URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7061
[ Назад ]

Исходное сообщение
"Squid + kerberos, все работает, но..."

Отправлено ctumko , 02-Дек-13 19:05 
Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает.

Работает с одной оговоркой. Пробую описать ситуацию.

Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками.
На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...".
Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту.

В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.

Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась.

На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня.

function FindProxyForURL(url, host) {
    if (isPlainHostName(host)) {
        return "DIRECT";
    }
    if (dnsDomainIs(host, ".my.domain")) {
        return "DIRECT";
    }
return "PROXY squid.my.domain:3128"
}

Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.

Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена.
wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой.

Господа, с чем может быть связан такой казус?

Любая информация и конфиги по требованию.
squid 3.1.20
lighttpd 1.4.31
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI)

PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший.

Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :(

Простите за большое количество текста.


Содержание

Сообщения в этом обсуждении
"Squid + kerberos, все работает, но..."
Отправлено pavel_simple , 02-Дек-13 19:13 
>[оверквотинг удален]
> PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси?
> Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный,
> с такими же настройками и со своим wpad.dat. Между ними работает
> ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая
> раздавать WPAD.dat по тому же адресу, но уже с другим содержанием,
> указывая что прокси сервер - он, а не умерший.
> Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos
> аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал
> :(
> Простите за большое количество текста.

механизм WAPD подразумевает поиск настроек в различных местах в том числе dhcp/dns с последующим запросом url через http -- уверен (libastral подсказал) что проблема в этом.


"Squid + kerberos, все работает, но..."
Отправлено ctumko , 02-Дек-13 20:01 
> механизм WAPD подразумевает поиск настроек в различных местах в том числе dhcp/dns
> с последующим запросом url через http -- уверен (libastral подсказал) что
> проблема в этом.

Мне это известно. Хотите сказать, что первая вкладка просто не успевает пройти аутентификацию? Попытка открытия страницы приходится на время поисках wpad в dns и dhcp? Действительно ли dns и dhcp имеют приоритет над указанном wpad.dat в явном виде, в свойствах обозреватели?  Дело в том что я бы не хотел публиковать новый прокси-сервер в dhcp и dns на всю сеть, пока есть такие проблемы. А вы говорите что эти проблемы возникают потому что я не публикую новый прокси на всю сеть. Замкнутый круг)

Можно ли как то это проверить? Можно ли как-то это обойти?


"Squid + kerberos, все работает, но..."
Отправлено pavel_simple , 02-Дек-13 20:17 
>[оверквотинг удален]
>> проблема в этом.
> Мне это известно. Хотите сказать, что первая вкладка просто не успевает пройти
> аутентификацию? Попытка открытия страницы приходится на время поисках wpad в dns
> и dhcp? Действительно ли dns и dhcp имеют приоритет над указанном
> wpad.dat в явном виде, в свойствах обозреватели?  Дело в том
> что я бы не хотел публиковать новый прокси-сервер в dhcp и
> dns на всю сеть, пока есть такие проблемы. А вы говорите
> что эти проблемы возникают потому что я не публикую новый прокси
> на всю сеть. Замкнутый круг)
> Можно ли как то это проверить? Можно ли как-то это обойти?

думаю дело не в аутентификации.
посмотрите wireshark'ом идут ли от браузера запросы на dns.

я давно не читал -- да и не могу отвечать за реализацию в браузерах -- но вот это самое подвисание очень характерно. попутно url на wpad должен быть direct (ИМХО)


"Squid + kerberos, все работает, но..."
Отправлено ctumko , 02-Дек-13 20:23 
> думаю дело не в аутентификации.
> посмотрите wireshark'ом идут ли от браузера запросы на dns.
> я давно не читал -- да и не могу отвечать за реализацию
> в браузерах -- но вот это самое подвисание очень характерно. попутно
> url на wpad должен быть direct (ИМХО)

Не совсем понял что значит url на wpad должен быть direct?
В свойствах обозревателя путь к файлу автоконфигурации прокси приведен к виду:

http://magic.my.fqdn.domain/wpad.dat

Куда уж более direct?) Простите если путаюсь в понятиях и говорю не о том.


"Squid + kerberos, все работает, но..."
Отправлено pavel_simple , 02-Дек-13 20:27 
>> думаю дело не в аутентификации.
>> посмотрите wireshark'ом идут ли от браузера запросы на dns.
>> я давно не читал -- да и не могу отвечать за реализацию
>> в браузерах -- но вот это самое подвисание очень характерно. попутно
>> url на wpad должен быть direct (ИМХО)
> Не совсем понял что значит url на wpad должен быть direct?
> В свойствах обозревателя путь к файлу автоконфигурации прокси приведен к виду:
> http://magic.my.fqdn.domain/wpad.dat
> Куда уж более direct?) Простите если путаюсь в понятиях и говорю не
> о том.

речь идёт о конфигурировании через dhcp/dns.
в рамках настройки браузера через опцию с указанием url в виде fie:/// -- посмотрите что будет.


"Squid + kerberos, все работает, но..."
Отправлено ctumko , 02-Дек-13 20:37 
>[оверквотинг удален]
>>> в браузерах -- но вот это самое подвисание очень характерно. попутно
>>> url на wpad должен быть direct (ИМХО)
>> Не совсем понял что значит url на wpad должен быть direct?
>> В свойствах обозревателя путь к файлу автоконфигурации прокси приведен к виду:
>> http://magic.my.fqdn.domain/wpad.dat
>> Куда уж более direct?) Простите если путаюсь в понятиях и говорю не
>> о том.
> речь идёт о конфигурировании через dhcp/dns.
> в рамках настройки браузера через опцию с указанием url в виде fie:///
> -- посмотрите что будет.

Павел, пожалуйста, не скупитесь на слова, объясните толком. Не бросайте в беде.
Я снова не понял что вы хотите до меня донести. Будьте любезны, предоставьте чуть больше подробностей о ходе ваших мыслей.


"Squid + kerberos, все работает, но..."
Отправлено pavel_simple , 02-Дек-13 20:43 
>[оверквотинг удален]
>>> В свойствах обозревателя путь к файлу автоконфигурации прокси приведен к виду:
>>> http://magic.my.fqdn.domain/wpad.dat
>>> Куда уж более direct?) Простите если путаюсь в понятиях и говорю не
>>> о том.
>> речь идёт о конфигурировании через dhcp/dns.
>> в рамках настройки браузера через опцию с указанием url в виде fie:///
>> -- посмотрите что будет.
> Павел, пожалуйста, не скупитесь на слова, объясните толком. Не бросайте в беде.
> Я снова не понял что вы хотите до меня донести. Будьте любезны,
> предоставьте чуть больше подробностей о ходе ваших мыслей.

мыль проста -- т.к. я считаю что изначальная задержка в загрузке страниц из-за способа получения url/содержимого wpad файла -- нужно устранить возможное проблемное звено -- т.е. сеть. для этого в настройках браузера указываем файл автоконфигурации в виде url'а на локально сохранённый файл настроек и проверяем наши догадки.


"Squid + kerberos, все работает, но..."
Отправлено ctumko , 02-Дек-13 20:49 
>[оверквотинг удален]
>>> в рамках настройки браузера через опцию с указанием url в виде fie:///
>>> -- посмотрите что будет.
>> Павел, пожалуйста, не скупитесь на слова, объясните толком. Не бросайте в беде.
>> Я снова не понял что вы хотите до меня донести. Будьте любезны,
>> предоставьте чуть больше подробностей о ходе ваших мыслей.
> мыль проста -- т.к. я считаю что изначальная задержка в загрузке страниц
> из-за способа получения url/содержимого wpad файла -- нужно устранить возможное проблемное
> звено -- т.е. сеть. для этого в настройках браузера указываем файл
> автоконфигурации в виде url'а на локально сохранённый файл настроек и проверяем
> наши догадки.

Действительно, о том что wpad можно проверить, положив его локально, я не подумал.
Большое спасибо!


"Squid + kerberos, все работает, но..."
Отправлено ctumko , 03-Дек-13 10:07 
>[оверквотинг удален]
>>> в рамках настройки браузера через опцию с указанием url в виде fie:///
>>> -- посмотрите что будет.
>> Павел, пожалуйста, не скупитесь на слова, объясните толком. Не бросайте в беде.
>> Я снова не понял что вы хотите до меня донести. Будьте любезны,
>> предоставьте чуть больше подробностей о ходе ваших мыслей.
> мыль проста -- т.к. я считаю что изначальная задержка в загрузке страниц
> из-за способа получения url/содержимого wpad файла -- нужно устранить возможное проблемное
> звено -- т.е. сеть. для этого в настройках браузера указываем файл
> автоконфигурации в виде url'а на локально сохранённый файл настроек и проверяем
> наши догадки.

Сделал как вы советовали, скачал WPAD.dat на машину и указал к нему путь локально через file://dest/to/wpad.dat

Проблема исчезла. Значит дело в сети\веб сервере? Куда копать?


"Squid + kerberos, все работает, но..."
Отправлено pavel_simple , 03-Дек-13 10:17 
>[оверквотинг удален]
>>> Я снова не понял что вы хотите до меня донести. Будьте любезны,
>>> предоставьте чуть больше подробностей о ходе ваших мыслей.
>> мыль проста -- т.к. я считаю что изначальная задержка в загрузке страниц
>> из-за способа получения url/содержимого wpad файла -- нужно устранить возможное проблемное
>> звено -- т.е. сеть. для этого в настройках браузера указываем файл
>> автоконфигурации в виде url'а на локально сохранённый файл настроек и проверяем
>> наши догадки.
> Сделал как вы советовали, скачал WPAD.dat на машину и указал к нему
> путь локально через file://dest/to/wpad.dat
> Проблема исчезла. Значит дело в сети\веб сервере? Куда копать?

копать в wireshark -- особенно сильно в сторону dns/dhcp запросов-ответов.