Добрый день товарищи.
Столкнулся вот с такой проблемой.
Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard + ldap
Через сквид работают 5 пользователей, страницы открываются с задержкой, выяснил что проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP вначале использует Basic и Digest авторизацию и лишь потом NTLM. По этому и происходят задержки.
ТАк же в cache.log постояно сыпиться
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible, но записи сыпяться.
Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли при авторизации керберос запрашиваться у пользователя логин и пароль при доступен в интернет?
> Добрый день товарищи.
> Столкнулся вот с такой проблемой.
> Есть машина Debian 7.5, squid 3.1.20 + ntlm аунтефикация + squidguard +
> ldap
> Через сквид работают 5 пользователей, страницы открываются с задержкой, выяснил что
> проблема в NTLM аунтефикации, так же вычитал что для протокол HTTP
> вначале использует Basic и Digest авторизацию и лишь потом NTLM. По
> этому и происходят задержки.где написано что есть какая-то очерёдность протоколов авторизации?
задержки в данном случае скорее всего связаны с dns
>[оверквотинг удален]
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
уже как 100 лет нет никакой необходимости понижать уровень на клиентах -- я конечно мог чего и запамятовать за дальностью лет, но бывалые в этой теме не дадут соврать.
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>>
>> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
>> - use NTLMv2 session security if possible, но записи сыпяться.
>> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
>> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
>> в интернет?
> уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
> я конечно мог чего и запамятовать за дальностью лет, но бывалые
> в этой теме не дадут соврать.версия сквида:
Squid Cache: Version 3.1.20
configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${p refix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' ' --srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disab le-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--man dir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-as ync-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enabl e-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntl m,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3 ,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_l m,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helper s=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,uni x_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--en able-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pid file=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '- -with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-g nu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -W error=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFL AGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-bu ffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3. 1.20
может версия сквида у меня старая?
в access.log пишется следующие:
1407412115.063 0 172.18.2.36 TCP_DENIED/407 4393 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
1407412115.173 1 172.18.2.36 TCP_DENIED/407 4748 GET http://www.tikkurila.ru/www/poisk? - NONE/- text/html [Accept: text/html, application/xhtml+xml, *$
1407412115.376 102 172.18.2.36 TCP_MISS/301 537 GET http://www.tikkurila.ru/www/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applica$
1407412116.511 1056 172.18.2.36 TCP_MISS/200 8743 GET http://www.tikkurila.ru/poisk? pegorov DIRECT/193.93.134.82 text/html [Accept: text/html, applicatio$
видно, что сквид авторизует только с 3 раза.
а как если не понижать уровень, избежать того, то бы в cache.log валилась эта запись, он разрастается довольно быстро и приходится руками удалять
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>>
>> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
>> - use NTLMv2 session security if possible, но записи сыпяться.
>> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
>> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
>> в интернет?
> уже как 100 лет нет никакой необходимости понижать уровень на клиентах --
> я конечно мог чего и запамятовать за дальностью лет, но бывалые
> в этой теме не дадут соврать.ошибочно два раза одно и тоже послал
Хочешь Керберос, юзай
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Wind...
http://wiki.bitbinary.com/index.php/Active_Directory_Integra...squid+ad2008\kerberos+ldap и win7\ie8
http://www.lissyara.su/?id=2101Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin Reporter
http://alldebian.ru/debian-squeeze-squid-kerberosldap-active...Можно просто привязаться к LDAP
http://samag.ru/archive/article/204
http://system-administrators.info/?p=3299
Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-act.../ или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
> Курите http://www.theadmin.ru/linux/squid/proksi-server-squid-v-act.../
> или http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...почитал, но не очень подоходит. у меня в связке сквидгард, которые основываясь на группах в ад пускает на те или иные сайты.
так как у нас ад разбито по группа по офисам, сделать общую папку аля "inet user" как то выглядит не логично.
>[оверквотинг удален]
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
> На этих 5 клиентах выставил Lan Manager authentication level : Send LM&NTLM
> - use NTLMv2 session security if possible, но записи сыпяться.
> Есть ли другой вариант авторизации кроме Basic? например керберос? и будет ли
> при авторизации керберос запрашиваться у пользователя логин и пароль при доступен
> в интернет?вот полный вариант cache.log
2014/08/07 16:06:54| Squid Cache (Version 3.1.20): Exiting normally.
2014/08/07 16:07:17| Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...
2014/08/07 16:07:18| Process ID 14532
2014/08/07 16:07:18| With 16384 file descriptors available
2014/08/07 16:07:18| Initializing IP Cache...
2014/08/07 16:07:18| DNS Socket created at [::], FD 8
2014/08/07 16:07:18| DNS Socket created at 0.0.0.0, FD 9
2014/08/07 16:07:18| Adding nameserver 172.18.2.10 from squid.conf
2014/08/07 16:07:18| helperOpenServers: Starting 200/200 'squidGuard' processes
2014/08/07 16:07:20| helperOpenServers: Starting 450/450 'ntlm_auth' processes
2014/08/07 16:07:44| Unlinkd pipe opened on FD 1314
2014/08/07 16:07:44| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/08/07 16:07:44| Store logging disabled
2014/08/07 16:07:44| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/08/07 16:07:44| Target number of buckets: 1008
2014/08/07 16:07:44| Using 8192 Store buckets
2014/08/07 16:07:44| Max Mem size: 262144 KB
2014/08/07 16:07:44| Max Swap size: 0 KB
2014/08/07 16:07:44| Using Least Load store dir selection
2014/08/07 16:07:44| Current Directory is /
2014/08/07 16:07:44| Loaded Icons.
2014/08/07 16:07:44| Accepting HTTP connections at [::]:3128, FD 1315.
2014/08/07 16:07:44| HTCP Disabled.
2014/08/07 16:07:44| Squid plugin modules loaded: 0
2014/08/07 16:07:44| Adaptation support is off.
2014/08/07 16:07:44| Ready to serve requests.
2014/08/07 16:07:45| storeLateRelease: released 0 objects
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
не очень понятно почему где DNS Socket нули.
почему весь кэш лог засоряется NTLMSSP ?
и подскажиет, какая актуальная версия сквида?
>[оверквотинг удален]
> 2014/08/07 16:07:44| Ready to serve requests.
> 2014/08/07 16:07:45| storeLateRelease: released 0 objects
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
> got NTLMSSP command 3, expected 1
>
> не очень понятно почему где DNS Socket нули.
> почему весь кэш лог засоряется NTLMSSP ?
> и подскажиет, какая актуальная версия сквида?у меня google прокачен, и он говорит следующее
http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+comma...начинайте уметь гуглить
>[оверквотинг удален]
>> got NTLMSSP command 3, expected 1
>> got NTLMSSP command 3, expected 1
>> got NTLMSSP command 3, expected 1
>>
>> не очень понятно почему где DNS Socket нули.
>> почему весь кэш лог засоряется NTLMSSP ?
>> и подскажиет, какая актуальная версия сквида?
> у меня google прокачен, и он говорит следующее
> http://markmail.org/message/aumkxcehqmlnuhbu?q=NTLMSSP+comma...
> начинайте уметь гуглитьПавел, если вы внимательно смотрели мой первый пост, то этот вариант, я уже применил)