Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает.Работает с одной оговоркой. Пробую описать ситуацию.
Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками.
На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...".
Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту.
В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.
Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась.
На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня.
function FindProxyForURL(url, host) {
if (isPlainHostName(host)) {
return "DIRECT";
}
if (dnsDomainIs(host, ".my.domain")) {
return "DIRECT";
}
return "PROXY squid.my.domain:3128"
}
Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.
Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена.
wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой.
Господа, с чем может быть связан такой казус?
Любая информация и конфиги по требованию.
squid 3.1.20
lighttpd 1.4.31
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI)
PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший.
Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :(
Простите за большое количество текста.
Вариант для распечатки
