Google Chrome 47 не работает NTLM с Squid

NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Google Chrome 47 не работает NTLM с Squid

Сообщение NvAriec »

Добрый день.
Воспользовался замечательной инструкцией http://blog.it-kb.ru/2014/06/26/forward ... ess-rules/
Настроил. Всё работало какое-то время. Потом у разных пользователей началась появляться форма авторизации. В логах никаких ошибок нет. У пользователя - ошибка доступа к кешу.

Код: Выделить всё

2015/12/03 17:02:19.819 kid1| comm.cc(768) commSetConnTimeout: local=192.168.1.10:3128 remote=192.168.1.82:49697 FD 116 flags=1 timeout 86400
2015/12/03 17:02:19.819 kid1| url.cc(386) urlParse: urlParse: Split URL 'http://rsdn.ru/' into proto='http', host='rsdn.ru', port='80', path='/'
2015/12/03 17:02:19.819 kid1| Address.cc(378) lookupHostIP: Given Non-IP 'rsdn.ru': Name or service not known
2015/12/03 17:02:19.819 kid1| client_side.cc(925) clientSetKeepaliveFlag: clientSetKeepaliveFlag: http_ver = 1.1
2015/12/03 17:02:19.819 kid1| client_side.cc(927) clientSetKeepaliveFlag: clientSetKeepaliveFlag: method = GET
2015/12/03 17:02:19.819 kid1| client_side_request.cc(152) ClientRequestContext: 0xaed6c020 ClientRequestContext constructed
2015/12/03 17:02:19.819 kid1| client_side_request.cc(1691) doCallouts: Doing calloutContext->hostHeaderVerify()
2015/12/03 17:02:19.819 kid1| client_side_request.cc(648) hostHeaderVerify: validate host=rsdn.ru, port=0, portStr=NULL
2015/12/03 17:02:19.819 kid1| client_side_request.cc(662) hostHeaderVerify: validate skipped.
2015/12/03 17:02:19.819 kid1| client_side_request.cc(1698) doCallouts: Doing calloutContext->clientAccessCheck()
2015/12/03 17:02:19.819 kid1| Checklist.cc(62) preCheck: 0xa720ec90 checking slow rules
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: Safe_ports = 1
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: !Safe_ports = 0
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: http_access#1 = 0
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: CONNECT = 0
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: http_access#2 = 0
2015/12/03 17:02:19.819 kid1| Ip.cc(560) match: aclIpMatchIp: '192.168.1.82:49697' NOT found
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: localhost = 0
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: http_access#3 = 0
2015/12/03 17:02:19.819 kid1| Ip.cc(560) match: aclIpMatchIp: '192.168.1.82:49697' found
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: localnet = 1
2015/12/03 17:02:19.819 kid1| RegexData.cc(71) match: aclRegexData::match: checking 'http://rsdn.ru/'
2015/12/03 17:02:19.819 kid1| RegexData.cc(82) match: aclRegexData::match: looking for '(^cache_object://)'
2015/12/03 17:02:19.819 kid1| RegexData.cc(82) match: aclRegexData::match: looking for '(^https?://[^/]+/squid-internal-mgr/)'
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: manager = 0
2015/12/03 17:02:19.819 kid1| Acl.cc(177) matches: checked: http_access#4 = 0
2015/12/03 17:02:19.819 kid1| RegexData.cc(71) match: aclRegexData::match: checking 'http://rsdn.ru/'
2015/12/03 17:02:19.819 kid1| RegexData.cc(82) match: aclRegexData::match: looking for '(^cache_object://)'
2015/12/03 17:02:19.820 kid1| RegexData.cc(82) match: aclRegexData::match: looking for '(^https?://[^/]+/squid-internal-mgr/)'
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: manager = 0
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: http_access#5 = 0
2015/12/03 17:02:19.820 kid1| DomainData.cc(131) match: aclMatchDomainList: checking 'rsdn.ru'
2015/12/03 17:02:19.820 kid1| DomainData.cc(135) match: aclMatchDomainList: 'rsdn.ru' NOT found
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: GlobalWUSites = 0
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: http_access#6 = 0
2015/12/03 17:02:19.820 kid1| DomainData.cc(131) match: aclMatchDomainList: checking 'rsdn.ru'
2015/12/03 17:02:19.820 kid1| DomainData.cc(135) match: aclMatchDomainList: 'rsdn.ru' NOT found
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: prioritysites = 0
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: http_access#7 = 0
2015/12/03 17:02:19.820 kid1| Checklist.cc(55) markFinished: 0xa720ec90 answer AUTH_REQUIRED for AuthenticateAcl exception
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: auth = -1
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: !auth = -1
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: http_access#8 = -1
2015/12/03 17:02:19.820 kid1| Acl.cc(177) matches: checked: http_access = -1
2015/12/03 17:02:19.820 kid1| Checklist.cc(155) checkCallback: ACLChecklist::checkCallback: 0xa720ec90 answer=AUTH_REQUIRED
2015/12/03 17:02:19.820 kid1| client_side_request.cc(759) clientAccessCheckDone: The request GET http://rsdn.ru/ is AUTH_REQUIRED; last ACL checked: auth
2015/12/03 17:02:19.820 kid1| HttpRequest.cc(711) storeId: sent back canonicalUrl:http://rsdn.ru/
2015/12/03 17:02:19.820 kid1| store.cc(842) storeCreateEntry: storeCreateEntry: 'http://rsdn.ru/'
2015/12/03 17:02:19.820 kid1| store.cc(422) StoreEntry: new StoreEntry 0xa5e4b418
2015/12/03 17:02:19.820 kid1| MemObject.cc(88) MemObject: new MemObject 0xaed697b8
2015/12/03 17:02:19.820 kid1| store_key_md5.cc(109) storeKeyPrivate: storeKeyPrivate: GET http://rsdn.ru/
2015/12/03 17:02:19.820 kid1| store.cc(502) hashInsert: StoreEntry::hashInsert: Inserting Entry 0xa5e4b418 key '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.820 kid1| store.cc(556) setReleaseFlag: StoreEntry::setReleaseFlag: '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.820 kid1| store.cc(545) lock: StoreEntry::lock: key '2301EBE35B2F042FDF371143A340F683' count=2
2015/12/03 17:02:19.820 kid1| store.cc(545) lock: StoreEntry::lock: key '2301EBE35B2F042FDF371143A340F683' count=3
2015/12/03 17:02:19.820 kid1| errorpage.cc(1278) BuildContent: No existing error page language negotiated for ERR_CACHE_ACCESS_DENIED. Using default error file.
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%l --> '/*
 Stylesheet for Squid Error pages
 Adapted from design by Free CSS Templates
 http://www.freecsstemplates.org
 Released for free under a Creative Commons Attribution 2.5 License
*/

/* Page basics */
* {
<------>font-family: verdana, sans-serif;
}

html body {
<------>margin: 0;
<------>padding: 0;
<------>background: #efefef;
<------>font-size: 12px;
<------>color: #1e1e1e;
}

/* Page displayed title area */
#titles {
<------>margin-left: 15px;
<------>padding: 10px;
<------>padding-left: 100px;
<------>background: url('http://www.squid-cache.org/Artwork/SN.png') no-repeat left;
}

/* initial title */
#titles h1 {
<------>color: #000000;
}
#titles h2 {
<------>color: #000000;
}

/* special event: FTP success page titles */
#titles ftpsuccess {
<------>background-color:#00ff00;
<------>width:100%;
}

/* Page displayed body content area */
#content {
<------>padding: 10px;
<------>background: #ffffff;
}

/* General text */
p {
}

/* error brief description */
#error p {
}

/* some data which may have caused the problem */
#data {
}

/* the error message received from the system or other software */
#sysmsg {
}

pre {
    font-family:sans-serif;
}

/* special event: FTP / Gopher directory listing */
#dirmsg {
    font-family: courier;
    color: black;
    font-size: 10pt;
}
#dirlisting {
    margin-left: 2%;
    margin-right: 2%;
}
#dirlisting tr.entry td.icon,td.filename,td.size,td.date {
    border-bottom: groove;
}
#dirlisting td.size {
    width: 50px;
    text-align: right;
    padding-right: 5px;
}

/* horizontal lines */
hr {
<------>margin: 0;
}

/* page displayed footer area */
#footer {
<------>font-size: 9px;
<------>padding-left: 10px;
}
'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%; --> '%;'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%c --> 'ERR_CACHE_ACCESS_DENIED'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%U --> 'http://rsdn.ru/'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%U --> 'http://rsdn.ru/'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%U --> 'http://rsdn.ru/'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%w --> 'squid@zarechnoe.ru'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%W --> '?subject=CacheErrorInfo%20-%20ERR_CACHE_ACCESS_DENIED&body=CacheHost%3A%20KREVEDKO-01%0D%0AErrPage%3A%20ERR_CACHE_ACCESS_DENIED%0D%0AErr%3A%20%5Bnone%5D%
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%T --> 'Thu, 03 Dec 2015 14:02:19 GMT'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%h --> 'KREVEDKO-01'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%s --> 'squid'
2015/12/03 17:02:19.820 kid1| errorpage.cc(1117) Convert: errorConvert: %%c --> 'ERR_CACHE_ACCESS_DENIED'
2015/12/03 17:02:19.820 kid1| store.cc(1853) replaceHttpReply: StoreEntry::replaceHttpReply: http://rsdn.ru/
2015/12/03 17:02:19.820 kid1| store.cc(1011) checkCachable: StoreEntry::checkCachable: NO: not cachable
2015/12/03 17:02:19.820 kid1| store_swapout.cc(393) mayStartSwapOut: not cachable
2015/12/03 17:02:19.820 kid1| store_client.cc(761) invokeHandlers: InvokeHandlers: 2301EBE35B2F042FDF371143A340F683
2015/12/03 17:02:19.820 kid1| store_client.cc(767) invokeHandlers: StoreEntry::InvokeHandlers: checking client #0
2015/12/03 17:02:19.820 kid1| store.cc(1085) complete: storeComplete: '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.820 kid1| store.cc(1386) validLength: storeEntryValidLength: Checking '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.820 kid1| store_swapout.cc(375) mayStartSwapOut:  already rejected
2015/12/03 17:02:19.820 kid1| store_client.cc(761) invokeHandlers: InvokeHandlers: 2301EBE35B2F042FDF371143A340F683
2015/12/03 17:02:19.820 kid1| store_client.cc(767) invokeHandlers: StoreEntry::InvokeHandlers: checking client #0
2015/12/03 17:02:19.820 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=2
2015/12/03 17:02:19.820 kid1| clientStream.cc(207) clientStreamRead: clientStreamRead: Calling 1 with cbdata 0xabfa0328 from node 0xb937e3d0
2015/12/03 17:02:19.820 kid1| store_client.cc(222) copy: store_client::copy: 2301EBE35B2F042FDF371143A340F683, from 0, for length 4096, cb 1, cbdata 0xabf9f2c0
2015/12/03 17:02:19.820 kid1| store_client.cc(317) storeClientCopy2: storeClientCopy2: 2301EBE35B2F042FDF371143A340F683
2015/12/03 17:02:19.820 kid1| store_client.cc(450) scheduleMemRead: store_client::doCopy: Copying normal from memory
2015/12/03 17:02:19.820 kid1| client_side_reply.cc(1969) processReplyAccessResult: The reply for GET http://rsdn.ru/ is ALLOWED, because it matched 'auth'
2015/12/03 17:02:19.820 kid1| store.cc(545) lock: StoreEntry::lock: key '2301EBE35B2F042FDF371143A340F683' count=4
2015/12/03 17:02:19.820 kid1| client_side_reply.cc(2007) processReplyAccessResult: clientReplyContext::sendMoreData: Appending 3832 bytes after 206 bytes of headers
2015/12/03 17:02:19.820 kid1| clientStream.cc(185) clientStreamCallback: clientStreamCallback: Calling 1 with cbdata 0xa8a4313c from node 0xb937e380
2015/12/03 17:02:19.820 kid1| client_side.cc(1459) sendStartOfMessage: HTTP Client local=192.168.1.10:3128 remote=192.168.1.82:49697 FD 116 flags=1
2015/12/03 17:02:19.820 kid1| client_side.cc(1460) sendStartOfMessage: HTTP Client REPLY:
---------
HTTP/1.1 407 Proxy Authentication Required^M
Server: squid^M
Mime-Version: 1.0^M
Date: Thu, 03 Dec 2015 14:02:19 GMT^M
Content-Type: text/html^M
Content-Length: 3832^M
X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0^M
Proxy-Authenticate: Negotiate^M
Proxy-Authenticate: NTLM^M
Proxy-Authenticate: Basic realm=""ZARECHNOE SQUID Proxy Server Basic authentication!""^M
X-Cache: MISS from KREVEDKO-01^M
X-Cache-Lookup: NONE from KREVEDKO-01:3128^M
Via: 1.1 KREVEDKO-01 (squid)^M
Connection: close^M
^M

----------
2015/12/03 17:02:19.820 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=3
2015/12/03 17:02:19.821 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=2
2015/12/03 17:02:19.821 kid1| IoCallback.cc(108) finish: called for local=192.168.1.10:3128 remote=192.168.1.82:49697 FD 116 flags=1 (0, 0)
2015/12/03 17:02:19.821 kid1| client_side_reply.cc(1073) storeOKTransferDone: storeOKTransferDone  out.offset=3832 objectLen()=4038 headers_sz=206
2015/12/03 17:02:19.821 kid1| comm.cc(1080) _comm_close: comm_close: start closing FD 116
2015/12/03 17:02:19.821 kid1| comm.cc(755) commUnsetFdTimeout: Remove timeout for FD 116
2015/12/03 17:02:19.821 kid1| IoCallback.cc(108) finish: called for local=192.168.1.10:3128 remote=192.168.1.82:49697 FD 116 flags=1 (-10, 0)
2015/12/03 17:02:19.821 kid1| client_side.cc(864) swanSong: local=192.168.1.10:3128 remote=192.168.1.82:49697 flags=1
2015/12/03 17:02:19.821 kid1| clientStream.cc(225) clientStreamDetach: clientStreamDetach: Detaching node 0xb937e3d0
2015/12/03 17:02:19.821 kid1| clientStream.cc(310) clientStreamFree: Freeing clientStreamNode 0xb937e3d0
2015/12/03 17:02:19.821 kid1| clientStream.cc(246) clientStreamDetach: clientStreamDetach: Calling 1 with cbdata 0xabfa0328
2015/12/03 17:02:19.821 kid1| clientStream.cc(225) clientStreamDetach: clientStreamDetach: Detaching node 0xb937e380
2015/12/03 17:02:19.821 kid1| clientStream.cc(310) clientStreamFree: Freeing clientStreamNode 0xb937e380
2015/12/03 17:02:19.821 kid1| store_client.cc(689) storeUnregister: storeUnregister: called for '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.821 kid1| store_swapout.cc(375) mayStartSwapOut:  already rejected
2015/12/03 17:02:19.821 kid1| store_client.cc(786) storePendingNClients: storePendingNClients: returning 0
2015/12/03 17:02:19.821 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=2
2015/12/03 17:02:19.821 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=1
2015/12/03 17:02:19.821 kid1| client_side_request.cc(265) ~ClientHttpRequest: httpRequestFree: http://rsdn.ru/
2015/12/03 17:02:19.821 kid1| Checklist.cc(62) preCheck: 0xbfb00934 checking fast ACLs
2015/12/03 17:02:19.821 kid1| external_acl.cc(838) aclMatchExternal: memberof check user authenticated.
2015/12/03 17:02:19.821 kid1| external_acl.cc(841) aclMatchExternal: memberof user not authenticated (AUTH_REQUIRED)
2015/12/03 17:02:19.821 kid1| Checklist.cc(55) markFinished: 0xbfb00934 answer AUTH_REQUIRED for aclMatchExternal exception
2015/12/03 17:02:19.821 kid1| Acl.cc(177) matches: checked: AnonymousAccess = -1
2015/12/03 17:02:19.821 kid1| Acl.cc(177) matches: checked: !AnonymousAccess = -1
2015/12/03 17:02:19.821 kid1| Acl.cc(177) matches: checked: (access_log daemon:/var/log/squid3/access.log line) = -1
2015/12/03 17:02:19.821 kid1| Acl.cc(177) matches: checked: access_log daemon:/var/log/squid3/access.log = -1
2015/12/03 17:02:19.821 kid1| store.cc(585) unlock: StoreEntry::unlock: key '2301EBE35B2F042FDF371143A340F683' count=0
2015/12/03 17:02:19.821 kid1| store_client.cc(786) storePendingNClients: storePendingNClients: returning 0
2015/12/03 17:02:19.821 kid1| store.cc(1278) release: storeRelease: Releasing: '2301EBE35B2F042FDF371143A340F683'
2015/12/03 17:02:19.821 kid1| store.cc(481) destroyStoreEntry: destroyStoreEntry: destroying 0xa5e4b41c
2015/12/03 17:02:19.821 kid1| store.cc(459) destroyMemObject: destroyMemObject 0xaed697b8
2015/12/03 17:02:19.821 kid1| MemObject.cc(111) ~MemObject: del MemObject 0xaed697b8
2015/12/03 17:02:19.821 kid1| client_side_request.cc(137) ~ClientRequestContext: 0xaed6c020 ClientRequestContext destructed
2015/12/03 17:02:19.821 kid1| client_side.cc(4644) unpinConnection:.
2015/12/03 17:02:19.821 kid1| client_side.cc(895) ~ConnStateData: local=192.168.1.10:3128 remote=192.168.1.82:49697 flags=1
2015/12/03 17:02:19.821 kid1| fd.cc(116) fd_close: fd_close FD 116 Reading next request
2015/12/03 17:02:19.823 kid1| comm.cc(138) commHandleRead: comm_read_try: FD 1964, size 65535, retval 216, errno 0
2015/12/03 17:02:19.823 kid1| IoCallback.cc(108) finish: called for local=192.168.1.10:3128 remote=192.168.1.96:58523 FD 1964 flags=1 (0, 0)
2015/12/03 17:02:19.823 kid1| tunnel.cc(468) readClient: local=192.168.1.10:3128 remote=192.168.1.96:58523 FD 1964 flags=1, read 216 bytes, err=0
2015/12/03 17:02:19.823 kid1| tunnel.cc(274) bytesIn: len=0 + count=216
2015/12/03 17:02:19.823 kid1| tunnel.cc(492) keepGoingAfterRead: from={local=192.168.1.10:3128 remote=192.168.1.96:58523 FD 1964 flags=1}, to={local=192.168.1.10:43775 remote=74.125.205.189:443 FD 1965 flags=1}
2015/12/03 17:02:19.823 kid1| comm.cc(768) commSetConnTimeout: local=192.168.1.10:3128 remote=192.168.1.96:58523 FD 1964 flags=1 timeout 900
2015/12/03 17:02:19.823 kid1| comm.cc(768) commSetConnTimeout: local=192.168.1.10:43775 remote=74.125.205.189:443 FD 1965 flags=1 timeout 900
2015/12/03 17:02:19.823 kid1| tunnel.cc(535) copy: Schedule Write
2015/12/03 17:02:19.823 kid1| IoCallback.cc(108) finish: called for local=192.168.1.10:43775 remote=74.125.205.189:443 FD 1965 flags=1 (0, 0)
2015/12/03 17:02:19.823 kid1| tunnel.cc(555) writeServerDone: local=192.168.1.10:43775 remote=74.125.205.189:443 FD 1965 flags=1, 216 bytes written, flag=0
2015/12/03 17:02:19.823 kid1| tunnel.cc(605) dataSent: len=216 - amount=216
2015/12/03 17:02:19.824 kid1| TcpAcceptor.cc(220) doAccept: New connection on FD 2218
2015/12/03 17:02:19.824 kid1| TcpAcceptor.cc(295) acceptNext: connection on local=0.0.0.0:3128 remote=[::] FD 2218 flags=9
2015/12/03 17:02:19.824 kid1| fd.cc(221) fd_open: fd_open() FD 116 HTTP Request
2015/12/03 17:02:19.824 kid1| comm.cc(768) commSetConnTimeout: local=192.168.1.10:3128 remote=192.168.1.82:49700 FD 116 flags=1 timeout 300
2015/12/03 17:02:19.825 kid1| comm.cc(138) commHandleRead: comm_read_try: FD 116, size 4095, retval 697, errno 0
2015/12/03 17:02:19.825 kid1| IoCallback.cc(108) finish: called for local=192.168.1.10:3128 remote=192.168.1.82:49700 FD 116 flags=1 (0, 0)
2015/12/03 17:02:19.825 kid1| client_side.cc(2322) parseHttpRequest: parseHttpRequest: req_hdr = {Host: rsdn.ru^M
Proxy-Connection: keep-alive^M
Cache-Control: max-age=0^M
Proxy-Authorization: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==^M
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8^M
Upgrade-Insecure-Requests: 1^M
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36^M
Accept-Encoding: gzip, deflate, sdch^M
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4^M
Cookie: .ASPXANONYMOUS=qocrdDUD9SERyXxOVOy3Wlj_3zHhvHJmjZ9ia_4z11abvgI80dAlyGpuoD45dxGn6a-RK91sqYh4Bwo3CSYbeLw9pswNJgEXoMmKI2-i1jMQMOHRcG7ekgGDxeYEkviB_6OgSg2; sw=1920; tz=180^M
^M
}
2015/12/03 17:02:19.825 kid1| client_side.cc(2326) parseHttpRequest: parseHttpRequest: end = {
}
2015/12/03 17:02:19.825 kid1| client_side.cc(2330) parseHttpRequest: parseHttpRequest: prefix_sz = 697, req_line_sz = 30
2015/12/03 17:02:19.825 kid1| clientStream.cc(167) clientStreamInsertHead: clientStreamInsertHead: Inserted node 0xb937e3d0 with data 0xa8a4313c after head
2015/12/03 17:02:19.825 kid1| client_side.cc(2407) parseHttpRequest: HTTP Client local=192.168.1.10:3128 remote=192.168.1.82:49700 FD 116 flags=1
2015/12/03 17:02:19.825 kid1| client_side.cc(2408) parseHttpRequest: HTTP Client REQUEST:
---------
GET http://rsdn.ru/ HTTP/1.1^M
Host: rsdn.ru^M
Proxy-Connection: keep-alive^M
Cache-Control: max-age=0^M
Proxy-Authorization: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==^M
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8^M
Upgrade-Insecure-Requests: 1^M
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36^M
Accept-Encoding: gzip, deflate, sdch^M
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4^M
Cookie: .ASPXANONYMOUS=qocrdDUD9SERyXxOVOy3Wlj_3zHhvHJmjZ9ia_4z11abvgI80dAlyGpuoD45dxGn6a-RK91sqYh4Bwo3CSYbeLw9pswNJgEXoMmKI2-i1jMQMOHRcG7ekgGDxeYEkviB_6OgSg2; sw=1920; tz=180^M
^M

----------
Раньше проблема решалась рестартом squid, сейчас у одного пользователя проблема даже так не устраняется..
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Окно авторизации Squid

Сообщение Алексей Максимов »

Можно попробовать сделать так.
1. Отключить все виды аутентификации, кроме самого примитивного - basic. Проверить работу с basic на нескольких разных клиентах.
2. Если basic работает стабильно, включить дополнительно ntlm. Проверить работу с ntlm на нескольких разных клиентах.
3. Если чистый ntlm будет работать нормально, оставить его как основной метод аутентификации и разбираться почему не работает согласование (kerberos/ntlm)

Хотя аутентификация проходит и доступ к ресурсу разрешается, судя по куску "The reply for GET http://rsdn.ru/ is ALLOWED, because it matched 'auth'". тут конечно лог лучше смотреть с того клиента с которого не работает в принципе доступ. Возможно также на клиенте/прокси-сервере проблемы с синхронизацией времени и поэтому Kerberos работает некорректно или не работает вообще.

Как вариант можно пересоздать кэш squid. Известны случаи когда некорректно работающий кэш приводил к подобному поведению прокси.
А чтобы вообще отмести вариант с некорректно работающим кэшем, то можно вообще его отключить на время, чтобы прокси отдавал трафик клиентам напрямую.
NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Re: Окно авторизации Squid

Сообщение NvAriec »

Сегодня случилось самое плохое. У большинства клиентов началась появляться авторизация. Рестарт не помог. Вообще не помог.

Что самое интересное - в конфиге отключал все хелперы, в том числе и basic. Комментировал строчки auth_param (вроде бы верно, да?), но окно авторизации всё-равно всплывало.


Время синхронизированно везде.

Клиент как раз в логе засветился. 192.168.1.82


Сейчас временно отключил вообще авторизацию и поставил конфиг, который по-умолчанию. Прокся работает.



Кеш пересоздавал, не помогало. Вот отключить не пробовал. Сейчас сделаю.
Последний раз редактировалось NvAriec 04 дек 2015 06:45, всего редактировалось 1 раз.
NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Re: Окно авторизации Squid

Сообщение NvAriec »

cache deny all не помогло. Всё-равно выскакивает basic авторизация.

Думаю может с keytab что случилось? Может такое быть?
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Окно авторизации Squid

Сообщение Алексей Максимов »

Если вы действительно отключили все методы аутентификации кроме basic, то такие вещи как keytab вообще использоваться не должны (по крайней мере, если говорить о той конфигурации, которая описана в статье)
NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Re: Окно авторизации Squid

Сообщение NvAriec »

Алексей Максимов писал(а):Если вы действительно отключили все методы аутентификации кроме basic, то такие вещи как keytab вообще использоваться не должны (по крайней мере, если говорить о той конфигурации, которая описана в статье)
Нет, я имел ввиду из-за чего слетела авторизация.

А после отключения авторизации по-хорошему вообще не должна базовая авторизация выскакивать, но она почему-то выскакивала. Хотя может из-за того что ACL не закомментировал..
NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Re: Окно авторизации Squid

Сообщение NvAriec »

Нашёл в чём баг...
Последний Chrome 47.0 не работает с авторизацией... Бред какой-то, но диагноз подтвердился на трёх машинах..
NvAriec
Любопытный
Сообщения: 10
Зарегистрирован: 03 дек 2015 13:32

Re: Окно авторизации Squid

Сообщение NvAriec »

Бред какой-то.
В настройки сквида добавил -d к auth_param negotiate и вот что выводит:

Код: Выделить всё

negotiate_kerberos_auth.cc(128): pid=32304 :2015/12/07 00:38:54| negotiate_kerberos_auth: ERROR: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. No key table entry found for HTTP/vrn-proxy@CORP.XXX.RU
2015/12/07 00:38:54 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. No key table entry found for HTTP/vrn-proxy@CORP.XXX.RU; }}
Вообще запутался..
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Окно авторизации Squid

Сообщение Алексей Максимов »

NvAriec писал(а):Нашёл в чём баг...
Последний Chrome 47.0 не работает с авторизацией... Бред какой-то, но диагноз подтвердился на трёх машинах..
Такая проблема действительно имеет место быть. Подтверждение на баг-трекере Chome. Решение - даунгрейд до 46 версии.
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Окно авторизации Squid

Сообщение Алексей Максимов »

NvAriec писал(а):No key table entry found for HTTP/vrn-proxy@CORP.XXX.RU
Похоже на неправильный keytab-файл.
Ответить

Вернуться в «Прокси-сервер Squid»