URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4498
[ Назад ]

Исходное сообщение
"Иерархия squid'ов"

Отправлено spens , 14-Ноя-06 14:21 
Всем привет.
Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация идет через домен на обоих сквидах. Планируется что второй сквид сначала обращается за кэшем к папе, если папа не доступен, то самостоятельно выпускает юзеров в инет.

Второй сквид настроен на папу
cache_peer <первый_сквид> parent 3128 3130 login=user:pass

Без этих настроек каждый сквид по отдельности работает как надо - прозрачно авторизует юзеров в домене, пропускает, пишет кэш и т.д.
Если включаю cache_peer, то получаю следующее:
В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
В аксес.лог на папе пишется первой строкой
<ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
далее <ip_дочки> TCP_DENIED/ .... <url> ...

В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации. Пробовал юзеров из домена. Не хочет.

В какую сторону копать может подскажет кто?


Содержание

Сообщения в этом обсуждении
"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 15:14 
>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?

Причем юзер сидящий через дочку, страницы из папиного кэша таки получает.


"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 16:20 
>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?

Добавил на дочернем prefer_direct on
Странички полезли, но постоянно выскакивает окно авторизации.


"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 16:27 
>Добавил на дочернем prefer_direct on
>Странички полезли, но постоянно выскакивает окно авторизации.

Это я так понимаю изза того что дочерний сквид прозрачно авторизует пользователя залогиненого в домен, а когда запрос уходит на папу, то оно постоянно хочет логин\пароль..
Авторизация ntlm


"Иерархия squid'ов"
Отправлено spens , 14-Ноя-06 20:38 
>>Всем привет.
>>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>>выпускает юзеров в инет.
>>
>>Второй сквид настроен на папу
>>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>>
>>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>>Если включаю cache_peer, то получаю следующее:
>>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>>В аксес.лог на папе пишется первой строкой
>><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>>
>>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>>Пробовал юзеров из домена. Не хочет.
>>
>>В какую сторону копать может подскажет кто?
>
>Добавил на дочернем prefer_direct on
>Странички полезли, но постоянно выскакивает окно авторизации.

Если на папе отключить авторизацию, то все отлично работает, но там тоже нужна авторизация.. Народ подскажите как выкрутится из ситуации, а то сижу сам с собой разговариваю.


"Иерархия squid'ов"
Отправлено yuku , 21-Ноя-06 14:24 
>Всем привет.
>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>выпускает юзеров в инет.
>
>Второй сквид настроен на папу
>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>
>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>Если включаю cache_peer, то получаю следующее:
>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>В аксес.лог на папе пишется первой строкой
><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>
>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>Пробовал юзеров из домена. Не хочет.
>
>В какую сторону копать может подскажет кто?

Тебе нужно прописать never_direct allow all в конфиге. Удачи


"Иерархия squid'ов"
Отправлено spens , 21-Ноя-06 15:24 
>>Всем привет.
>>Имеется два сервера на freebsd6.1 со сквидами 2.6 STABLE5 + AD. Авторизация
>>идет через домен на обоих сквидах. Планируется что второй сквид сначала
>>обращается за кэшем к папе, если папа не доступен, то самостоятельно
>>выпускает юзеров в инет.
>>
>>Второй сквид настроен на папу
>>cache_peer <первый_сквид> parent 3128 3130 login=user:pass
>>
>>Без этих настроек каждый сквид по отдельности работает как надо - прозрачно
>>авторизует юзеров в домене, пропускает, пишет кэш и т.д.
>>Если включаю cache_peer, то получаю следующее:
>>В аксес.лог на дочери пишется, что юзер запрашивает страницу, получает отклик от папы вида FIRST_PARENT_MISS/<ip>
>>В аксес.лог на папе пишется первой строкой
>><ip_дочки> UDP_MISS/ ... ICP_QUERY <url> <user:pass>
>>далее <ip_дочки> TCP_DENIED/ .... <url> ...
>>
>>В случае обращения за страничкой через дочку вылазит окно с просьбой авторизации.
>>Пробовал юзеров из домена. Не хочет.
>>
>>В какую сторону копать может подскажет кто?
>
>Тебе нужно прописать never_direct allow all в конфиге. Удачи

Решил вопрос путем простого разрешения конектов между сквидами


acl parent_squid src 1.1.1.1/255.255.255.255
http_access allow parent_squid

На папе соответственно
acl d_squid src 1.1.1.2/255.255.255.255
http_access allow d_squid