форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Приветствую! Очень нужна помощь по SQUID. Авторизация IP+NTL..."

Сообщение от PheliXXX (??) on 16-Май-07, 11:13

Доброго дня всем! Не могу разобраца со Squid, проблема такая: все юзеры авторизуются на проксе через NTLM  (т.е. есть группа в АД инетюзерс); но помимо этого есть сервисы, которым необходимо попадать в интернет через ту же проксю, но они не могут авторизоваться в домене. Следовательно для них должна использоваться авторизация по IP. Собственно именно она и не работает. Ниже привожу вырезки из squid.conf и access.log #NTLM Auth auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=mydomen.RU\\internetusers auth_param ntlm children 10 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=mydomen.RU\\internetusers auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off #сюда пишутся IP тех, кому разрешен инет без авторизации в домене acl proxy_noregexp src "/usr/local/etc/squid/allowed_users_noregexp" #разрешение для этого ACL http_access allow proxy_noregexp http_access allow all AuthorizedUsers http_access deny all Соответственно, добавив IP в allowed_users_noregexp и перестартовав squid, по идее можно ходить в инет без авторизации в домене. Однако реально это не работает. Добавляю IP, после чего смотрю access.log, в котором: 192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html 192.168.30.10 TCP_DENIED/407 1849 GET http://ya.ru/ - NONE/- text/html 192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html А сам брозер предлагает ввести имя/пароль и следовательно в итоге выдает ошибку Cache Access Denied Насколько я понимаю второй тип авторизации в данном исполнении просто не работает... Еще интересно, что рядом (на другой машине) стоит такой же сквид с такими же конфигами, на котором все работает как надо. Насколько понимаю, люди переходили на новый канал связи и собирали сквид на другой машине по образу и подобию первого, а первый в данное время работает как резервный. Подскажите плиз, что можно посмотреть - поправить? Заранее пасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Приветствую! Очень нужна помощь по SQUID. Авторизация IP+NTL..."

Сообщение от PheliXXX (ok) on 16-Май-07, 16:02

>Доброго дня всем! >Не могу разобраца со Squid, проблема такая: все юзеры авторизуются на проксе >через NTLM  (т.е. есть группа в АД инетюзерс); но помимо >этого есть сервисы, которым необходимо попадать в интернет через ту же >проксю, но они не могут авторизоваться в домене. Следовательно для них >должна использоваться авторизация по IP. Собственно именно она и не работает. > >Ниже привожу вырезки из squid.conf и access.log > >#NTLM Auth >auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=mydomen.RU\\internetusers >auth_param ntlm children 10 >auth_param ntlm max_challenge_reuses 0 >auth_param ntlm max_challenge_lifetime 2 minutes >auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=mydomen.RU\\internetusers >auth_param basic children 5 >auth_param basic realm Squid proxy-caching web server >auth_param basic credentialsttl 2 hours >auth_param basic casesensitive off > >#сюда пишутся IP тех, кому разрешен инет без авторизации в домене >acl proxy_noregexp src "/usr/local/etc/squid/allowed_users_noregexp" > >#разрешение для этого ACL >http_access allow proxy_noregexp > >http_access allow all AuthorizedUsers >http_access deny all > >Соответственно, добавив IP в allowed_users_noregexp и перестартовав squid, по идее можно ходить >в инет без авторизации в домене. > >Однако реально это не работает. Добавляю IP, после чего смотрю access.log, в >котором: > >192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html >192.168.30.10 TCP_DENIED/407 1849 GET http://ya.ru/ - NONE/- text/html >192.168.30.10 TCP_DENIED/407 1713 GET http://ya.ru/ - NONE/- text/html > >А сам брозер предлагает ввести имя/пароль и следовательно в итоге выдает ошибку >Cache Access Denied > >Насколько я понимаю второй тип авторизации в данном исполнении просто не работает... > > >Еще интересно, что рядом (на другой машине) стоит такой же сквид с >такими же конфигами, на котором все работает как надо. Насколько понимаю, >люди переходили на новый канал связи и собирали сквид на другой >машине по образу и подобию первого, а первый в данное время >работает как резервный. > >Подскажите плиз, что можно посмотреть - поправить? >Заранее пасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]