URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6129
[ Назад ]

Исходное сообщение
"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено BlackFalcon , 13-Июл-09 15:47

Всё опять же, одно и тоже, вновь и вновь. Может у кого были подобные затруднения.
Рассматриваемая связка - winbind, squid, sams и треклятая ICQ в качестве клиента.
squid завязан с sams, где ведутся списки пользователей.
Авторизация через ntlm_auth хелпер для юзеров домена. winbind для получения списка пользователей домена.
ВСЁ работает. Авторизация IE - на ура, ни одной ошибки.

А вот QIP Infium (галочка ауетнтификация и NTLM соответственно)...
Короче, вот кусок access.log
Для пользователя kovalchuykey (подключение НЕУСПЕШНОЕ)
1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- text/html
1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443 POB227\kovalchukey DIRECT/205.188.251.43 -
Для пользователя sosunovaja (подключение УСПЕШНОЕ)
1247485533.814      0 10.0.6.102 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- text/html
1247485535.062   1246 10.0.6.102 TCP_MISS/200 357 CONNECT login.icq.com:443 POB227\sosunovaja DIRECT/64.12.161.153 -
1247485535.064      0 10.0.6.102 TCP_DENIED/407 2412 CONNECT 64.12.25.41:443 - NONE/- text/html
Вот такая вот история. Кленты, настройки, ВСЁ ОДИНАКОВОЕ.

Содержание

И снова и снова и без конца. squid, ntlm и ICQ,callback, 00:46 , 16-Июл-09
- И снова и снова и без конца. squid, ntlm и ICQ,BlackFalcon, 12:50 , 21-Июл-09
  - И снова и снова и без конца. squid, ntlm и ICQ,callback, 13:11 , 21-Июл-09
    - И снова и снова и без конца. squid, ntlm и ICQ,BlackFalcon, 18:14 , 21-Июл-09
    - И снова и снова и без конца. squid, ntlm и ICQ,BlackFalcon, 18:15 , 21-Июл-09

Сообщения в этом обсуждении

"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено callback , 16-Июл-09 00:46

>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -
Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....

"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено BlackFalcon , 21-Июл-09 12:50

>>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -
>
>Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой
>к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....
>
То же самое с принудительной привязкой, только теперь уже с другим клиентом. Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось бы несколько некультурнее...

"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено callback , 21-Июл-09 13:11

>>>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>>>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -
>>
>>Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой
>>к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....
>>
>
>То же самое с принудительной привязкой, только теперь уже с другим клиентом.
>Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось
>бы несколько некультурнее...
Я бы сказал с большей уверенностью что ACL тут явно при делах...
Прксирование прозрачно настроено? У пользователей прописан адрес или настройки выданы иным путем?
Можно начальный ACL взглянуть?

"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено BlackFalcon , 21-Июл-09 18:14

>[оверквотинг удален]
>>Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось
>>бы несколько некультурнее...
>
>Я бы сказал с большей уверенностью что ACL тут явно при делах...
>
>
>Прксирование прозрачно настроено? У пользователей прописан адрес или настройки выданы иным путем?
>
>
>Можно начальный ACL взглянуть?
Проксирование непрозрачно, настройки клиенту выдаются через GPO (нафик геморрой в гетерогенных сетях?), клиент ICQ настраивается "ручками".
ACL конечно можно взглянуть, не секрет.
Вот все настройки squid.conf
acl _sams_48d21626b8c7e proxy_auth "/etc/squid3/48d21626b8c7e.sams"
acl _sams_48d21626b8c7e_time time MTWHFAS 00:00-23:59
acl _sams_48d281057cbf5 proxy_auth "/etc/squid3/48d281057cbf5.sams"
acl _sams_48d281057cbf5_time time MTWHFAS 00:00-23:59
acl _sams_48d2149f494f8 proxy_auth "/etc/squid3/48d2149f494f8.sams"
acl _sams_48d2149f494f8_time time MTWHFAS 00:00-23:59
acl _sams_48d216bf6913d proxy_auth "/etc/squid3/48d216bf6913d.sams"
acl _sams_48d216bf6913d_time time MTWHFAS 00:00-23:59
acl _sams_48f33d476dd93 proxy_auth "/etc/squid3/48f33d476dd93.sams"
acl _sams_48f33d476dd93_time time MTWHFAS 00:00-23:59
acl _sams_48d3e37e563e3 url_regex "/etc/squid3/48d3e37e563e3.sams"
acl _sams_49c790b333c5b url_regex "/etc/squid3/49c790b333c5b.sams"
acl _sams_49dae582b1e72 url_regex "/etc/squid3/49dae582b1e72.sams"
acl _sams_49daea4aa1e7f url_regex "/etc/squid3/49daea4aa1e7f.sams"
acl _sams_disabled_id proxy_auth "/etc/squid3/disabled_id.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_48d21626b8c7e  !_sams_48d3e37e563e3 _sams_48d21626b8c7e_time
http_access allow _sams_48d281057cbf5  !_sams_48d3e37e563e3 _sams_48d281057cbf5_time
http_access allow _sams_48d2149f494f8  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d2149f494f8_time
http_access allow _sams_48d216bf6913d  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d216bf6913d_time
http_access deny _sams_48f33d476dd93  _sams_48f33d476dd93_time
http_access deny _sams_disabled_id
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl ICQ_users src 10.0.6.101-10.0.6.200
acl MSGenuine_domain dstdomain .one.microsoft.com
acl ICQ_domain          dstdomain .icq.com .aol.com
acl ICQ_addr            dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_port            port 5190 443
acl ICQ_proto           proto HTTPS
acl ICQ_url             url_regex ^http://.*/cb/
http_access allow       ICQ_users ICQ_addr ICQ_port CONNECT
http_access allow       ICQ_users ICQ_addr ICQ_URL
always_direct allow     ICQ_domain
always_direct allow     ICQ_addr
http_access deny MSGenuine_domain
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
delay_pools 5
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_access 1 allow _sams_48d2149f494f8
delay_access 1 deny all
delay_parameters 1 64000/64000 64000/64000
delay_access 2 allow _sams_48d21626b8c7e
delay_access 2 deny all
delay_parameters 2 64000/64000 64000/64000
delay_access 3 allow _sams_48d216bf6913d
delay_access 3 deny all
delay_parameters 3 524288/524288 524288/524288
delay_access 4 allow _sams_48d281057cbf5
delay_access 4 deny all
delay_parameters 4 64000/64000 64000/64000
delay_access 5 allow _sams_48f33d476dd93
delay_access 5 deny all
delay_parameters 5 524288/524288 524288/524288
coredump_dir /var/spool/squid3

"И снова и снова и без конца. squid, ntlm и ICQ"
Отправлено BlackFalcon , 21-Июл-09 18:15

>Можно начальный ACL взглянуть?
Извиняйте, не всё скопировал, нет ntlm_auth
http_port 10.0.6.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
maximum_object_size_in_memory 128 KB
cache_dir ufs /var/spool/squid3 4096 16 256
access_log /var/log/squid3/access.log squid
dns_nameservers 10.0.6.200
hosts_file /etc/hosts
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl _sams_48d21626b8c7e proxy_auth "/etc/squid3/48d21626b8c7e.sams"
acl _sams_48d21626b8c7e_time time MTWHFAS 00:00-23:59
acl _sams_48d281057cbf5 proxy_auth "/etc/squid3/48d281057cbf5.sams"
acl _sams_48d281057cbf5_time time MTWHFAS 00:00-23:59
acl _sams_48d2149f494f8 proxy_auth "/etc/squid3/48d2149f494f8.sams"
acl _sams_48d2149f494f8_time time MTWHFAS 00:00-23:59
acl _sams_48d216bf6913d proxy_auth "/etc/squid3/48d216bf6913d.sams"
acl _sams_48d216bf6913d_time time MTWHFAS 00:00-23:59
acl _sams_48f33d476dd93 proxy_auth "/etc/squid3/48f33d476dd93.sams"
acl _sams_48f33d476dd93_time time MTWHFAS 00:00-23:59
acl _sams_48d3e37e563e3 url_regex "/etc/squid3/48d3e37e563e3.sams"
acl _sams_49c790b333c5b url_regex "/etc/squid3/49c790b333c5b.sams"
acl _sams_49dae582b1e72 url_regex "/etc/squid3/49dae582b1e72.sams"
acl _sams_49daea4aa1e7f url_regex "/etc/squid3/49daea4aa1e7f.sams"
acl _sams_disabled_id proxy_auth "/etc/squid3/disabled_id.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_48d21626b8c7e  !_sams_48d3e37e563e3 _sams_48d21626b8c7e_time
http_access allow _sams_48d281057cbf5  !_sams_48d3e37e563e3 _sams_48d281057cbf5_time
http_access allow _sams_48d2149f494f8  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d2149f494f8_time
http_access allow _sams_48d216bf6913d  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d216bf6913d_time
http_access deny _sams_48f33d476dd93  _sams_48f33d476dd93_time
http_access deny _sams_disabled_id
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl ICQ_users src 10.0.6.101-10.0.6.200
acl MSGenuine_domain dstdomain .one.microsoft.com
acl ICQ_domain          dstdomain .icq.com .aol.com
acl ICQ_addr            dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_port            port 5190 443
acl ICQ_proto           proto HTTPS
acl ICQ_url             url_regex ^http://.*/cb/
http_access allow       ICQ_users ICQ_addr ICQ_port CONNECT
http_access allow       ICQ_users ICQ_addr ICQ_URL
always_direct allow     ICQ_domain
always_direct allow     ICQ_addr
http_access deny MSGenuine_domain
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
delay_pools 5
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_access 1 allow _sams_48d2149f494f8
delay_access 1 deny all
delay_parameters 1 64000/64000 64000/64000
delay_access 2 allow _sams_48d21626b8c7e
delay_access 2 deny all
delay_parameters 2 64000/64000 64000/64000
delay_access 3 allow _sams_48d216bf6913d
delay_access 3 deny all
delay_parameters 3 524288/524288 524288/524288
delay_access 4 allow _sams_48d281057cbf5
delay_access 4 deny all
delay_parameters 4 64000/64000 64000/64000
delay_access 5 allow _sams_48f33d476dd93
delay_access 5 deny all
delay_parameters 5 524288/524288 524288/524288
coredump_dir /var/spool/squid3