URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2558
[ Назад ]
Исходное сообщение
"squid + ntlm"
Отправлено Yurii , 12-Окт-04 13:48 
Народ помогите рзобраться....
Стоит squid-2.5.STABLE5-4 и samba-3.0.7-2.
настроена аутентификация пользователей из домена Win2k по средствам ntlm и basic. используется хелпер ntlm_auth от самбы.
конфиг squid'a:

http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 200 MB
cache_swap_low 70
cache_swap_high 80
maximum_object_size 8192 KB
maximum_object_size_in_memory 16 KB
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /cache/squid 8192 16 256
log_ip_on_direct off
ftp_user Squid@squid.org
ftp_list_width 64
ftp_passive on
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours

authenticate_ttl 900 seconds
authenticate_ip_ttl 0 seconds

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 98

negative_ttl 5 minutes

positive_dns_ttl 3 hours
negative_dns_ttl 1 minute

acl all src 0.0.0.0/0.0.0.0
acl AuthUsers proxy_auth REQUIRED

acl SSL_ports port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow AuthUsers
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
---------
Когда все нормально в acces.log squid пишет:
....... domain\user ......

ОДНАКО переодически пользователи не могут получить запрашиваемые странички, браузер рисует не ответ squid'a, a стандартную страничку "Page can not be found". При этом squid пишет в лог
....... NONE\- ......

Пробовались разнsе браузеры: IE 5.1-6.0.3, mozila -результат тот-же как с ntlm, так и с basic.
ЧТО НЕ ТАК?  

Содержание
Сообщения в этом обсуждении
"squid + ntlm"
Отправлено Black_Dragon , 19-Окт-04 13:52 
у меня другая фигня из того же конфига:

отличие только вот: и самба 3.0.6
acl AuthUsers proxy_auth domain\user_io
так вот, если польщователь в IE6, то логин передается в виде DOMAIN\User_IO (как на серваке заведен), а в опере domain\user_io, а прокся проверяет с учетом регистра, как ее избавить от этого? [-i] не помогало...

"squid + ntlm"
Отправлено Yurii , 21-Окт-04 18:41 
>у меня другая фигня из того же конфига:
>
>отличие только вот: и самба 3.0.6
>acl AuthUsers proxy_auth domain\user_io
>так вот, если польщователь в IE6, то логин передается в виде DOMAIN\User_IO
>(как на серваке заведен), а в опере domain\user_io, а прокся проверяет
>с учетом регистра, как ее избавить от этого? [-i] не помогало...
>

Аутентифицирует не прокся а хелпер, он должен понимать в любом регистре.
А в остальном разобрелся - проблема с iptables