Доброго времени суток!

Настроил Squid с NTLM2 авторизацией. Все протестировано и отлично работает с клиентами Windows XP и браузерами IE7 и Firefox. В сети есть несколько машин с Windows 98, которые используют NTLM2 авторизацию для работы в домене. Настроены согласно статье http://support.microsoft.com/kb/239869
С этих компьютеров можно зайти на расшареный через Samba ресурс proxy сервера, но нельзя получить доступ в интернет через squid, постоянно появляется окошко ввода логина и пароля. Ввод правильного пароля не помогает. При этом в логе появляется сообщение об ошибке:

[2009/02/12 15:01:15,  3] winbindd/winbindd_pam.c:winbindd_dual_pam_auth_crap(1825)
  [30301]: pam auth crap domain: MYDOMAI user: alekse
[2009/02/12 15:01:15,  2] winbindd/winbindd_pam.c:winbindd_dual_pam_auth_crap(1990)
  NTLM CRAP authentication for user [MYDOMAI]\[alekse] returned NT_STATUS_NO_SUCH_USER (PAM: 10)

Как видно, в [] скобках "обрезана" последняя буква домена и имени пользователя. Возможно, в этом причина.

Кто-нибудь сталкивался с такой проблемой? Есть идеи?

Версии программного обеспечения:

Debian Lenny 5.0 (чистая установка)
Squid 3.0.STABLE8-3
Samba 3.2.5-4

Конфигурация squid.conf:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl Authorized_Users proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access allow Authorized_Users
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 2048 MB
maximum_object_size_in_memory 4096 KB
cache_dir null /var/spool/squid3
access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp:         &n... 1440   20%    10080
refresh_pattern ^gopher:          1440    0%     1440
refresh_pattern -i (/cgi-bin/|\?)    0    0%        0
refresh_pattern .                    0   20%     4320
negative_ttl 0 seconds
request_header_max_size 64 KB
reply_header_max_size 64 KB
shutdown_lifetime 5 seconds
httpd_suppress_version_string on
coredump_dir /var/spool/squid3

Конфигурация smb.conf:

[global]
      workgroup = MYDOMAIN
      realm = MYDOMAIN.LOCAL
      server string =
      security = ADS
      restrict anonymous = 2
      client lanman auth = No
      client ntlmv2 auth = Yes
      client plaintext auth = No
      ldap ssl = On
      log level = 3
      syslog = 0
      log file = /var/log/samba/log.%m
      max log size = 1024
      name resolve order = hosts wins bcast
      socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
      load printers = No
      show add printer wizard = No
      lm announce = No
      preferred master = No
      local master = No
      domain master = No
      dns proxy = No
      wins server = 192.168.0.2
      idmap uid = 10000-20000
      idmap gid = 10000-20000
      winbind use default domain = Yes
      invalid users = root
      create mask = 0600
      directory mask = 0700
      hosts allow = 127., 192.168.0.0/24
      hosts deny = ALL
      template shell = /bin/bash
      template homedir = /home/%U
      case sensitive = No

• Squid с NTLM2 авторизацией и Windows 98,mesmeridze, 18:21 , 12-Фев-09
  • Squid с NTLM2 авторизацией и Windows 98,AlekseyC, 19:26 , 12-Фев-09
    • Squid с NTLM2 авторизацией и Windows 98,Сергей, 23:44 , 12-Фев-09
      • Squid с NTLM2 авторизацией и Windows 98,аноним, 02:40 , 13-Фев-09
      • Squid с NTLM2 авторизацией и Windows 98,AlekseyC, 12:06 , 13-Фев-09
        • Squid с NTLM2 авторизацией и Windows 98,аноним, 17:04 , 13-Фев-09
          • Squid с NTLM2 авторизацией и Windows 98,AlekseyC, 20:08 , 13-Фев-09
            • Squid с NTLM2 авторизацией и Windows 98,аноним, 12:58 , 14-Фев-09
• Squid с NTLM2 авторизацией и Windows 98,AlekseyC, 12:06 , 17-Фев-09

по моему пользователь криво передает аутентификационные данные, попробуйте при вводе логина на клиентской станции указать mydom\username. Если поможет исправьте на клиенте дописывание доменных суффиксов.

>по моему пользователь криво передает аутентификационные данные, попробуйте при вводе логина на
>клиентской станции указать mydom\username. Если поможет исправьте на клиенте дописывание доменных
>суффиксов.

Пробовал авторизоваться на разных компьютерах с Windows 98, как user, MYDOMAIN\user, MYDOMAIN+user, MYDOMAIN/user. В результате точно такая же ошибка.

В качестве эксперимента понизил на контроллере домена, Windows 98 клиенте и proxy сервере уровень авторизации с NTML2 до LM. В результате точно такая же ошибка. Причем, в доступе по сети проблем нет.

Лог ошибки в log.wb-MYDOMAIN

[2009/02/12 18:19:22,  2] winbindd/winbindd_pam.c:winbindd_dual_pam_auth_crap(1990)
  NTLM CRAP authentication for user [MYDOMAI]\[alekse] returned NT_STATUS_NO_SUCH_USER (PAM: 10)

Лог ошибки в cache.log

2009/02/12 18:23:05.659| The request GET http://www.example.com/ is DENIED, because it matched 'Authorized_Users'
2009/02/12 18:23:05.659| The reply for GET http://www.example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:05.702| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAACAAIADAAAAAGgomAN7X+c+ae6SgAAAAAAAAAAHIAcgA4AAAAQ
kJBTFRJSkECABAAQgBCAEEATABUAEkASgBBAAEACgBQAFIATwBYAFkABAAcAGIAYgBhAGwAdABpAGoAYQAuAGIAYgAuAGwAdgADACgAcAByAG8AeAB5AC4AYgBiAGEAbAB0AGkAagBhAC4AYgBiAC4A
bAB2AAAAAAA='!
2009/02/12 18:23:05.702| The request GET http://www.example.com/ is DENIED, because it matched 'Authorized_Users'
2009/02/12 18:23:05.702| The reply for GET http://www.example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:05.708| The request GET http://www.example.com/ is DENIED, because it matched 'Authorized_Users'
2009/02/12 18:23:05.709| The reply for GET http://www.example.com/ is ALLOWED, because it matched 'Authorized_Users'

Лог успешной авторизации с Windows XP в cache.log

2009/02/12 18:23:55.942| The request GET http://example.com/ is DENIED, because it matched 'Authorized_Users'
2009/02/12 18:23:55.943| The reply for GET http://example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:55.947| AuthNTLMUserRequest::authenticate: need to challenge client 'TlRMTVNTUAACAAAAEAAQADAAAAAFgomirIKxe7I+GhwAAAAAAAAAAHIAcgBAAAAAQ
gBCAEEATABUAEkASgBBAAIAEABCAEIAQQBMAFQASQBKAEEAAQAKAFAAUgBPAFgAWQAEABwAYgBiAGEAbAB0AGkAagBhAC4AYgBiAC4AbAB2AAMAKABwAHIAbwB4AHkALgBiAGIAYQBsAHQAaQBqAGEA
LgBiAGIALgBsAHYAAAAAAA=='!
2009/02/12 18:23:55.947| The request GET http://example.com/ is DENIED, because it matched 'Authorized_Users'
2009/02/12 18:23:55.947| The reply for GET http://example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:55.974| The request GET http://example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:56.326| The reply for GET http://example.com/ is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:56.362| The request GET http://example.com/favicon.ico is ALLOWED, because it matched 'Authorized_Users'
2009/02/12 18:23:56.714| The reply for GET http://example.com/favicon.ico is ALLOWED, because it matched 'Authorized_Users'

Мне кажется дело в броузере, там наверное еще IE5.5 стоит, поставьте FF

=В сети есть несколько машин с Windows 98, которые используют NTLM2 авторизацию для работы в домене. Настроены согласно статье http://support.microsoft.com/kb/239869=

Этого мало.Для корректной авторизации в домене АД на win98 должны стоять патчи, ie6 + AD client for windows 9x.Т.е. для начала машина на win98 должна пройти авторизацию в домене и видеть \\domain.name\NETLOGON
Ну а потом уже тестировать работу IE6+Squid.

В первом посте написано, что все компьютеры с Windows 98 настроены согласно статье http://support.microsoft.com/kb/239869
То есть везде установлен IE6 128bit, Active Directory Client Extension и все машины успешно работают в домене. Проблема возникает только при попытке авторизации через Squid. Также сказано, что понижение уровня до простого LM не решает проблему.
Firefox установлен. С ним происходит точно такая же ошибка. Очевидно, проблема не браузере.

Перефразирую вопрос. У кого-нибудь работает связка Squid + NTLM Auth и клиенты Windows 98? Отзовитесь!

В вашей ссылке нет ни слова о необходимых программных обновлениях для корректной работы Win98 в домене AD.Там только ссылка на изменение реестра.Насколько я помню, 98 должна быть SE+ обновы.На эту тему у M$ тоже есть KB.У меня есть пара машин с win98se в nativ w3k2 домене AD.Пользователи на 98 машинах при загрузке авторизуются в домене.После этого могут запускать IE и шлятся по сети.У меня связка squid2.5+samba3+winbind+NTLMv2 авторизация и SAMS на обсчете трафика.Платформа Debian Etch.

>Перефразирую вопрос. У кого-нибудь работает связка Squid + NTLM Auth и клиенты
>Windows 98? Отзовитесь!

Перефразирую ответ - у меня.
Если интересуют технические детали - пишите мыло или в асю.

>Перефразирую ответ - у меня.
>Если интересуют технические детали - пишите мыло или в асю.

Спасибо за предложение. Сообщите, как с Вами связаться.
Мой адрес georgy34@mail.ru

Отписал на Маил.Ру.

Проблема была успешно решена установкой последней версии Samba 3.3.0 из репозитория Debian Unstable. Клиенты с Windows 98, которые авторизовались до этого в домене по протоколу NTLM2, выходят в интернет через прокси без ввода имени и пароля.

Всем спасибо за помощь.