День добрый.

Есть проблема Wsus не проходит basic авторизацию чеез Squid 3.1.018, при включенной ntlm авторизации.

Конфиг Squid:

auth_param ntlm program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-basic
# Количество процессов авторизации запросов
 auth_param basic children 30
# Надпись на окне аутентификации
 auth_param basic realm Squid proxy-caching web server
# Указываем время хранения авторизации, в данном случае 2 часа.
# credentialsttl  2 minutes 2 hours
auth_param basic credentialsttl 2 hours
# указываем, что регистр введенных данных роли не играет
auth_param basic casesensitive on
# Логин, только с одного IP адреса
# authenticate_ip_ttl 0
# Samba хранит группу пользователя из AD как указано в конфиге, Squid хранит около 1 часа
# Что б после смены группы пользователя в AD не ждать 1 час нужно установить ttl=0
# тогда при следующем логине в Squid пользователь будет отработан по нужной группе
external_acl_type win_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_all   external win_group access_full
acl inet_32    external win_group speed_32
acl inet_64    external win_group speed_64
acl inet_96    external win_group speed_96
acl inet_unlim external win_group speed_unlim
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl squidusers proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet squidusers inet_all inet_32
http_access deny localnet squidusers inet_all inet_32
http_access allow localnet squidusers inet_all inet_64
http_access deny localnet squidusers inet_all inet_64
http_access allow localnet squidusers inet_all inet_96
http_access deny localnet squidusers inet_all inet_96
http_access allow localnet squidusers inet_all inet_unlim
http_access deny all
# Разрешено все.
# http_access allow all

На сервере Wsus указано ходить через basic авторизацию.
Если в squid выключаю ntlm авторизицию wsus нормально конектится и работает без вопросов.

При включенной ntlm пробовал логинится под локальным пользователем и выйти в инет через прокси, при авторизации пользователя (т.к. он не доменный) система выкидывает окно для ntlm авторизации, а по идее должно выпадать окно basic авторизации (окна ntlm и basic авторизации, для ввода логина и пароля, внешне отличаются).

Из этого делаю для себя вывод, что если в моем конфиге включена ntlm, то любой пользователь ломится в инет только через ntlm, не доходя до basic авторизации.
Хотя если я выключаю basic а ntlm включена, то ICQ, в которой прописан логин и пароль, матерится что пароль не верен. Т.е. вроде как ICQ использует basic авторизацию при включенной ntlm.

Samba и winbind работают без вопросов.
Доступ пользователям в инет реализован так:
- пользователь должен прийти с локальной подсети
- должен входить в группу AD internet_access
- в группу по доступу inet_all
- в группу по скорости инета (inet_32 или inet_64 или inet_96 или inet_unlim)
Если пользователь не входит в какую либо группу инет закрыт.

Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all, inet_64.

Помогите пожалуйста разобраться и докрутить конфиг.
Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.

• Wsus не проходит авторизацию Squid 3.1.018,daevy, 09:13 , 01-Окт-09
  • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 09:19 , 01-Окт-09
• Wsus не проходит авторизацию Squid 3.1.018,PJ, 12:43 , 01-Окт-09
  • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 12:55 , 01-Окт-09
    • Wsus не проходит авторизацию Squid 3.1.018,PJ, 13:07 , 01-Окт-09
      • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 13:43 , 01-Окт-09
    • Wsus не проходит авторизацию Squid 3.1.018,PJ, 13:40 , 01-Окт-09
      • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 13:47 , 01-Окт-09
        • Wsus не проходит авторизацию Squid 3.1.018,Том Сойер, 13:52 , 01-Окт-09
          • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 15:06 , 01-Окт-09
            • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 08:37 , 02-Окт-09
              • Wsus не проходит авторизацию Squid 3.1.018,daloman, 11:00 , 02-Окт-09
                • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 13:36 , 02-Окт-09
                  • Wsus не проходит авторизацию Squid 3.1.018,daloman, 17:08 , 02-Окт-09
                    • Wsus не проходит авторизацию Squid 3.1.018,daloman, 17:25 , 02-Окт-09
                      • Wsus не проходит авторизацию Squid 3.1.018,PJ, 21:40 , 02-Окт-09
                        • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 08:46 , 03-Окт-09
                        • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 09:15 , 03-Окт-09
                        • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 09:56 , 03-Окт-09
                        • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 10:48 , 05-Окт-09
                    • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 08:44 , 03-Окт-09
                      • Wsus не проходит авторизацию Squid 3.1.018,kharkov_max, 10:32 , 06-Окт-09

Доброе утро, я бы посмотрел сначала в log/squid/cache.log и log/samba/*
скорей всего проблема при передаче аутентификационной строки между проксёй и контроллером

>Доброе утро, я бы посмотрел сначала в log/squid/cache.log и log/samba/*
>скорей всего проблема при передаче аутентификационной строки между проксёй и контроллером

Если выключаю ntlm, то по basic все работает нормально. Т.е. такое ощущение что когда ntlm видит что пользователя нет, не передает на basic авторизацию.

Или Wsus не запрашивает basic авторизацию, а ломится как то не так. Хотя на wsus галка и длгин с паролем стоят.
Добавлю пользователь от которого wsus пытается выйти в инет, нормально ходит в инет...

>[оверквотинг удален]
> - в группу по доступу inet_all
> - в группу по скорости инета (inet_32 или inet_64 или inet_96
>или inet_unlim)
>Если пользователь не входит в какую либо группу инет закрыт.
>
>Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all,
>inet_64.
>
>Помогите пожалуйста разобраться и докрутить конфиг.
>Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.

acl windowsupdate dstdomain -i "/usr/local/etc/squid/windowsupdate"
no_cache deny windowsupdate

http_access allow windowsupdate
# этот http_access нужно поставить перед http_access deny all
# не забываем, что squid.conf парсится сверху вниз и слева направо

в файлике /usr/local/etc/squid/windowsupdate пишем такое

windowsupdate.microsoft.com
update.microsoft.com
activex.microsoft.com
download.windowsupdate.com
www.download.windowsupdate.com
codecs.microsoft.com
stats.updates.microsoft.com
c.microsoft.com

в результате на эти сайты машины ходят сами без пароля, но через squid. В access.log будет IP-адрес.

>[оверквотинг удален]
>update.microsoft.com
>activex.microsoft.com
>download.windowsupdate.com
>www.download.windowsupdate.com
>codecs.microsoft.com
>stats.updates.microsoft.com
>c.microsoft.com
>
>в результате на эти сайты машины ходят сами без пароля, но через
>squid. В access.log будет IP-адрес.

Спасибо, это как вариант...
Но как все же заставить ходить Wsus по basic авторизации ?
Не красиво пускать на windows update, т.к. если есть юзвери с правами локального админа могут начать на прямую обновляться, а что б забанить нужно еще и PF крутить ....

>[оверквотинг удален]
>>c.microsoft.com
>>
>>в результате на эти сайты машины ходят сами без пароля, но через
>>squid. В access.log будет IP-адрес.
>
>Спасибо, это как вариант...
>Но как все же заставить ходить Wsus по basic авторизации ?
>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>локального админа могут начать на прямую обновляться, а что б забанить
>нужно еще и PF крутить ....

а разве после развертывания WSUS у тебя машины не перенастроены на него вместо windowsupdate?

>[оверквотинг удален]
>>>squid. В access.log будет IP-адрес.
>>
>>Спасибо, это как вариант...
>>Но как все же заставить ходить Wsus по basic авторизации ?
>>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>>локального админа могут начать на прямую обновляться, а что б забанить
>>нужно еще и PF крутить ....
>
>а разве после развертывания WSUS у тебя машины не перенастроены на него
>вместо windowsupdate?

Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка есть )))

>[оверквотинг удален]
>>c.microsoft.com
>>
>>в результате на эти сайты машины ходят сами без пароля, но через
>>squid. В access.log будет IP-адрес.
>
>Спасибо, это как вариант...
>Но как все же заставить ходить Wsus по basic авторизации ?
>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>локального админа могут начать на прямую обновляться, а что б забанить
>нужно еще и PF крутить ....

ну сделай правило для него, WSUS единственного

acl wsus src IP.ADDR.OF.WSUS

...

http_access allow wsus windowsupdate
http_access deny all

>[оверквотинг удален]
>
>ну сделай правило для него, WSUS единственного
>
>acl wsus src IP.ADDR.OF.WSUS
>
>...
>
>
>http_access allow wsus windowsupdate
>http_access deny all

Все же хочется раскурить нормально ntlm и basiс...

>
>Все же хочется раскурить нормально ntlm и basiс...

Очередность. Сначала basic затем ntlm

>
>>
>>Все же хочется раскурить нормально ntlm и basiс...
>
>Очередность. Сначала basic затем ntlm

Пробовал, не влияет...
Если поставить basic перед ntlm и зайти не из доменного компа, то при авторизации в браузере, выдает окно ntlm а не basic авторизации ...

>>
>>>
>>>Все же хочется раскурить нормально ntlm и basiс...
>>
>>Очередность. Сначала basic затем ntlm
>
>Пробовал, не влияет...
>Если поставить basic перед ntlm и зайти не из доменного компа, то
>при авторизации в браузере, выдает окно ntlm а не basic авторизации
>...

Больше нет вариантов ?

>[оверквотинг удален]
>>>
>>>Очередность. Сначала basic затем ntlm
>>
>>Пробовал, не влияет...
>>Если поставить basic перед ntlm и зайти не из доменного компа, то
>>при авторизации в браузере, выдает окно ntlm а не basic авторизации
>>...
>
>а разве после развертывания WSUS у тебя машины не перенастроены на него
>вместо windowsupdate?

Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка есть )))

>Больше нет вариантов ?

Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.

>[оверквотинг удален]
>>
>>а разве после развертывания WSUS у тебя машины не перенастроены на него
>>вместо windowsupdate?
>
>Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка
>есть )))
>
>>Больше нет вариантов ?
>
>Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.

Запрет в брандмауэре это отдельная песня...
Как заставит Wsus ломиться через squid по basic авторизации. Вот в чем вопрос!!!
Пускать напрямую не хочу ...

>[оверквотинг удален]
>>есть )))
>>
>>>Больше нет вариантов ?
>>
>>Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.
>
>Запрет в брандмауэре это отдельная песня...
>Как заставит Wsus ломиться через squid по basic авторизации. Вот в чем
>вопрос!!!
>Пускать напрямую не хочу ...

А почему именно basic авторизация? У меня WSUS 3.0 SP1 использует ntlm_auth. Пользователь - член группы Backup Operators.

Насчет выбора схемы авторизации, я так понял, что схема выбирается в порядке представления в конфиге сквида.
По поводу IE - у него есть некоторая особенность: если первой представлена схема basic, но также за нех представлены более надежные схемы, он все-равно будет выбирать схему basic. И как я понял, единственный надежный вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/

Что касается WSUS 3.0 - в настройках соединения есть параметр

"Разрешить обычную проверку подлинности (пароль передается открытым текстом)"

. Если использовать ее?

И кстати, какой у Вас WSUS ??

>[оверквотинг удален]
>представления в конфиге сквида.
>По поводу IE - у него есть некоторая особенность: если первой представлена
>схема basic, но также за нех представлены более надежные схемы, он
>все-равно будет выбирать схему basic. И как я понял, единственный надежный
>вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/
>
>Что касается WSUS 3.0 - в настройках соединения есть параметр

"Разрешить обычную 
>проверку подлинности (пароль передается открытым текстом)"

. Если использовать ее?
>
>И кстати, какой у Вас WSUS ??

И еще, какая версия сквида у Вас стоит, и почему такой helper указан для схемы basic?

auth_param basic program /usr/local/bin/ntlm_auth

>
>И еще, какая версия сквида у Вас стоит, и почему такой helper
>указан для схемы basic?
>

auth_param basic program /usr/local/bin/ntlm_auth

все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ

--helper-protocol=squid-2.5-basic

С разными хелперами squid не будет работать

>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>

auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>

--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Вот это ближе к теме.
Буду смотреть, спасибо...

>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>

auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>

--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Сразу же вопрос.
А как правильно прописать?
Уже обгуглился и руки опускаются...

>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>

auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>

--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Тут http://www.opennet.me/man.shtml?topic=ntlm_auth&category=1&r... говорят что будет работать...

>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>

auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>

--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Все же, подскажите пожалуйста как мне правильно поступить что б заработала basic авторизация вместе с ntlm?

>[оверквотинг удален]
>представления в конфиге сквида.
>По поводу IE - у него есть некоторая особенность: если первой представлена
>схема basic, но также за нех представлены более надежные схемы, он
>все-равно будет выбирать схему basic. И как я понял, единственный надежный
>вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/
>
>Что касается WSUS 3.0 - в настройках соединения есть параметр

"Разрешить обычную 
>проверку подлинности (пароль передается открытым текстом)"

. Если использовать ее?
>
>И кстати, какой у Вас WSUS ??

Wsus 3.2
Галки видел и ставил и 35 раз перегружал Wsus, не работает ни с галкой ни без нее.
Squid 3.1.0.13, тот что последний в портах.

>[оверквотинг удален]
>>
>>Что касается WSUS 3.0 - в настройках соединения есть параметр

"Разрешить обычную 
>>проверку подлинности (пароль передается открытым текстом)"

. Если использовать ее?
>>
>>И кстати, какой у Вас WSUS ??
>
>Wsus 3.2
>Галки видел и ставил и 35 раз перегружал Wsus, не работает ни
>с галкой ни без нее.
>Squid 3.1.0.13, тот что последний в портах.

Up