URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3782
[ Назад ]

Исходное сообщение
"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"

Отправлено Vlad , 30-Дек-05 17:05 
значится так пишу сюда потому как уже все спросил и не получил ответа
Есть Red Hat на нем поднат Squid 2.5.12 и Samba 2.2.8 в паре не плохо работают
поднята NTLM авторизация на основе доменных аккаунтов... и все проходит нет ничего криминального в логах .. всё работает вроде бы как но вот фишка
при попытке выйти в инет ( на виндовых доменных машинах) появляется пресловутое окошко авторизации в которое вводишь имя пароль домен .... и ничего ..никуда не пускает ...но вот фокус ... есть 2 машины Linux 1 из которых в домене другая нет  и на обоих с Мозиллы нормально авторизует и пускает ...
Я этот фокус что то не пойму никак может будет свежая мысль подскажите .... как заставить нормально авторизироваться с виндовых машин ?
( Всех с НОВЫМ ГОДОМ кстати !!!)

Содержание

Сообщения в этом обсуждении
"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено alertTiraspol , 30-Дек-05 17:28 
чот у тебя в конфиге сквида не так. выложи.. посмотрим.

"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 30-Дек-05 17:49 
>чот у тебя в конфиге сквида не так. выложи.. посмотрим.


запросто


http_port 8080
cache_mem 64 MB
cache_swap_high 90
cache_swap_low 80
cache_store_log none

auth_param ntlm program /usr/libexec/wb_ntlmauth
auth_param ntlm children 15
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/libexec/wb_auth
auth_param basic children 15
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl NTLMauth proxy_auth REQUIRED           
acl all src 0.0.0.0/0.0.0.0
acl my_mib src 10.3.0.0/255.255.255.0
acl my_mibx proxy_auth REQUIRED
acl dopoffice src 10.3.2.0/255.255.255.0
acl adm src 10.3.0.7-10.3.0.18/255.255.255.255
acl rr src 10.3.0.19-10.3.0.88/255.255.255.255
acl uprav src 10.3.0.20


delay_pools 2
delay_class 1 1
delay_class 2 2
delay_access 1 deny  rr
delay_access 1 allow adm

delay_access 2 deny adm
delay_access 2 allow rr
delay_access 2 deny  all
delay_access 1 deny  all

delay_parameters 1 -1/-1 64000/64000
delay_parameters 2 2200/16000 3084/30000

http_access allow NTLMauth
http_access allow uprav
http_access allow adm
http_access allow dopoffice
http_access allow my_mib
httpd_accel_with_proxy on
http_access deny all


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено KLiM , 08-Янв-06 13:51 

такое ощущение, что не подхватывает твой squid авторизацию..

вот пример с моего рабочего сервера (правда ещё не я настраивал), но всё работает.


icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
cache_dir ufs /var/lib/squid 4000 128 1024

acl localnet src 192.168.9.0/255.255.255.0
acl homenet src 192.168.79.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 70 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl NTLMauth proxy_auth REQUIRED

http_access allow NTLMauth
http_access allow localnet
http_access allow homenet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all

cache_mgr root
cache_effective_user squid
cache_effective_group squid
logfile_rotate 0
log_icp_queries off
cachemgr_passwd my-secret-pass all
buffered_logs on


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 04-Янв-06 14:34 
>поднята NTLM авторизация на основе доменных аккаунтов... и все проходит нет ничего

Домен на Самбе поднят или Винде? Если на винде, то на какой?


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 08-Янв-06 09:42 
>>поднята NTLM авторизация на основе доменных аккаунтов... и все проходит нет ничего
>
>Домен на Самбе поднят или Винде? Если на винде, то на какой?
>


Домен поднят на WIN2k Advanced Server


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 08-Янв-06 16:24 
>Домен поднят на WIN2k Advanced Server

Для Win2k и выше нужно ставить 3-ю самбу. 2-я авторизовать небудет, она для  NT4.0
Ну, и исходя из личного опыта- чем выше билд самбы, тем лучше она работает с windows


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 08-Янв-06 16:28 
Да, еще желательно squid собрать с хедерами именно от той версии самбы, которой будешь пользоваться.
Можно почитать об этом в разделе документации на http://sams.perm.ru

"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 10-Янв-06 08:49 
>>Домен поднят на WIN2k Advanced Server
>
>Для Win2k и выше нужно ставить 3-ю самбу. 2-я авторизовать небудет, она
>для  NT4.0
>Ну, и исходя из личного опыта- чем выше билд самбы, тем лучше
>она работает с windows

Я ставил Самбу 3.14 она не работала со сквидом 2.5.9
почитал в инете и выяснилось что такие версии сквида и самбы глючат
лучше ставить 2.2.Х

я конечно счас еще раз попробую ....


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 10-Янв-06 09:08 
то, что 2.х самба не работает с win2k/2003 это факт. Лучше собрать squid и samba самому. это не так уж и трудно.

"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 10-Янв-06 12:05 
>то, что 2.х самба не работает с win2k/2003 это факт. Лучше собрать
>squid и samba самому. это не так уж и трудно.

поставил
Samba Version 3.0.20b
и
Squid Cache: Version 2.5.STABLE12

на wb_auth пишет

Can't contact winbindd. Dying


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 10-Янв-06 13:55 
>на wb_auth пишет
>
>Can't contact winbindd. Dying

самбаавторизовалась в домене? winbind запущен?
что говорит wbinfo -p, wbinfo -t?


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 10-Янв-06 15:21 
>>на wb_auth пишет
>>
>>Can't contact winbindd. Dying
>
>самбаавторизовалась в домене? winbind запущен?
>что говорит wbinfo -p, wbinfo -t?

Всё классно говорят ... и список юзверей получает
только на wb_auth -d ругается Can't contact winbindd. Dying


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено DmitryChemerik , 11-Янв-06 08:56 

>Всё классно говорят ... и список юзверей получает
>только на wb_auth -d ругается Can't contact winbindd. Dying
Разработчики SQUID рекомендуют с 3-й самбой использовать хелпер wb_ntlmauth. wb_auth это для 2-й самбы.
Есть еще хелпер fakeauth_auth. Тоже будет работать, только он кажется не авторизует юзера, просто смотрит, зарегистрировался тот в домене или нет.


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Vlad , 11-Янв-06 09:33 
>
>>Всё классно говорят ... и список юзверей получает
>>только на wb_auth -d ругается Can't contact winbindd. Dying
>Разработчики SQUID рекомендуют с 3-й самбой использовать хелпер wb_ntlmauth. wb_auth это для
>2-й самбы.
>Есть еще хелпер fakeauth_auth. Тоже будет работать, только он кажется не авторизует
>юзера, просто смотрит, зарегистрировался тот в домене или нет.


кстати wb_ntlmauth тоже так ругается . Я счас просто попробывал взять /usr/bin/ntlm_auth и всё тут же заработало ....


"БОЛЬШАЯ НЕПОНЯТКА SQUID Авторизации"
Отправлено Jewel , 15-Фев-06 13:52 
>>
>>>Всё классно говорят ... и список юзверей получает
>>>только на wb_auth -d ругается Can't contact winbindd. Dying
>>Разработчики SQUID рекомендуют с 3-й самбой использовать хелпер wb_ntlmauth. wb_auth это для
>>2-й самбы.
>>Есть еще хелпер fakeauth_auth. Тоже будет работать, только он кажется не авторизует
>>юзера, просто смотрит, зарегистрировался тот в домене или нет.
>
>
>кстати wb_ntlmauth тоже так ругается . Я счас просто попробывал взять /usr/bin/ntlm_auth
>и всё тут же заработало ....


а зачем авторизация на доменных регистрациях? просто составил файлик для добавления всех пользоватлей. выдал им пароли записал и в конфиге сквида укзал что ntlm смотит в файл пассфордов. и фсе.. так и работает.