https://www.opennet.ru/openforum/vsluhforumID12/7125.html Добрый день товарищи.<br>Столкнулся вот с такой проблемой.<br>Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap<br>Через сквид работают 5 пользователей, страницы открываются с задержкой, выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки. <br>ТАк же в cache.log постояно сыпиться <br>[code]<br>got NTLMSSP command 3, expected 1<br>got NTLMSSP command 3, expected 1<br>got NTLMSSP command 3, expected 1<br>got NTLMSSP command 3, expected 1<br>got NTLMSSP command 3, expected 1<br>got NTLMSSP command 3, expected 1<br>[/code]<br>На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.<br>Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#9 Fri, 08 Aug 2014 05:02:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt; got NTLMSSP command 3, expected 1 <br>&gt;&gt; got NTLMSSP command 3, expected 1 <br>&gt;&gt; got NTLMSSP command 3, expected 1 <br>&gt;&gt; [/code] <br>&gt;&gt; не очень понятно почему где DNS Socket нули.<br>&gt;&gt; почему весь кэш лог засоряется NTLMSSP ?<br>&gt;&gt; и подскажиет, какая актуальная версия сквида?<br>&gt; у меня google прокачен, и он говорит следующее <br>&gt; http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+command+3+expected+1 <br>&gt; начинайте уметь гуглить <br><br>Павел, если вы внимательно смотрели мой первый пост, то этот вариант, я уже применил)<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#8 Thu, 07 Aug 2014 14:01:31 GMT &gt;[оверквотинг удален]<br>&gt; 2014/08/07 16:07:44&#124; Ready to serve requests.<br>&gt; 2014/08/07 16:07:45&#124; storeLateRelease: released 0 objects <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; [/code] <br>&gt; не очень понятно почему где DNS Socket нули.<br>&gt; почему весь кэш лог засоряется NTLMSSP ?<br>&gt; и подскажиет, какая актуальная версия сквида?<br><br>у меня google прокачен, и он говорит следующее<br>http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+command+3+expected+1<br><br>начинайте уметь гуглить<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#7 Thu, 07 Aug 2014 12:13:38 GMT &gt;[оверквотинг удален]<br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; [/code] <br>&gt; На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM <br>&gt; - use NTLMv2 session security if possible, но записи сыпяться.<br>&gt; Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли <br>&gt; при авторизации керберос запрашиваться у пользователя логин и пароль при доступен <br>&gt; в интернет?<br><br>вот полный вариант cache.log<br>[code]<br>2014/08/07 16:06:54&#124; Squid Cache (Version 3.1.20): Exiting normally.<br>2014/08/07 16:07:17&#124; Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...<br>2014/08/07 16:07:18&#124; Process ID 14532<br>2014/08/07 16:07:18&#124; With 16384 file descriptors available<br>2014/08/07 16:07:18&#124; Initializing IP Cache...<br>2014/08/07 16:07:18&#124; DNS Socket created at [::], FD 8<br>2014/08/07 16:07:18&#124; DNS Socket created at 0.0.0.0, FD 9<br>2014/08/07 16:07:1 https://www.opennet.ru/openforum/vsluhforumID12/7125.html#6 Thu, 07 Aug 2014 12:00:56 GMT &gt; Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-active-directory-s-kerberos-autentifikaciej/ <br>&gt; или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos <br><br>почитал, но не очень подоходит. у меня в связке сквидгард, которые основываясь на группах в ад пускает на те или иные сайты.<br>так как у нас ад разбито по группа по офисам, сделать общую папку аля "inet user" как то выглядит не логично.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#5 Thu, 07 Aug 2014 11:55:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt; got NTLMSSP command 3, expected 1 <br>&gt;&gt; [/code] <br>&gt;&gt; На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM <br>&gt;&gt; - use NTLMv2 session security if possible, но записи сыпяться.<br>&gt;&gt; Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли <br>&gt;&gt; при авторизации керберос запрашиваться у пользователя логин и пароль при доступен <br>&gt;&gt; в интернет?<br>&gt; уже как 100 лет нет никакой необходимости понижать уровень на клиентах -- <br>&gt; я конечно мог чего и запамятовать за дальностью лет, но бывалые <br>&gt; в этой теме не дадут соврать.<br><br>ошибочно два раза одно и тоже послал<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#4 Thu, 07 Aug 2014 11:52:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt; got NTLMSSP command 3, expected 1 <br>&gt;&gt; [/code] <br>&gt;&gt; На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM <br>&gt;&gt; - use NTLMv2 session security if possible, но записи сыпяться.<br>&gt;&gt; Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли <br>&gt;&gt; при авторизации керберос запрашиваться у пользователя логин и пароль при доступен <br>&gt;&gt; в интернет?<br>&gt; уже как 100 лет нет никакой необходимости понижать уровень на клиентах -- <br>&gt; я конечно мог чего и запамятовать за дальностью лет, но бывалые <br>&gt; в этой теме не дадут соврать.<br><br>версия сквида:<br>[code]<br>Squid Cache: Version 3.1.20<br>configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${p refix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix} https://www.opennet.ru/openforum/vsluhforumID12/7125.html#3 Thu, 07 Aug 2014 11:51:23 GMT Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-active-directory-s-kerberos-autentifikaciej/ или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#2 Thu, 07 Aug 2014 11:50:00 GMT Хочешь Керберос, юзай <br>http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory<br>http://wiki.bitbinary.com/index.php/Active_Directory_Integrated_Squid_Proxy<br><br>squid+ad2008\kerberos+ldap и win7\ie8<br>http://www.lissyara.su/?id=2101<br><br>Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin Reporter<br>http://alldebian.ru/debian-squeeze-squid-kerberosldap-active-directory-cyfin-reporter<br><br>Можно просто привязаться к LDAP <br>http://samag.ru/archive/article/204<br>http://system-administrators.info/?p=3299<br> https://www.opennet.ru/openforum/vsluhforumID12/7125.html#1 Thu, 07 Aug 2014 11:11:44 GMT &gt; Добрый день товарищи.<br>&gt; Столкнулся вот с такой проблемой.<br>&gt; Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + <br>&gt; ldap <br>&gt; Через сквид работают 5 пользователей, страницы открываются с задержкой, выяснил что <br>&gt; проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP <br>&gt; вначале использует Basic и Digest авторизацию и лишь потом NTLM. По <br>&gt; этому и происходят задержки.<br><br>где написано что есть какая-то очерёдность протоколов авторизации?<br><br>задержки в данном случае скорее всего связаны с dns<br><br>&gt;[оверквотинг удален]<br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; got NTLMSSP command 3, expected 1 <br>&gt; [/code] <br>&gt; На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM <br>&gt; - use NTLMv2 session security if possible, но записи сыпяться.<br>&gt; Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли <br>&gt; при авторизации керберос запрашиваться у пользователя логин и пароль