URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4498
[ Назад ]

Исходное сообщение
"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 14:21

Всем привет.
Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация идет через домен на обоих сквидах. Планируется что второй сквид сначала обращается за кэшем к папе, если папа не доступен, то самостоятельно выпускает юзеров в инет.
Второй сквид настроен на папу
cache_peer <первый_сквид> parent 3128 3130 login=user:pass
Без этих настроек каждый сквид по отдельности работает как надо - прозрачно авторизует юзеров в домене, пропускает, пишет кэш и т.д.
Если включаю cache_peer, то получаю следующее:
В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
В аксес.лог на папе пишется первой строкой
<ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
далее <ip_дочки> TCP_DENIED/ .... <url> ...
В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации. Пробовал юзеров из домена. Не хочет.
В какую сторону копать может подскажет кто?

Содержание

Иерархия squid'ов,spens, 15:14 , 14-Ноя-06
Иерархия squid'ов,spens, 16:20 , 14-Ноя-06
- Иерархия squid'ов,spens, 16:27 , 14-Ноя-06
- Иерархия squid'ов,spens, 20:38 , 14-Ноя-06
Иерархия squid'ов,yuku, 14:24 , 21-Ноя-06
- Иерархия squid'ов,spens, 15:24 , 21-Ноя-06

Сообщения в этом обсуждении

"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 15:14

>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?
Причем юзер сидящий через дочку, страницы из папиного кэша таки получает.

"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 16:20

>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?
Добавил на дочернем prefer_direct on
Странички полезли, но постоянно выскакивает окно авторизации.

"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 16:27

>Добавил на дочернем prefer_direct on
>Странички полезли, но постоянно выскакивает окно авторизации.
Это я так понимаю изза того что дочерний сквид прозрачно авторизует пользователя залогиненого в домен, а когда запрос уходит на папу, то оно постоянно хочет логин\пароль..
Авторизация ntlm

"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 20:38

>>Всем привет.
>>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>>выпускает юзеров в инет.
>>
>>Второй сквид настроен на папу
>>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>>
>>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>>Если включаю cache_peer, то получаю следующее:
>>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>>В аксес.лог на папе пишется первой строкой
>><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>>
>>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>>Пробовал юзеров из домена. Не хочет.
>>
>>В какую сторону копать может подскажет кто?
>
>Добавил на дочернем prefer_direct on
>Странички полезли, но постоянно выскакивает окно авторизации.
Если на папе отключить авторизацию, то все отлично работает, но там тоже нужна авторизация.. Народ подскажите как выкрутится из ситуации, а то сижу сам с собой разговариваю.

"Иерархия squid'ов"
Отправлено yuku , 21-Ноя-06 14:24

>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?
Тебе нужно прописать never_direct allow all в конфиге. Удачи

"Иерархия squid'ов"
Отправлено spens , 21-Ноя-06 15:24

>>Всем привет.
>>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>>выпускает юзеров в инет.
>>
>>Второй сквид настроен на папу
>>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>>
>>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>>Если включаю cache_peer, то получаю следующее:
>>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>>В аксес.лог на папе пишется первой строкой
>><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>>
>>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>>Пробовал юзеров из домена. Не хочет.
>>
>>В какую сторону копать может подскажет кто?
>
>Тебе нужно прописать never_direct allow all в конфиге. Удачи
Решил вопрос путем простого разрешения конектов между сквидами

acl parent_squid src 1.1.1.1/255.255.255.255
http_access allow parent_squid
На папе соответственно
acl d_squid src 1.1.1.2/255.255.255.255
http_access allow d_squid