Любой браузер постоянно запрашивает логин/пароль причем если его хотябы раз корректно ввести то страници открываются но постоянно приходится жать либо ок либо отмена в постоянно всплывающем окне аутентификации.... ПОМОГИТЕ облазил всеь нет и никак не могу найти решения
конфиг:
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -D squid_wa@rkh.ru -w squid -b "dc=rkh,dc=ru" -f "sAMAccountName=%s" 10.10.10.200
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic keep_alive on
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#  TAG: acl
  acl ldap-auth proxy_auth REQUIRED
  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 127.0.0.1/255.255.255.255
  acl to_localhost dst 127.0.0.1/255.255.255.255
  acl SSL_ports port 443 563
  acl Safe_ports port 80        # http
  acl Safe_ports port 21        # ftp
  acl Safe_ports port 443        # https
  acl Safe_ports port 70        # gopher
  acl Safe_ports port 210        # wais
  acl Safe_ports port 1025-65535    # unregistered ports
  acl Safe_ports port 280        # http-mgmt
  acl Safe_ports port 488        # gss-http
  acl Safe_ports port 591        # filemaker
  acl Safe_ports port 777        # multiling http
  acl CONNECT method CONNECT
# TAG: http_access
  http_access allow manager localhost
  http_access deny manager
  http_access deny CONNECT !SSL_ports
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
  acl bad_url url_regex "/etc/squid/acl/bad_url.domain"
  acl upload url_regex "/etc/squid/acl/upload.domain"
  acl filetypes urlpath_regex -i "/etc/squid/acl/filetypes.acl"
  acl banners url_regex "/etc/squid/acl/ads.acl"
  http_access deny banners ldap-auth
  http_access deny filetypes ldap-auth
  http_access deny upload ldap-auth
  http_access deny bad_url ldap-auth
  
  http_access allow ldap-auth

# TAG: http_reply_access
  icp_access allow all
  
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
# TAG: http_port
  http_port 10.10.10.11:3128 transparent
# TAG: hierarchy_stoplist
  hierarchy_stoplist cgi-bin ?
  
# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
# TAG: cache_replacement_policy
  cache_dir ufs /var/spool/squid 40000 16 256

   cache_swap_low 90
   cache_swap_high 95
  
# speed download control
delay_class 1 2
delay_parameters 1 50000/1500000
delay_access 1 allow localnet10
delay_access 1 allow localnet11
delay_access 1 deny all

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
#  TAG: access_log
  access_log /var/log/squid/access.log squid

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
# TAG: cache
  acl QUERY urlpath_regex cgi-bin \?
# TAG: refresh_pattern
  refresh_pattern ^ftp:        1440    20%    10080
  refresh_pattern ^gopher:    1440    0%    1440
  refresh_pattern .        0    20%    4320
# TAG: store_avg_object_size    (kbytes)
  store_avg_object_size 70 MB
  visible_hostname gw1.local
  
# HTTP OPTIONS
# -----------------------------------------------------------------------------
#  TAG: broken_vary_encoding
  acl apache rep_header Server ^Apache
  cache deny QUERY
  broken_vary_encoding allow apache

• Squid ldap проблема постоянного запроса логина/пароля,uasash2, 17:27 , 19-Ноя-10
  • Squid ldap проблема постоянного запроса логина/пароля,uasash2, 17:29 , 19-Ноя-10
    • Squid ldap проблема постоянного запроса логина/пароля,kim303, 17:35 , 19-Ноя-10
      • Squid ldap проблема постоянного запроса логина/пароля,uasash2, 17:53 , 19-Ноя-10
• Squid ldap проблема постоянного запроса логина/пароля,kim303, 17:43 , 19-Ноя-10
  • Squid ldap проблема постоянного запроса логина/пароля,uasash2, 17:55 , 19-Ноя-10
    • Squid ldap проблема постоянного запроса логина/пароля,kim303, 17:59 , 19-Ноя-10
      • Squid ldap проблема постоянного запроса логина/пароля,kim303, 18:02 , 19-Ноя-10
        • Squid ldap проблема постоянного запроса логина/пароля,kim303, 18:04 , 19-Ноя-10
          • Squid ldap проблема постоянного запроса логина/пароля,uasash2, 22:11 , 19-Ноя-10
            • Squid ldap проблема постоянного запроса логина/пароля,edded, 15:15 , 20-Ноя-10
              • Squid ldap проблема постоянного запроса логина/пароля,Kim303, 10:58 , 21-Ноя-10
                • Squid ldap проблема постоянного запроса логина/пароля,Edd, 18:33 , 21-Ноя-10
                  • Squid ldap проблема постоянного запроса логина/пароля,kim303, 10:40 , 22-Ноя-10
                    • Squid ldap проблема постоянного запроса логина/пароля,начинающий, 20:37 , 22-Ноя-10

нет доступа на запись, точно не помню какой файл связано это с винбинд я отловил в логах.. но забыл tail -f тебе в помощь

> нет доступа на запись, точно не помню какой файл связано это с
> винбинд я отловил в логах.. но забыл tail -f тебе в
> помощь

дай доступ на этот каталог /var/db/samba/winbindd_privileged или /var/db/samba34/winbindd_privileged это смотря какая у тебя версия

>> нет доступа на запись, точно не помню какой файл связано это с
>> винбинд я отловил в логах.. но забыл tail -f тебе в
>> помощь
> дай доступ на этот каталог /var/db/samba/winbindd_privileged или /var/db/samba34/winbindd_privileged
> это смотря какая у тебя версия

разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько я понимаю НЕТ и их можно вообще не устанавливать

По какой статье настраивали, какие версии программ установлены pkg_info (если FreeBSD)

разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько я понимаю НЕТ и их можно вообще не устанавливать

> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
> я понимаю НЕТ и их можно вообще не устанавливать

а у вас авторизация в Домене Windows или поднят ldap

>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>> я понимаю НЕТ и их можно вообще не устанавливать
> а у вас авторизация в Домене Windows или поднят ldap

ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен iptables (сквид висит на одной из сетевух в fireWall проброшен для него 80 порт)

>>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>>> я понимаю НЕТ и их можно вообще не устанавливать
>> а у вас авторизация в Домене Windows или поднят ldap
> ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен
> iptables (сквид висит на одной из сетевух в fireWall проброшен для
> него 80 порт)

Настраивал много по каким статьям так сразу и не скажу.... отовсюду нахватал...

>>>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>>>> я понимаю НЕТ и их можно вообще не устанавливать
>>> а у вас авторизация в Домене Windows или поднят ldap
>> ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен
>> iptables (сквид висит на одной из сетевух в fireWall проброшен для
>> него 80 порт)
> Настраивал много по каким статьям так сразу и не скажу.... отовсюду нахватал...

Примечание без аутентификации все работает как часики.... всмысле если просто разрешать локалке http_access

> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
> локалке http_access

напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
процентов на 90 из-за прав все это... у меня просто было так же...

>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>> локалке http_access
> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
> процентов на 90 из-за прав все это... у меня просто было так
> же...

Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не имеет никакого отношения.

>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>> локалке http_access
>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>> процентов на 90 из-за прав все это... у меня просто было так
>> же...
> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
> имеет никакого отношения.

Мужики помогайте.... у кого еще есть идеи???

>>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>>> локалке http_access
>>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>>> процентов на 90 из-за прав все это... у меня просто было так
>>> же...
>> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
>> имеет никакого отношения.
> Мужики помогайте.... у кого еще есть идеи???

Ну, в общем-то это похоже нормальное поведение при аутентификации напрямую через ldap. Делайте связку Squid+Ldap+Kerberos и будет вам счастье

>>>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>>>> локалке http_access
>>>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>>>> процентов на 90 из-за прав все это... у меня просто было так
>>>> же...
>>> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
>>> имеет никакого отношения.
>> Мужики помогайте.... у кого еще есть идеи???
> Ну, в общем-то это похоже нормальное поведение при аутентификации напрямую через ldap.
> Делайте связку Squid+Ldap+Kerberos и будет вам счастье

Проблема решена: Если кому интересно: необходимо объявлять два acl 1-й исключительно для аутертификации, 2-й для интрасети и только через него банитить сайты и др.
Проблема возникает из-за повторной проверки url на разрешенность.
Примечание: при открытии нового окна IE или др обозревателя аутентификация будет запрашиваться повторно! Но от этого уже никуда не денешься.

>> Делайте связку Squid+Ldap+Kerberos и будет вам счастье
> Проблема решена:
> Примечание: при открытии нового окна IE или др обозревателя аутентификация будет запрашиваться
> повторно! Но от этого уже никуда не денешься.

Если настроите вышеуказанную связку, пароль будет запрашиваться только при входе в систему.