SQUID NTLM AUTH

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 20 дек 2017 13:36

Плюс ntlm_auth

Код: Выделить всё

root@ubuntu:/etc/squid# cat squid.conf |grep ntlm_auth
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid/negotiate_kerberos_auth -r -s HTTP/ubuntu.intranet.mydomain.ru@INTRANET.MYDOMAIN.RU
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 21 дек 2017 06:09

Код: Выделить всё

sult: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:37:34 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:37:48 kid1| WARNING: Negotiate Authentication waiting for helper reply!
2017/12/21 08:38:01 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:38:01 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:57:37 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:57:37 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2017/12/21 08:58:05 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 26 дек 2017 19:18

Нашел пару ошибок в конфигурации, плюс еще фишку, при перезапуске сервера удаляется линк

Код: Выделить всё

root@ubuntu:~# sudo ls -la /var/run/samba/winbindd_privileged
total 0
drwxr-x--- 2 root winbindd_priv  60 Dec 26 22:28 .
drwxr-xr-x 8 root root          500 Dec 26 22:26 ..
lrwxrwxrwx 1 root root           39 Dec 26 22:28 pipe -> /var/lib/samba/winbindd_privileged/pipe
В чем может быть дело?

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 429
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Алексей Максимов » 27 дек 2017 14:22

Про линк на pipe обсуждалость в комментариях к статье. В своё время выяснялось, что всё работало и без него. На моих инсталляциях Squid уже давно не используется NTLM (как пережиток прошлого), поэтому сходу так и не вспомню в чём ещё может быть загвоздка. Понятно одно - если сам по себе хелпер работает, а из Squid не получается, то копать нужно именно на стороне Squid. Попробуйте в конфигурации squid.conf включить дебаг и анализируйте cache.log

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 11 янв 2018 12:58

Алексей, посмотрите, пожалуйста.
Сейчас squid работает, но как-то не стабильно. Периодически ( очень часто) при открытии сайта, браузер в стопор встает, и выдает результат только через 20-30 секунд, а то и дольше. Причем в cache.log никаких записей, иногда бывает:
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server но это 5 записей за день. При чем access.log продолжает писать записи по другим полльзователям. Такое ощущение что он в очередь ставит, или задумывается. Просто на вскидку, посмотрите пожалуйста, конфиг мой, может что-то явное сможете увидеть. Кэш на диск отключил, думал, что из-за него. Плюс сделал via off.
заранее спасибо


Код: Выделить всё

auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid/negotiate_kerberos_auth -r -s HTTP/ubuntu.intranet.groupst.ru@INTRANET.GROUPST.RU
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off

auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -P -R -b "dc=intranet,dc=groupst,dc=ru" -D squidkerb@intranet.groupst.ru -W /etc/squid/conf_param_ldappass.txt -f sAMAccountName=%s -h dcterm.intranet.groupst.ru dc01.intranet.groupst.ru
auth_param basic children 120
auth_param basic realm "UBUNTU SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours

external_acl_type memberof ttl=1200 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -P -R -K -b "dc=intranet,dc=groupst,dc=ru" -D squidkerb@intranet.groupst.ru -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,ou=GROUPS,dc=intranet,dc=groupst,dc=ru))" -h dcterm.intranet.groupst.ru dc01.intranet.groupst.ru


acl auth proxy_auth REQUIRED
acl BlockedAccess       external memberof "/etc/squid/conf_param_groups_blocked.txt"
acl RestrictedAccess    external memberof "/etc/squid/conf_param_groups_restricted.txt"
acl StandardAccess      external memberof "/etc/squid/conf_param_groups_standard.txt"
acl FullAccess          external memberof "/etc/squid/conf_param_groups_full_auth.txt"
acl AnonymousAccess     external memberof "/etc/squid/conf_param_groups_full_anon.txt"
acl allowedsites        dstdomain "/etc/squid/conf_param_sites_allowed.txt"
acl blockedsites        dstdomain "/etc/squid/conf_param_sites_blocked.txt"
acl prioritysites       dstdomain "/etc/squid/conf_param_sites_priority.txt"
acl LocalWUServers    src       "/etc/squid/conf_param_computers_wsus.txt"
acl GlobalWUSites     dstdomain "/etc/squid/conf_param_sites_wsus.txt"
acl manager proto cache_object
acl localnet src 192.168.0.0/16        # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager
http_access allow GlobalWUSites LocalWUServers
http_access allow prioritysites localnet
http_access deny !auth
http_access deny BlockedAccess all
http_access allow allowedsites localnet
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow FullAccess auth localnet
http_access deny blockedsites
http_access allow StandardAccess auth localnet
http_access deny all
http_port 192.168.0.131:3128
http_port 127.0.0.1:3128
cache_mem 2048 MB
maximum_object_size_in_memory 2048 KB
memory_replacement_policy heap GDSF
access_log daemon:/var/log/squid/access.log squid !AnonymousAccess
cache_log /var/log/squid/cache.log
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
cache_mgr kivanov@groupst.ru
httpd_suppress_version_string on
visible_hostname UBUNTU
error_directory /usr/share/squid/errors/ru
error_default_language ru
dns_v4_first on
forwarded_for delete
cachemgr_passwd Passw0rd all
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
via off

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 11 янв 2018 13:42

При дебаг уровне ALL,2 фиксирую такие записи, во время зависаний, но это все быстро проходит поэтому, вот такими кусками. Могу привести весь лог, если потребуется. Такое ощущение что он меджленно считывает группы из АД, плюс медленно резолвит ip адреса.
; :roll:

Код: Выделить всё

----------
2018/01/11 16:28:12.449 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:28:12.449 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:28:12.449 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = ALLOWED
2018/01/11 16:28:12.449 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT www.google.com:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:28:12.450 kid1| 85,2| client_side_request.cc(719) clientAccessCheck2: No adapted_http_access configuration. default: ALLOW
2018/01/11 16:28:12.450 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT www.google.com:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(258) peerSelectDnsPaths: Find IP destination for: www.google.com:443' via www.google.com
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(280) peerSelectDnsPaths: Found sources for 'www.google.com:443'
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(281) peerSelectDnsPaths:   always_direct = DENIED
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(282) peerSelectDnsPaths:    never_direct = DENIED
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.103:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.99:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.104:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.106:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.147:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.105:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=[::] remote=[2a00:1450:4010:c05::68]:443 flags=1
2018/01/11 16:28:12.450 kid1| 44,2| peer_select.cc(295) peerSelectDnsPaths:        timedout = 0
2018/01/11 16:28:13.002 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.7:64627 flags=1
2018/01/11 16:28:13.002 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:28:13.002 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.7:64627 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup




ecked: localnet
2018/01/11 16:31:34.688 kid1| 85,2| client_side_request.cc(719) clientAccessCheck2: No adapted_http_access configuration. default: ALLOW
2018/01/11 16:31:34.688 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT www.google.ru:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:31:34.688 kid1| 44,2| peer_select.cc(258) peerSelectDnsPaths: Find IP destination for: www.google.ru:443' via www.google.ru
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(280) peerSelectDnsPaths: Found sources for 'www.google.ru:443'
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(281) peerSelectDnsPaths:   always_direct = DENIED
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(282) peerSelectDnsPaths:    never_direct = DENIED
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=209.85.233.94:443 flags=1
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=[::] remote=[2a00:1450:4010:c01::5e]:443 flags=1
2018/01/11 16:31:34.697 kid1| 44,2| peer_select.cc(295) peerSelectDnsPaths:        timedout = 0


018/01/11 16:34:07.090 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:07.090 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:07.090 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = ALLOWED
2018/01/11 16:34:07.090 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT play.google.com:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:34:07.090 kid1| 85,2| client_side_request.cc(719) clientAccessCheck2: No adapted_http_access configuration. default: ALLOW
2018/01/11 16:34:07.090 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT play.google.com:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(258) peerSelectDnsPaths: Find IP destination for: play.google.com:443' via play.google.com
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(280) peerSelectDnsPaths: Found sources for 'play.google.com:443'
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(281) peerSelectDnsPaths:   always_direct = DENIED
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(282) peerSelectDnsPaths:    never_direct = DENIED
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=173.194.222.200:443 flags=1
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=[::] remote=[2a00:1450:4010:c01::c8]:443 flags=1
2018/01/11 16:34:07.091 kid1| 44,2| peer_select.cc(295) peerSelectDnsPaths:        timedout = 0
2018/01/11 16:34:07.982 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.17:54551 flags=1
2018/01/11 16:34:07.982 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:07.982 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.17:54551 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup
2018/01/11 16:34:08.278 kid1| 4,2| errorpage.cc(1262) BuildContent: No existing error page language negotiated for ERR_CONNECT_FAIL. Using default error file.
2018/01/11 16:34:08.278 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.7:65213 flags=1
2018/01/11 16:34:08.278 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:08.278 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.7:65213 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup
2018/01/11 16:34:08.288 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.17:54393 flags=1
2018/01/11 16:34:08.288 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:08.289 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.17:54393 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup
2018/01/11 16:34:08.289 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.17:54395 flags=1
2018/01/11 16:34:08.289 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:08.289 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.17:54395 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup
2018/01/11 16:34:09.347 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.7:65362 flags=1
2018/01/11 16:34:09.348 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:34:09.348 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.7:65362 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup
2018/01/11 16:34:11.110 kid1| 33,2| client_side.cc(816) swanSong: local=192.168.0.131:3128 remote=192.168.0.7:65160 flags=1
2018/01/11 16:34:11.110 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = ALLOWED
2018/01/11 16:34:11.110 kid1| 33,2| client_side.cc(787) setAuth: WARNING: Graceful closure on local=192.168.0.131:3128 remote=192.168.0.7:65160 flags=1 due to connection-auth erase from ConnStateData::SwanSong cleanup


MJpc/lE9hL+qxzBAtbfEH6RuHMVjB3VgtMwXpkRgL6sN9bJv3cl28l6l/G5yj0CA2Dg+EZrHewqHcqOvfQqyNf8O4Lrck


----------
2018/01/11 16:38:11.115 kid1| 33,2| client_side.cc(737) setAuth: Adding connection-auth to local=192.168.0.131:3128 remote=192.168.0.7:10335 FD 289 flags=1 from new Negotiate handshake request
2018/01/11 16:38:11.127 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:38:11.127 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:38:11.127 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = DENIED
2018/01/11 16:38:11.127 kid1| 82,2| external_acl.cc(822) aclMatchExternal: memberof = ALLOWED
2018/01/11 16:38:11.127 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT push.yandex.ru:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:38:11.127 kid1| 85,2| client_side_request.cc(719) clientAccessCheck2: No adapted_http_access configuration. default: ALLOW
2018/01/11 16:38:11.127 kid1| 85,2| client_side_request.cc(743) clientAccessCheckDone: The request CONNECT push.yandex.ru:443 is ALLOWED; last ACL checked: localnet
2018/01/11 16:38:11.127 kid1| 44,2| peer_select.cc(258) peerSelectDnsPaths: Find IP destination for: push.yandex.ru:443' via push.yandex.ru
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(280) peerSelectDnsPaths: Found sources for 'push.yandex.ru:443'
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(281) peerSelectDnsPaths:   always_direct = DENIED
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(282) peerSelectDnsPaths:    never_direct = DENIED
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=0.0.0.0 remote=213.180.204.179:443 flags=1
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(286) peerSelectDnsPaths:          DIRECT = local=[::] remote=[2a02:6b8::179]:443 flags=1
2018/01/11 16:38:11.137 kid1| 44,2| peer_select.cc(295) peerSelectDnsPaths:        timedout = 0

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 429
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Алексей Максимов » 11 янв 2018 16:32

А каким образом настроен DNS-клиент на сервере, на котором выполняется Squid?

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 429
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Алексей Максимов » 11 янв 2018 16:50

На самом деле проблема может исходить откуда угодно, особенно учитывая то, что Вы наверняка используете какие-то новые версии ПО (Squid, хелперы аутентификации, winbind, kerberos и т.д.), а не те, про которые речь шла в статьях.
В случаях когда сходу проблему выявить не получается, нужно попытаться протестировать все имеющиеся сегменты собранной совокупности по отдельности. И на каком-то из этих сегментов Вы обязательно получите сужение области поиска.

Что можно попробовать проверить на первоначальном этапе (помимо DNS), так это работу аутентификации:

1) Отключить требование аутентификации вообще и проверить, будет ли воспроизводдиться проблема.
2) Отключить все типы аутентификации и включать их по отдельности (например сначала только basic, потом только ntlm и т.п.), пытаясь произвести проблему на каждом этапе.

Если это не даст ясности, и результаты при всех тестах одинаково плохие, то уже смотреть дальше, например, в сторону авторизации (проверки членства пользователей в группах доступа)

Аватара пользователя
Сергеев Константин
Любопытный
Сообщения: 12
Зарегистрирован: 18 дек 2017 13:29
Контактная информация:

Re: SQUID NTLM AUTH

Сообщение Сергеев Константин » 12 янв 2018 05:28

Алексей Максимов писал(а):
11 янв 2018 16:32
А каким образом настроен DNS-клиент на сервере, на котором выполняется Squid?
Алексей, спасибо за ваш ответ.
Днс настраивался по вашей инструкции, т.е. Сквид смотрит на днс контроллеров домена.
Отключил вчера все правила с auth, сегодня посмотрим.

Ответить

Вернуться в «Прокси-сервер Squid»