URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7185
[ Назад ]

Исходное сообщение
"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"

Отправлено Ex Nihilo , 28-Май-15 13:54 
Доброго всем дня. Имеется виртуальный сервер на FreeBSD 10.1 со связкой Samba 4.1.18 и Squid 3.5.3. Столкнулся с проблемой бесконечного появления окна аутентификации пользователя при работе данной связки и браузеров IE у клиента.

Конфиг Сквида такой:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
### !Вот этого файла не было в версиях 3.3-3.5, потому копировал с версии 3.2 вручную. Впрочем, на решение проблемы это не повлияло.


# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 192.168.0.0/20
acl samsungnet src 192.168.7.0/26
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT
acl POST method POST
acl inetuser proxy_auth REQUIRED

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow all inetuser
#http_access allow localnet
http_access allow samsungnet
http_access allow localhost
http_access allow POST localnet

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 192.168.2.1:3128

redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
redirect_children 50

cache_dir rock /var/squid/cache/rock 5120 max-size=102400
access_log daemon:/var/log/squid/access.log squid
cache_log /var/log/squid/cache.log

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache/

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


Конфиг с некоторыми правками взят с полностью рабочего сервера на FreeBSD 9.2 + Squid 3.2.13 + Samba 3.6.23.

Samba, на всякий случай, находится в домене, правильно отдаёт пользователей и группы, и вообще вся связка работает корректно на браузере Firefox и других.
Проблема наблюдается только в IE, причём сайт загружается, но при этом постоянно вылетает окно аутентификации:
> Для входа на сервер по адресу Squid proxy-caching web server нужны имя пользователя и пароль.

После чего при отмене и переходе на другую страницу
> Доступ к кэшу запрещён.

Если ввести верные данные, то IE запоминает их до первой перезагрузки.

Что я пробовал: ставить версии Squid 3.5.3, 3.4.11, 3.4.10, 3.3 и ковыряться с конфиг-файлом. Безуспешно.
Что советует гугл: https://social.technet.microsoft.com/Forums/azure/en-US/c379... — вот такое решение, с которым связано две проблемы:
— оно явно костыльное;
— файлов /usr/lib/squid3/squid_ldap_auth и /usr/lib/squid3/squid_ldap_group я в версии на FreeBSD так и не нашёл.


Содержание

Сообщения в этом обсуждении
"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено ingoa , 28-Май-15 16:17 
kerberous используйте. С самбой+сквид траблы уже довольно давно

>[оверквотинг удален]
> После чего при отмене и переходе на другую страницу
>> Доступ к кэшу запрещён.
> Если ввести верные данные, то IE запоминает их до первой перезагрузки.
> Что я пробовал: ставить версии Squid 3.5.3, 3.4.11, 3.4.10, 3.3 и ковыряться
> с конфиг-файлом. Безуспешно.
> Что советует гугл: https://social.technet.microsoft.com/Forums/azure/en-US/c379...
> — вот такое решение, с которым связано две проблемы:
> — оно явно костыльное;
> — файлов /usr/lib/squid3/squid_ldap_auth и /usr/lib/squid3/squid_ldap_group
> я в версии на FreeBSD так и не нашёл.


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено Ex Nihilo , 28-Май-15 16:21 
> kerberous используйте. С самбой+сквид траблы уже довольно давно

То есть, думаете, что дело всё-таки не в самом Сквиде, а в Самбе? Может, Самбу на третью версию тогда уж откатить?


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено ingoa , 28-Май-15 17:01 
у меня перестала работать связка самбы 3.6.(не помню) и сквид 3.3.12
после чего произошло уже не помню. перешел на сквид+керберос

>> kerberous используйте. С самбой+сквид траблы уже довольно давно
> То есть, думаете, что дело всё-таки не в самом Сквиде, а в
> Самбе? Может, Самбу на третью версию тогда уж откатить?


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено Ex Nihilo , 28-Май-15 17:02 
> Самбе? Может, Самбу на третью версию тогда уж откатить?

Ха-ха, а третья версия под десятку не заводится с ADS. Чудесно.
Что ж, пойду пробовть с krb5.


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено Ex Nihilo , 29-Май-15 12:03 
> у меня перестала работать связка самбы 3.6.(не помню) и сквид 3.3.12
> после чего произошло уже не помню. перешел на сквид+керберос

А вы делали по данному гайду — http://www.maxblogs.ru/articles/squid3-na-servere-freebsd-10... ?
Гайд, на мой взгляд излишне сложный, особенно если вдруг шлюз упадёт и нужно будет быстро поднять новый.


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено ingoa , 29-Май-15 15:37 
>> у меня перестала работать связка самбы 3.6.(не помню) и сквид 3.3.12
>> после чего произошло уже не помню. перешел на сквид+керберос
> А вы делали по данному гайду — http://www.maxblogs.ru/articles/squid3-na-servere-freebsd-10...
> ?
> Гайд, на мой взгляд излишне сложный, особенно если вдруг шлюз упадёт и
> нужно будет быстро поднять новый.

Вот по этому. Тоже самое
http://timp87.blogspot.ru/2014/02/squid-ad.html


"FreeBSD 10.1+Squid 3.5+Samba 4: бесконечная авторизация в IE"
Отправлено ingoa , 29-Май-15 15:39 
>> у меня перестала работать связка самбы 3.6.(не помню) и сквид 3.3.12
>> после чего произошло уже не помню. перешел на сквид+керберос
> А вы делали по данному гайду — http://www.maxblogs.ru/articles/squid3-na-servere-freebsd-10...
> ?
> Гайд, на мой взгляд излишне сложный, особенно если вдруг шлюз упадёт и
> нужно будет быстро поднять новый.

8стр. с рисунками и водой, типа про синхронизацию времени. не так уж и много.