https://opennet.me/openforum/vsluhforumID12/7121.html Добрый день.<br><br>Снова проблема со сквидом. Сейчас работает связка squid + ntlm. В логах acces.log<br>[code]<br>1405939794.775 0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$<br>1405939794.791 0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$<br>1405939794.807 0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$<br>1405939794.830 0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$<br>1405939794.846 0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$<br>1405939794.861 0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-201 https://opennet.me/openforum/vsluhforumID12/7121.html#9 Tue, 22 Jul 2014 15:48:07 GMT &gt; Научи, буду признателен <br><br>zless /usr/share/doc/squid3-common/squid.conf.documented.gz<br>/ "file" ENTER<br><br>google:(("список ip" файл squid site:opennet.ru/openforum/))<br> https://opennet.me/openforum/vsluhforumID12/7121.html#8 Tue, 22 Jul 2014 10:24:23 GMT &gt;&gt; вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных <br>&gt; Научить тебя класть портянки-списки в отдельный файл? Впрочем, обижайся.<br>&gt;&gt; ########Access List for Office365###### <br>&gt;&gt; acl office2013 dstdomain .mscend.net <br>&gt;&gt; acl office2013 dstdomain .microsoft.com <br>&gt;&gt; acl office365 dst 65.54.54.128/25 <br>&gt;&gt; acl offcie365 dst 134.170.0.0/16 <br>&gt;&gt; acl lync2013 dstdomain .ru.yusen-logistics.com <br>&gt;&gt; acl lync2013 dstdomain .microsoftonline.com <br><br>Научи, буду признателен <br> https://opennet.me/openforum/vsluhforumID12/7121.html#7 Tue, 22 Jul 2014 10:00:01 GMT &gt; вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных <br><br>Научить тебя класть портянки-списки в отдельный файл? Впрочем, обижайся.<br><br>&gt; ########Access List for Office365###### <br>&gt; acl office2013 dstdomain .mscend.net <br>&gt; acl office2013 dstdomain .microsoft.com <br>&gt; acl office365 dst 65.54.54.128/25 <br>&gt; acl offcie365 dst 134.170.0.0/16 <br>&gt; acl lync2013 dstdomain .ru.yusen-logistics.com <br>&gt; acl lync2013 dstdomain .microsoftonline.com https://opennet.me/openforum/vsluhforumID12/7121.html#6 Tue, 22 Jul 2014 08:33:00 GMT &gt;[оверквотинг удален]<br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; [/code] <br>&gt; в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой <br>&gt; не столь кардинальный сбособ дать доступ офису в облако? в самом <br>&gt; сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок <br>&gt; для офиса облачном, в котором все domains и urls облачных сервисов <br>&gt; прописаны, это все не дает желаемого эффекта. Прошу вашей помощи <br><br>Проблему удалось решить следующим способом.<br><br>И так, если кто столкнется с трудность пустить облачный сервисы такие как Lync2013, OneDrive, Office 365 через сквида.<br><br>вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных сервисов от микрософта. поместить этот код в самый вверх конфига сквида, перед авторизацией и все пойдет как по маслу.<br>[code]<br>########Access List for Office365######<br>acl office2013 dstdomain .mscend.net<br>acl office2013 https://opennet.me/openforum/vsluhforumID12/7121.html#5 Tue, 22 Jul 2014 05:04:49 GMT &gt;[оверквотинг удален]<br>&gt; Если руки из жопы плюс к этому нет мозгов чтоб выложить: <br>&gt; 1) OS <br>&gt; 2) версия сквида <br>&gt; 3) конфиг сквида <br>&gt; тебе никто не виноват, одна и та же повторяющаяся строчка лога диагностике <br>&gt; не помогает.<br>&gt; проблемы гаданием на кофейной гуще тяжело решать.<br>&gt; а вообще что я тебя за язык тяну, как задашь вопрос - <br>&gt; так и получишь ответ, <br>&gt; а вопрос задан на уровне домохозяйки-овцы.<br><br>1. Debian 7.5<br>2. Squid Cache: Version 3.1.20<br>3. Конфиг squid<br>[code]<br>dns_v4_first on<br>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp <br>auth_param ntlm children 300<br>auth_param ntlm use_ntlm_negotiate on<br>auth_param ntlm keep_alive off<br>acl localhost src 127.0.0.1/32<br>acl to_localhost dst 127.0.0.0/8<br>acl intranet dst 172.18.1.0/24<br>acl intranet dst 172.18.2.0/24<br>cl SSL_ports port 443<br>acl Safe_ports port 80 # http <br>acl Safe_ports port 21 # ftp <br>acl Safe_ports port 443 # https <br>acl Safe_ports port 70 # gopher <br>acl Safe_ports port 210 # wais <br>acl Safe_ports port https://opennet.me/openforum/vsluhforumID12/7121.html#4 Mon, 21 Jul 2014 23:36:52 GMT &gt; TCP_DENIED microsoft.com<br><br>Оставь так, у тебя правильный Squid! <br> https://opennet.me/openforum/vsluhforumID12/7121.html#2 Mon, 21 Jul 2014 13:49:22 GMT &gt;[оверквотинг удален]<br>&gt; some <br>&gt; compatibility settings in windows, specially windows vista and 7 are <br>&gt; configure by default to only use NTLMv2 honoring kerberos, you need to <br>&gt; edit windows registry and change/create <br>&gt; *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel* <br>&gt; *DWORD value 1 <br>&gt; You can automate this with a logon script o with a group <br>&gt; policy <br>&gt; Security:LAN Manager Authentication Level <br>&gt; Anyway, I think is time to migrate to kerb_auth.<br><br>если бы все проблемы решались при помощи первых результатов, который выдает гугл, я бы сюда не писал)<br>данный способ не помогает, прошу помощи у тех, кто действительно решал это проблему<br><br><br> https://opennet.me/openforum/vsluhforumID12/7121.html#1 Mon, 21 Jul 2014 13:23:43 GMT 407 means "send me your login or go away". <br>проблема в аутентификации.<br><br>&gt;в интернетах находил, что стоит пересобирать самбу и править ntlmssp<br><br>...<br>учу гуглить за деньги ...<br><br>If you want to use ntlm_auth ( NTLMv1?) you need to change some <br>compatibility settings in windows, specially windows vista and 7 are <br>configure by default to only use NTLMv2 honoring kerberos, you need to <br>edit windows registry and change/create <br><br>*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel* <br><br>*DWORD value 1<br><br>You can automate this with a logon script o with a group policy <br>Security:LAN Manager Authentication Level <br><br>Anyway, I think is time to migrate to kerb_auth. <br>