URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7137
[ Назад ]

Исходное сообщение
"squi керберос авторизация"
Отправлено Ninjatrasher , 18-Сен-14 17:41

Добрый день!
есть сквид версии 3.4.7 с керберос авторизацией пользователей. все работает замечательно, но заметил такую вещь: Сквид пишет в логах учетные данные клиента лишь при попытке коннекта по https, а если идет запрос на обычный http, то сквид в access.log пишет только айпи клиента.
вот кусок кода с acl и http_access, подскажи пожалуйста, где ошибка:
acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
#acl password proxy_auth REQUIRED
#acl ntlm     proxy_auth REQUIRED
#acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain domain.comhttp_access allow CONNECT !SSL_ports
#http_access allow CONNECT SSL
#http_access allow CONNECT AuthorizedUsers
#http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow DHCP
#http_access allow manager
#http_access allow manager localhost
http_access allow Safe_ports
http_access deny all
может стоить убрать строчки

acl DHCP src 172.18.1.0/24 # ip adresses
http_access allow DHCP
и расскоментировать строчки
#acl AuthorizedUsers proxy_auth REQUIRED
#http_access allow CONNECT AuthorizedUsers

Содержание

squi керберос авторизация,Ninjatrasher, 12:25 , 19-Сен-14
- squi керберос авторизация,alexpaknix, 16:45 , 13-Окт-14

Сообщения в этом обсуждении

"squi керберос авторизация"
Отправлено Ninjatrasher , 19-Сен-14 12:25

>[оверквотинг удален]
> может стоить убрать строчки
>

> acl DHCP src 172.18.1.0/24 # ip adresses
> http_access allow DHCP
>

> и расскоментировать строчки
>

> #acl AuthorizedUsers proxy_auth REQUIRED
> #http_access allow CONNECT AuthorizedUsers
>

посмотрел в acces.log пишется ip, дальше TCP/MISS 200 GET далее url, а после url стоит -
а если кто то ломиться на Https, то вместо знака "-" пишется username@DOMAIN.COM
из за чего может быть такая штука?

"squi керберос авторизация"
Отправлено alexpaknix , 13-Окт-14 16:45

>>[оверквотинг удален]
> из за чего может быть такая штука?
Из предложенного куска, непонятно как у вас керберос (ntlm?) работает
Вот примеры, может ситуация проясниться :)
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm...