Добрый день.Снова проблема со сквидом. Сейчас работает связка squid + ntlm. В логах acces.log
1405939794.775 0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.791 0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.807 0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.830 0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.846 0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.861 0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31... - NONE/- text/html [Cache-Co$
1405939794.884 0 172.18.2.34 TCP_DENIED/407 3901 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.900 0 172.18.2.34 TCP_DENIED/407 4261 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.916 0 172.18.2.34 TCP_DENIED/407 4191 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939795.159 0 172.18.2.34 TCP_DENIED/407 3734 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
1405939795.179 0 172.18.2.34 TCP_DENIED/407 4094 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
в cache.log
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой не столь кардинальный сбособ дать доступ офису в облако? в самом сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок для офиса облачном, в котором все domains и urls облачных сервисов прописаны, это все не дает желаемого эффекта. Прошу вашей помощи
407 means "send me your login or go away".
проблема в аутентификации.>в интернетах находил, что стоит пересобирать самбу и править ntlmssp
...
учу гуглить за деньги ...If you want to use ntlm_auth ( NTLMv1?) you need to change some
compatibility settings in windows, specially windows vista and 7 are
configure by default to only use NTLMv2 honoring kerberos, you need to
edit windows registry and change/create*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel*
*DWORD value 1
You can automate this with a logon script o with a group policy
Security:LAN Manager Authentication LevelAnyway, I think is time to migrate to kerb_auth.
>[оверквотинг удален]
> some
> compatibility settings in windows, specially windows vista and 7 are
> configure by default to only use NTLMv2 honoring kerberos, you need to
> edit windows registry and change/create
> *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel*
> *DWORD value 1
> You can automate this with a logon script o with a group
> policy
> Security:LAN Manager Authentication Level
> Anyway, I think is time to migrate to kerb_auth.если бы все проблемы решались при помощи первых результатов, который выдает гугл, я бы сюда не писал)
данный способ не помогает, прошу помощи у тех, кто действительно решал это проблему
>[оверквотинг удален]
> Если руки из жопы плюс к этому нет мозгов чтоб выложить:
> 1) OS
> 2) версия сквида
> 3) конфиг сквида
> тебе никто не виноват, одна и та же повторяющаяся строчка лога диагностике
> не помогает.
> проблемы гаданием на кофейной гуще тяжело решать.
> а вообще что я тебя за язык тяну, как задашь вопрос -
> так и получишь ответ,
> а вопрос задан на уровне домохозяйки-овцы.1. Debian 7.5
2. Squid Cache: Version 3.1.20
3. Конфиг squid
dns_v4_first on
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 300
auth_param ntlm use_ntlm_negotiate on
auth_param ntlm keep_alive off
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl intranet dst 172.18.1.0/24
acl intranet dst 172.18.2.0/24
cl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
acl password proxy_auth REQUIRED
acl ntlm proxy_auth REQUIRED
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow CONNECT !SSL_ports
http_access allow CONNECT SSL_ports ntlm
http_access allow CONNECT AuthorizedUsers
http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow lync
http_access allow office365
http_access allow DHCP
http_access allow Safe_ports
http_access allow lync2013
always_direct allow lync2013
always_direct allow lync
http_access deny all
дальше я думаю смысла нет писать конфиг.можно и более дружелюбно отвечать.
проблема наблюдается при попытке офиса2013 лезть в облако за шаблонами, есть конечно вариант запретить ему это делать, но хотелось бы как нибудь решить не столь радикальным методом.
> TCP_DENIED microsoft.comОставь так, у тебя правильный Squid!
>[оверквотинг удален]
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
Проблему удалось решить следующим способом.
И так, если кто столкнется с трудность пустить облачный сервисы такие как Lync2013, OneDrive, Office 365 через сквида.
вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных сервисов от микрософта. поместить этот код в самый вверх конфига сквида, перед авторизацией и все пойдет как по маслу. http_access allow lync all
########Access List for Office365######
acl office2013 dstdomain .mscend.net
acl office2013 dstdomain .microsoft.com
acl office2013 dstdomain officeimg.vo.msecnd.net
acl office2013 dstdomain office.microsoft.com
acl office2013 dstdomain odc.officeapps.live.com
acl office365 dst 65.54.54.128/25
acl offcie365 dst 134.170.0.0/16
acl office365 dst 65.55.121.128/27
acl office365 dst 65.55.127.0/24
acl office365 dst 111.221.23.0/25
acl office365 dst 111.221.76.96/27
acl office365 dst 111.221.76.128/25
acl office365 dst 111.221.77.0/26
acl office365 dst 157.55.40.128/25
acl office365 dst 157.55.46.0/27
acl office365 dst 157.55.46.64/26
acl office365 dst 157.55.104.96/27
acl office365 dst 157.55.229.128/27
acl office365 dst 157.55.232.128/26
acl office365 dst 157.55.238.0/25
acl office365 dst 207.46.5.0/24
acl office365 dst 207.46.7.128/27
acl office365 dst 207.46.57.0/25
acl office365 dst 65.54.62.0/25
acl office365 dst 65.55.39.128/25
acl office365 dst 65.55.78.128/25
acl office365 dst 65.55.94.0/25
acl office365 dst 65.55.113.64/26
acl office365 dst 65.55.126.0/25
acl office365 dst 65.55.174.0/25
acl office365 dst 65.55.181.128/25
acl office365 dst 65.55.121.128/27
acl office365 dst 70.37.151.128/25
acl office365 dst 94.245.117.128/25
acl office365 dst 111.221.23.128/25
acl office365 dst 111.221.66.0/25
acl office365 dst 111.221.69.128/25
acl office365 dst 111.221.112.0/21
acl office365 dst 157.55.9.128/25
acl office365 dst 157.55.11.0/25
acl office365 dst 157.55.47.0/24
acl office365 dst 157.55.49.0/24
acl office365 dst 157.55.61.0/24
acl office365 dst 157.55.157.128/25
acl office365 dst 157.55.224.128/25
acl office365 dst 157.55.225.0/25
acl office365 dst 207.46.4.128/25
acl office365 dst 207.46.58.128/25
acl office365 dst 207.46.198.0/25
acl office365 dst 207.46.203.128/26
acl office365 dst 213.199.174.0/25
acl office365 dst 213.199.177.0/26
acl office365 dst 65.52.148.27
acl office365 dst 65.52.184.75
acl office365 dst 65.52.196.64
acl office365 dst 65.52.208.73
acl office365 dst 65.52.240.233
acl office365 dst 65.54.54.32/27
acl office365 dst 65.54.55.201
acl office365 dst 65.54.74.0/23
acl office365 dst 65.54.80.0/20
acl office365 dst 65.54.165.0/25
acl office365 dst 65.55.86.0/23
acl office365 dst 65.55.233.0/27
acl office365 dst 65.55.239.168
acl office365 dst 70.37.97.234
acl office365 dst 70.37.128.0/23
acl office365 dst 70.37.142.0/23
acl office365 dst 70.37.159.0/24
acl office365 dst 94.245.68.0/22
acl office365 dst 94.245.82.0/23
acl office365 dst 94.245.84.0/24
acl office365 dst 94.245.86.0/24
acl office365 dst 94.245.117.53
acl office365 dst 94.245.108.85
acl office365 dst 111.221.24.0/21
acl office365 dst 111.221.70.0/25
acl office365 dst 111.221.71.0/25
acl office365 dst 111.221.111.196
acl office365 dst 111.221.127.112/28
acl office365 dst 157.55.59.128/25
acl office365 dst 157.55.130.0/25
acl office365 dst 157.55.145.0/25
acl office365 dst 157.55.155.0/25
acl office365 dst 157.55.185.100
acl office365 dst 157.55.194.46
acl office365 dst 157.55.227.192/26
acl office365 dst 157.56.151.0/25
acl office365 dst 157.56.200.0/23
acl office365 dst 157.56.236.0/22
acl office365 dst 191.234.6.0/24
acl office365 dst 207.46.216.54
acl office365 dst 207.46.57.128/25
acl office365 dst 207.46.70.0/24
acl office365 dst 207.46.73.250
acl office365 dst 207.46.206.0/23
acl office365 dst 213.199.148.0/23
acl office365 dst 213.199.182.128/25
acl office365 dst 65.55.150.61
acl office365 dst 65.55.150.158
acl office365 dst 65.55.150.160
acl office365 dst 207.46.14.52
acl office365 dst 207.46.14.62
acl office365 dst 207.46.14.63
acl lync2013 dstdomain .ru.yusen-logistics.com
acl lync2013 dstdomain .microsoftonline.com
acl lync2013 dstdomain .microsoftonline-p.com
acl lync2013 dstdomain .onmicrosoft.com
acl lync2013 dstdomain .officecdn.microsoft.com
acl lync2013 dstdomain .sharepoint.com
acl lync2013 dstdomain .outlook.com
acl lync2013 dstdomain ev-secure.verisign.com
acl lync2013 dstdomain evsecure-ocsp.verisign.com
acl lync2013 dstdomain evsecure-aia.verisign.com
acl lync2013 dstdomain evsecure-crl.verisign.com
acl office365 dst sipfed.online.lync.com
acl lync dstdomain .lync.com
http_access allow office365 all
http_access allow office2013 all
http_access allow lync2013 all
always_direct allow lync2013 all
always_direct allow lync all
бился над этим решением с первого моего знакомства со сквидом. информации крайне мало по данной проблема, так что пусть лежит здесь и люди пользуются.
> вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачныхНаучить тебя класть портянки-списки в отдельный файл? Впрочем, обижайся.
> ########Access List for Office365######
> acl office2013 dstdomain .mscend.net
> acl office2013 dstdomain .microsoft.com
> acl office365 dst 65.54.54.128/25
> acl offcie365 dst 134.170.0.0/16
> acl lync2013 dstdomain .ru.yusen-logistics.com
> acl lync2013 dstdomain .microsoftonline.com
>> вот кусок кода, в котором указаны все на 22.07.14 ip адреса облачных
> Научить тебя класть портянки-списки в отдельный файл? Впрочем, обижайся.
>> ########Access List for Office365######
>> acl office2013 dstdomain .mscend.net
>> acl office2013 dstdomain .microsoft.com
>> acl office365 dst 65.54.54.128/25
>> acl offcie365 dst 134.170.0.0/16
>> acl lync2013 dstdomain .ru.yusen-logistics.com
>> acl lync2013 dstdomain .microsoftonline.comНаучи, буду признателен
> Научи, буду признателенzless /usr/share/doc/squid3-common/squid.conf.documented.gz
/ "file" ENTERgoogle:(("список ip" файл squid site:opennet.ru/openforum/))