URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6832
[ Назад ]

Исходное сообщение
"Обновление касперского через squid (метод GET)"
Отправлено zhum , 16-Июл-12 16:54

squid 3. конфиг следующая:
auth_param ntlm program /usr/bin/ntlm_auth -d --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15

auth_param basic program /usr/lib/squid/squid_ldap_auth #Бейсик аутентификация
auth_param basic children 5
auth_param basic realm KONTORA.RU
external_acl_type ldapg children=10 ttl=75 negative_ttl=90  %LOGIN /usr/lib/squid/squid_ldap_group #проверка принадлежности к группе
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl magent_sites dst 94.100.178.0/24 94.100.179.0/24 94.100.184.0/24 94.100.186.0/24
acl port_magent port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
acl POST method POST

acl SSL_ports port 443
acl SSL_ports port 2041
acl SSL_ports port 2042
acl auth proxy_auth REQUIRED
acl worktime time MTWHFA 8:00-20:00
acl wt external ldapg wtime
acl magent external ldapg magent
acl ptf proto FTP
always_direct allow ptf
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports !auth
http_access deny CONNECT SSL_ports magent_sites !magent
http_access allow POST
http_access allow auth wt worktime
http_access allow localhost
http_access deny all
##################################################################
при попытке обновления антивируса касперского в логе squid пишет следующее:
1342419085.811 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-02.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1342419085.825 0 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-02.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
на экран выводится окно антивируса где просит ввести логин и пароль. Если ввести логин и пароль он не принимает.
Думаю это из за метода запроса GET, этот метод у меня в конфиге не прописан.
Вопрос как разрешит использование метода GET всем, но при этом чтоб тоже работала аутентификация пользователей.
Пробовал добавить:
acl GET method GET
acl avp dstdom_regex -i "/etc/squid/avp.txt"  #файл содержит адрес .geo.kaspersky.com
http_access allow GET auth avp
но в логах пишет тоже самое:
1342427502.065 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1342427502.077 1 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html

Содержание

Обновление касперского через squid (метод GET),PavelR, 07:17 , 17-Июл-12
- Обновление касперского через squid (метод GET),zhum, 07:41 , 17-Июл-12
  - Обновление касперского через squid (метод GET),PavelR, 07:56 , 17-Июл-12
    - Обновление касперского через squid (метод GET),zhum, 08:28 , 17-Июл-12
      - Обновление касперского через squid (метод GET),PavelR, 10:52 , 17-Июл-12
        
        Обновление касперского через squid (метод GET),zhum, 11:11 , 17-Июл-12
        
        Обновление касперского через squid (метод GET),PavelR, 12:28 , 17-Июл-12
        
        Обновление касперского через squid (метод GET),PavelR, 06:31 , 18-Июл-12

Сообщения в этом обсуждении

"Обновление касперского через squid (метод GET)"
Отправлено PavelR , 17-Июл-12 07:17

> Пробовал добавить:
> http_access allow GET auth avp
Порядок следования директив http_access - важен.

"Обновление касперского через squid (метод GET)"
Отправлено zhum , 17-Июл-12 07:41

>> Пробовал добавить:
>> http_access allow GET auth avp
> Порядок следования директив http_access - важен.
директиву
http_access allow GET auth avp
я размещал на самом верху. Сразу после always_direct allow ptf. Думаю вы согласитесь что в этом случае доступ должен был быть разрешен. т.е. до первого совпадения просматривается список.

"Обновление касперского через squid (метод GET)"
Отправлено PavelR , 17-Июл-12 07:56

>>> Пробовал добавить:
>>> http_access allow GET auth avp
>> Порядок следования директив http_access - важен.
> директиву
> http_access allow GET auth avp
> я размещал на самом верху. Сразу после always_direct allow ptf.
> Думаю вы согласитесь что в этом случае доступ должен был быть разрешен.
пожалуй, нет, не соглашусь. =)))))))
Я думаю, что:
- оно работает точно в соответствии с настройкой
- вы не можете детально и точно описать, чего хотите добиться.
> т.е. до первого совпадения просматривается список.
По-моему, вы не правы. Что вы понимаете под словом "совпадение"?

"Обновление касперского через squid (метод GET)"
Отправлено zhum , 17-Июл-12 08:28

>[оверквотинг удален]
>> директиву
>> http_access allow GET auth avp
>> я размещал на самом верху. Сразу после always_direct allow ptf.
>> Думаю вы согласитесь что в этом случае доступ должен был быть разрешен.
> пожалуй, нет, не соглашусь. =)))))))
> Я думаю, что:
> - оно работает точно в соответствии с настройкой
> - вы не можете детально и точно описать, чего хотите добиться.
>> т.е. до первого совпадения просматривается список.
> По-моему, вы не правы. Что вы понимаете под словом "совпадение"?
Я хочу добиться того чтоб squid пропускал запросы (GET/POST/CONNECT). Но при этом пользователь должен пройти аутентификация (у меня она берется с Active Directory). Как пример разбираюсь с GET.
Что я делал для этого. Настроил аутентификацию ntlm, авторизацию через группы ldap.
Описал легальные порты в конфиге как показано выше.
Дополонительно все методы в acl.
потом самым первым прописываю
http_access allow GET auth avp
теперь, о "совпадение". По этой директиве должно было быть такое совпадение:
разрешить если запрос GET, пользователь аутентифицирован, сайт назначения из списка avp.
ну и если судит по следующим логам
1342427502.065 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
1342427502.077 1 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
то должно было совпасть.
Может и ошибаюсь. Но в чем?

"Обновление касперского через squid (метод GET)"
Отправлено PavelR , 17-Июл-12 10:52

> то должно было совпасть.
> Может и ошибаюсь. Но в чем?
Берем директиву
>>> http_access allow GET auth avp
и проверяем её по частям, выявляя неработающую часть. Потом лечим неработающую часть.

"Обновление касперского через squid (метод GET)"
Отправлено zhum , 17-Июл-12 11:11

>> то должно было совпасть.
>> Может и ошибаюсь. Но в чем?
> Берем директиву
>>>> http_access allow GET auth avp
> и проверяем её по частям, выявляя неработающую часть. Потом лечим неработающую часть.
работает в любой вариации но только без auth. хм... интересно а каспер умеет работать с ntlm?

"Обновление касперского через squid (метод GET)"
Отправлено PavelR , 17-Июл-12 12:28

> интересно а каспер умеет работать с ntlm?
А что на эту тему говорит документация к программному продукту или его техническая поддержка ?

"Обновление касперского через squid (метод GET)"
Отправлено PavelR , 18-Июл-12 06:31

>> интересно а каспер умеет работать с ntlm?
> А что на эту тему говорит документация к программному продукту или его
> техническая поддержка ?
понятно, они молчат.