, а первый в данное время
>работает как резервный.
>
>Подскажите плиз, что можно посмотреть - поправить?
>Заранее пасибо.