Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Thu, Mar 24, 2005 at 03:59:45PM +0300, Овечкин Влад wrote:
> при попытке выхода в инет выдаётся строка Access Denied, т.к. браузер IE 
> кидает проксе логин с паролем от учётной записи для входа в домен (т.е. 
> MAIN\rabotnik1). И  squid сразу же отказывается предоставлять доступ в 
> Интернет. Это, конечно, правильно, но почему пользователю не выдаётся форма 
> с просьбой ввести логин с паролем? Ситуация в трёх отделах везде одинаковая 
> на одном компе выдаётся запрос пароля, на всех остальных - нет.
> Компьютер на линуксе в домен не введён. Но это не важно.
> ПО у клиентов - WinXp SP1 или SP2 с IE 6.0, а также Win98 с IE 5.0. Тип 
есть ли корреляция между поведением IE/squid и клиентской ОС?

> аутентификации пользователей на проксе - ntlm.
все правильно, afaiR ntlm для того и предназначен чтобы входить не спрашивая пароль. любое другое его поведение неоднократно обсуждалось в контексте "а почему не работает как надо" ;-)

> auth_param ntlm program /usr/lib/squid/ntlm_auth Main/Server-1
> auth_param ntlm children 5
> auth_param ntlm max_challenge_reuses 0
> auth_param ntlm max_challenge_lifetime 2 minutes
> auth_param ntlm use_ntlm_negotiate off
> auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passfile
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours
я бы ntlm выкинул. зато basic аутентификация - то что надо, только ей
нужно правильно объяснить источник паролей. для этого есть разные штуки, например msnt_auth. или wb_auth, я использовал его. 

[Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

[-- Attachment #1: Type: text/plain, Size: 2582 bytes --]

Добрый день всем! Столкнулся с проблемой.
Есть сетка с доменом MAIN на Win2k и строится Linux-сервер на ALTLinux 
Master 2.4, как примерный аналог.На нём пока вертится squid, который служит 
прокси-сервером для всех пользователей, которые хотят получить доступ в 
инет.
Ситуация такая - есть несколько отделов. В каждом отделе от трёх до пяти 
компов. У каждого отдела есть свой начальник. Только у него под специальным 
логином и паролем есть доступ в Интернет (к примеру с логином 
MAIN\nachalnik1). Для входа в домен на все компах конкретного отдела 
используется одна учётная запись с логином, к примеру MAIN\rabotnik1. То 
есть начальник заходит в домен под логином MAIN\rabotnik1, а для выхода в 
интернет при запросе браузера пользуется логином MAIN\nachalnik1. Вот тут то 
и начинается загвоздка. Только на одном компьютере из трёх/четырёх/пяти в 
каждом конкретном отделе браузер Internet Explorer 6.0 (или 5.0) запрашивает 
логин с паролем и при получении правильного (т.е. MAIN\nachalnik1) 
предоставляет доступ в инет. На других компах - сразу же при попытке выхода 
в инет выдаётся строка Access Denied, т.к. браузер IE кидает проксе логин с 
паролем от учётной записи для входа в домен (т.е. MAIN\rabotnik1). И  squid 
сразу же отказывается предоставлять доступ в Интернет. Это, конечно, 
правильно, но почему пользователю не выдаётся форма с просьбой ввести логин 
с паролем? Ситуация в трёх отделах везде одинаковая на одном компе выдаётся 
запрос пароля, на всех остальных - нет.

Компьютер на линуксе в домен не введён. Но это не важно.

ПО у клиентов - WinXp SP1 или SP2 с IE 6.0, а также Win98 с IE 5.0. Тип 
аутентификации пользователей на проксе - ntlm.

У клиентов в IE прописано так:
использовать прокси-сервер - 192.168.1.5 порт 8080
не использовать проксю для локальных адресов
использовать один прокси-сервер для протоколов - да
автоматическое определение параметров - нет
использовать сценарий автоматической настройки - нет
Логи squid в аттаче.

Вы конечно можете сказать, что мол а чего же ты хочешь, мол IE правильно 
посылает данные проксе из учётной записи для входа в домен и, если у неё нет 
права доступа в инет, то в доступе будет отказано, и я с этим согласен. Но, 
на одном компьютере в отделе выдаётся таки приклашение ввести другой логин с 
паролем, а на других нет...
Мне кажется, что squid просто не посыает ещё один запрос на просьбу пройти 
ещё один раз аутентификацию и ввести вручную логин с паролем. Т.к. 
пользовательское ПО разное, а проблема одна. То бишь в сквиде.
Надеюсь на любую подсказку или идею.
С уважением,
Овечкин Влад. 

[-- Attachment #2: squid_conf.txt --]
[-- Type: text/plain, Size: 2235 bytes --]

http_port 3128
http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_program /usr/local/sams/bin/samsredir
auth_param ntlm program /usr/lib/squid/ntlm_auth Main/Server-1
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passfile
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl _sams_default proxy_auth "/etc/squid/default.sams"
acl _sams_423adefe715e2 proxy_auth "/etc/squid/423adefe715e2.sams"
acl _sams_chat url_regex "/etc/squid/chat.sams"
acl _sams_422ea12a55e74 url_regex "/etc/squid/422ea12a55e74.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow _sams_default
http_access allow _sams_423adefe715e2
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
visible_hostname linux-server
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_423adefe715e2
delay_access 1 deny all
delay_parameters 1 400000/400000 400000/400000
delay_access 2 allow _sams_default
delay_access 2 deny all
delay_parameters 2 851968/851968 851968/851968
coredump_dir /var/spool/squid

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Thu, Mar 24, 2005 at 05:59:05PM +0300, Овечкин Влад wrote:
> >все правильно, afaiR ntlm для того и предназначен чтобы входить не 
> >спрашивая пароль. любое другое его поведение неоднократно обсуждалось в 
> >контексте "а почему не работает как надо" ;-)
> А как топик называется можно узнать? Поиском не нашёл:(
трудно сказать. но смысл в том что ntlm предназначен для того чтобы пароль не
запрашивался а useragent входил c ms netlogon credentialами. однако у
некоторых он не работает как должен. у вас наоборот ;-)
> >я бы ntlm выкинул. зато basic аутентификация - то что надо, только ей
> >нужно правильно объяснить источник паролей. для этого есть разные штуки, 
> >например msnt_auth. или wb_auth, я использовал его.
> С wb_auth я знаком, а вот что за зверь msnt_auth? В чём принципиальное 
> отличие?
как я понял, он не винбиндом работает, а в его конфиге указываются
ms-сервера авторизации. видимо, ему и самба не нужна.
поковыряйтесь в /usr/lib/squid/ и /usr/share/doc/squid-*/, там
есть пример msntauth.conf.
> И ещё маленький вопросик: если использовать микрософтский ISA-server, 
> который использует ntlm-аутентификацию, получается так: если не проходит 
> логин с паролем по ntlm,  пользователю выдаётся окошечко с просьбой ввести 
> другой логин и пароль. 
имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
с теми данными, которые получены по ntlm - юзер как минимум смог
залогиниться в систему. следовательно они корректны, просто доступ
запрещен. 
> Сквид действует примерно также, только одно НО: не 
> более чем на одном компе... А для ISA - без разницы. Как вы на эт осмотрите?
отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
это схема basic, а какой *-auth для нее используется - вопрос отдельный.

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh@ua.fm>
To: <community@altlinux.ru>
Sent: Thursday, March 24, 2005 2:29 PM
Subject: Re: [Comm] Проблемы с аутентификационными механизмами с squid`е
> есть ли корреляция между поведением IE/squid и клиентской ОС?
Нет, никакой зависимости не наблюдается - кроме одной - только на одном 
компе в отделе браузер выдаёт запрос на ввод логина и пароля. Если следовать 
логике вещей, то и он недолжен этого делать - однако...

Пробывалось на различных мастдайках и 2 браузерами - IE и Mozilla FireFox 
1.0.
> все правильно, afaiR ntlm для того и предназначен чтобы входить не 
> спрашивая пароль. любое другое его поведение неоднократно обсуждалось в 
> контексте "а почему не работает как надо" ;-)
А как топик называется можно узнать? Поиском не нашёл:(

> я бы ntlm выкинул. зато basic аутентификация - то что надо, только ей
> нужно правильно объяснить источник паролей. для этого есть разные штуки, 
> например msnt_auth. или wb_auth, я использовал его.
С wb_auth я знаком, а вот что за зверь msnt_auth? В чём принципиальное 
отличие?

И ещё маленький вопросик: если использовать микрософтский ISA-server, 
который использует ntlm-аутентификацию, получается так: если не проходит 
логин с паролем по ntlm,  пользователю выдаётся окошечко с просьбой ввести 
другой логин и пароль. Сквид действует примерно также, только одно НО: не 
более чем на одном компе... А для ISA - без разницы. Как вы на эт осмотрите?
С уважением,
Овечкин Влад.

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Mike Lykov]

В сообщении от Четверг 24 Март 2005 16:59 Овечкин Влад написал:

> Компьютер на линуксе в домен не введён. Но это не важно.

почему неважно?

введите в домен, поставьте winbind, используйте хелпер ntlm_auth 
--protocol=basic. будет спрашивать пароль всегда и у всех.

У меня, например, спрашивает (firefox/linux)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Fri, Mar 25, 2005 at 10:20:14AM +0300, Овечкин Влад wrote:
> >имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
> >с теми данными, которые получены по ntlm - юзер как минимум смог
> >залогиниться в систему. следовательно они корректны, просто доступ
> >запрещен.
    ^^^^^^^^^^^^^^ 
> >отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
> >это схема basic, а какой *-auth для нее используется - вопрос отдельный.
> Не спорю, окошко - это basic, но: если не прошла ntlm-аутентификация, 

аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
что был использован механизм ntlm.
теперь имя пользователя уже известно, и в игру вступают acl, которые
говорят что deny. все.
(btw, запрет где стоит, в http_acess или proxy_auth?)

> почему не выдаётся окно на другую - basic аутентификацию???

попробуйте оставить только basic и убедитесь, что вручную войдя как
rabotniki  с правильным паролем человек получит access denied. окошко не
появится второй раз.
а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
пользователя :-). несмотря на то что deny может быть по разным причинам,
например 
http_access allow some_porno_site boss
http_access deny some_porno_site 
http_access allow authenticated_users
должен ли здесь сквид предложить войти под логином босса?

Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

>> Компьютер на линуксе в домен не введён. Но это не важно.
>
> почему неважно?
>
> введите в домен, поставьте winbind, используйте хелпер ntlm_auth
> --protocol=basic. будет спрашивать пароль всегда и у всех.
>
> У меня, например, спрашивает (firefox/linux)

Хорошо, а если мне нужно, чтобы пароль спрашивался только у тех, у которых 
пароль на доступ в домен не совпадал с паролем на доступ к проксе???
Использовать ntlmssp???
С уважением,
Овечкин Влад. 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

> трудно сказать. но смысл в том что ntlm предназначен для того чтобы пароль 
> не
> запрашивался а useragent входил c ms netlogon credentialами. однако у
> некоторых он не работает как должен. у вас наоборот ;-)
Не понял, что значит у меня наоборот??? ИМХО, как он должен, он не совсем 
работает:(

> как я понял, он не винбиндом работает, а в его конфиге указываются
> ms-сервера авторизации. видимо, ему и самба не нужна.
> поковыряйтесь в /usr/lib/squid/ и /usr/share/doc/squid-*/, там
> есть пример msntauth.conf.
Спасибо, посмотрю:)

> имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
> с теми данными, которые получены по ntlm - юзер как минимум смог
> залогиниться в систему. следовательно они корректны, просто доступ
> запрещен.

> отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
> это схема basic, а какой *-auth для нее используется - вопрос отдельный.

Не спорю, окошко - это basic, но: если не прошла ntlm-аутентификация, почему 
не выдаётся окно на другую - basic аутентификацию??? Она у меня же есть???
С уважением,
Овечкин Влад. 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Fri, Mar 25, 2005 at 02:26:08PM +0300, Овечкин Влад wrote:
> >аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
> >PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
> >что был использован механизм ntlm.
> >теперь имя пользователя уже известно, и в игру вступают acl, которые
> >говорят что deny. все.
> >(btw, запрет где стоит, в http_acess или proxy_auth?)
> acl _sams_default proxy_auth "/etc/squid/default.sams"
					^^^^^^^^^^
				дефолтный из поставки? посмотрю на sams.
> >попробуйте оставить только basic и убедитесь, что вручную войдя как
> >rabotniki  с правильным паролем человек получит access denied. окошко не
> >появится второй раз.
> Для чего этот эксперимент???
чтобы увидеть что дело вообще не в аутентификации. _аутентифицированный_ 
пользователь не _авторизован_ использовать интернет. 

> >а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
> >пользователя :-). несмотря на то что deny может быть по разным причинам,
> >например
> >http_access allow some_porno_site boss
> >http_access deny some_porno_site
> >http_access allow authenticated_users
> >должен ли здесь сквид предложить войти под логином босса?
> По моему, должен просто пустить...
почему, ведь сказано что порносайт запрещен

> P.S. для ясности - как заставить IE - запрвшивать логин с паролем для 
> доступа в инет? 
например оставить только 
auth_param basic program <uncomment and complete this line>

program - это скрипт который каким-то образом проверяет пароль (например
через винбинд) и дает положительный ответ если (правильный_пароль) &&
(доступ_разрешен). 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

> аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
> PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
> что был использован механизм ntlm.
> теперь имя пользователя уже известно, и в игру вступают acl, которые
> говорят что deny. все.
> (btw, запрет где стоит, в http_acess или proxy_auth?)
acl _sams_default proxy_auth "/etc/squid/default.sams"
acl _sams_423adefe715e2 proxy_auth "/etc/squid/423adefe715e2.sams"
http_access allow _sams_default
http_access allow _sams_423adefe715e2
http_access deny all

deny.sams
main+kuzmich
main\kuzmich

423adefe715e2.sams
- пустой, для ncsa- авторизации...

> попробуйте оставить только basic и убедитесь, что вручную войдя как
> rabotniki  с правильным паролем человек получит access denied. окошко не
> появится второй раз.
Для чего этот эксперимент???
> а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
> пользователя :-). несмотря на то что deny может быть по разным причинам,
> например
> http_access allow some_porno_site boss
> http_access deny some_porno_site
> http_access allow authenticated_users
> должен ли здесь сквид предложить войти под логином босса?
По моему, должен просто пустить...
С уважением,
Овечкин Влад.
P.S. для ясности - как заставить IE - запрвшивать логин с паролем для 
доступа в инет? 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

> дефолтный из поставки? посмотрю на sams.
Не совсем понял вопроса про дефолтный...

> почему, ведь сказано что порносайт запрещен
так ведь строка запрещения стоит после строки разрешения для босса

>> P.S. для ясности - как заставить IE - запрвшивать логин с паролем для
>> доступа в инет?
> например оставить только
> auth_param basic program <uncomment and complete this line>
Хорошо, а если перед этой строчкой поставить использование чистой 
ntlm-аутентификации (без basic), то следуя логике вещей IE НИКОГДА не 
переспросит пароль пользователя, если пароли на доступ к домену и проксе не 
совпадают?  Но это в теории, на практике - на одной машине из трёх таки 
спрашивает.
С уважением,
Овечкин Влад. 

Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

[Mike Lykov]

В сообщении от Пятница 25 Март 2005 11:09 Овечкин Влад написал:
> > введите в домен, поставьте winbind, используйте хелпер ntlm_auth
> > --protocol=basic. будет спрашивать пароль всегда и у всех.
> > У меня, например, спрашивает (firefox/linux)
> Хорошо, а если мне нужно, чтобы пароль спрашивался только у тех, у которых
> пароль на доступ в домен не совпадал с паролем на доступ к проксе???
> Использовать ntlmssp???

если у вас такое требование, тогда вам , как вы изначально хотели, придется 
вести список логинов и паролей вручную.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Sat, Mar 26, 2005 at 02:38:49PM +0300, Овечкин Влад wrote:
> >почему, ведь сказано что порносайт запрещен
> так ведь строка запрещения стоит после строки разрешения для босса
правильно, для boss (опознанного либо через ntlm, либо basic) покажет
сайт.
я имел в виду для любого другого пользователя. 
НЕ предложит ввести новое имя и пароль, потому что пользователь уже 
опознан, просто ему запрещено.
что-то мне подсказывает что у Вас примерно то же самое происходит. 
чтобы переспрашивало логин - отклонять rabotniki должен сам модуль 
аутентификации. почему я и предлагаю решение, возможно кривое - сделать
для этого скрипт и сообщать сквиду что аутентификация не прошла, всегда,
кроме отдельных случаев.

> >>P.S. для ясности - как заставить IE - запрвшивать логин с паролем для
> >>доступа в инет?
> >например оставить только
> >auth_param basic program <uncomment and complete this line>
> Хорошо, а если перед этой строчкой поставить использование чистой 
> ntlm-аутентификации (без basic), то следуя логике вещей IE НИКОГДА не 
> переспросит пароль пользователя, если пароли на доступ к домену и проксе не 
> совпадают?  Но это в теории, на практике - на одной машине из трёх 
> таки спрашивает.
	^^^^^^^
наверное, это неправильно.

Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

----- Original Message ----- 
From: "Mike Lykov" <combr@vesna.ru>
To: <community@altlinux.ru>
Sent: Monday, March 28, 2005 7:43 AM
Subject: Re: [Comm]Проблемы с аутентификационными механизмами с squid`е


>В сообщении от Пятница 25 Март 2005 11:09 Овечкин Влад написал:
>> > введите в домен, поставьте winbind, используйте хелпер ntlm_auth
>> > --protocol=basic. будет спрашивать пароль всегда и у всех.
>> > У меня, например, спрашивает (firefox/linux)
>> Хорошо, а если мне нужно, чтобы пароль спрашивался только у тех, у 
>> которых
>> пароль на доступ в домен не совпадал с паролем на доступ к проксе???
>> Использовать ntlmssp???
>
> если у вас такое требование, тогда вам , как вы изначально хотели, 
> придется
> вести список логинов и паролей вручную.

То есть, если я правильно понял, пароль будет спрашиваться даже у тех 
пользователей, у которых пароль для входа в домен совпадает с паролем для 
доступа к проксе?
С уважением,
Овечкин Влад. 

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh@ua.fm>
To: <community@altlinux.ru>
Sent: Monday, March 28, 2005 1:52 PM
Subject: Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

> правильно, для boss (опознанного либо через ntlm, либо basic) покажет
> сайт.
> я имел в виду для любого другого пользователя.
> НЕ предложит ввести новое имя и пароль, потому что пользователь уже
> опознан, просто ему запрещено.
> что-то мне подсказывает что у Вас примерно то же самое происходит.
> чтобы переспрашивало логин - отклонять rabotniki должен сам модуль
> аутентификации. почему я и предлагаю решение, возможно кривое - сделать
> для этого скрипт и сообщать сквиду что аутентификация не прошла, всегда,
> кроме отдельных случаев.


После внимательного перечитывания месаг и многодневного напряжения извилин,
до меня вроде кое-что дошло.
1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку
сохранить пароль в расчёт не берём), то использую basic-ntlm или же
basic-ncsa и только.
2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE,
Mozilla FireFox и Miranda), то использую обычный ntlm и только.
3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету
вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться
сдрузьями, вместе с пользователями Miranda, то использую связку "обычный
ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и
SIM)".

Далее самое интересное.

4. Если я хочу, чтобы 5 человек входили на 5 компов в домене под одним
логином, а в инет мог вылезти только самый главный бугор из них со своим
персональным логином и паролем для прокси (причём с любого компа из этих
пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
которая не работает с ntlm-аутентификацией, и потратить некоторое время на
переубеждение пользователей, что замена их любимого броузера IE на Opera
никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
(который без проблем запрашивал другой логин с паролем, если ему не подходил
тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль учётной записи
пользователя в домене) на линуховый squid (котрый отказывается это делать).
И самое главное - это придумать грамотный отмаз, по-поводу того, почему на
одном компе из пяти squid таки переспрашивает логин с паролем при идентичных
настройках браузеров на всех пяти компах.

Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой
проксе всё происходит вроде бы правильно. Пользователь проходит
аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли
этого пользователя или нет - может у него, к примеру, кончился лимит или,
вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5
вопроса:
1) почему при использовании ISA-server`a переспрос логина и пароля имеет
место быть, а при использовании линухового squid`a теоретически! нет такой
возможности?
0,5) практически!!!, при использовании линухового squid`a на одном компе из
пяти переспрос пароля таки идёт!!!

Какие есть мысли по этому поводу?
С уважением,
Овечкин Влад.

Re: [Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 2567 bytes --]

On Tuesday 29 March 2005 17:49, Овечкин Влад wrote:
> 1. Если я хочу, чтобы пароль запрашивался у всех и каждый раз(галочку
> сохранить пароль в расчёт не берём), то использую basic-ntlm или же
> basic-ncsa и только.
> 2. Если я хочу, чтобы пароль не запрашивался вовсе (для пользователей IE,
> Mozilla FireFox и Miranda), то использую обычный ntlm и только.
> 3. Если я хочу, чтобы и поклонники Opera могли путешествовать по инету
> вместе с пользователями IE и Mozilla FireFox, а поклонники SIM общаться
> сдрузьями, вместе с пользователями Miranda, то использую связку "обычный
> ntlm(для IE, Mozilla FireFox и Miranda) + basic-ntlm или -ncsa(для Opera и
> SIM)".
вроде так.

> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию 
посредством ntlm или ncsa, а прокся уже решает - пускать лив домене под одним
> логином, а в инет мог вылезти только самый главный бугор из них со своим
> персональным логином и паролем для прокси (причём с любого компа из этих
> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
> которая не работает с ntlm-аутентификацией, и потратить некоторое время на
зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и делов-то. 
оставьте только basic-ntlm.

> переубеждение пользователей, что замена их любимого броузера IE на Opera
> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
> (который без проблем запрашивал другой логин с паролем, если ему не
> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль
я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи существенно  
ортогональные.
> Ну здесь же явно что-то не сходится!!! Конечно, теоретически, на линуховой
> проксе всё происходит вроде бы правильно. Пользователь проходит
> аутентификацию посредством ntlm или ncsa, а прокся уже решает - пускать ли
> этого пользователя или нет - может у него, к примеру, кончился лимит или,
> вообще, в доступе к проксе отказано. Вот тут то и возникают снова 1,5
> вопроса:
> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет
> место быть, а при использовании линухового squid`a теоретически! нет такой
> возможности?
Вы мой пример с боссом и порносайтом разобрали? должен ли сквид переспросить у 
пользователя (если он не босс) пароль только потому (!) что этому 
пользователю не разрешено ходить на определенный сайт? если ISA так делает, 
это его личные проблемы.

> 0,5) практически!!!, при использовании линухового squid`a на одном компе из
> пяти переспрос пароля таки идёт!!!
это бага. запроса не должно быть.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

[Овечкин Влад]

----- Original Message ----- 
From: "Nick S. Grechukh" <ngrechukh@ua.fm>
To: <community@altlinux.ru>
Sent: Tuesday, March 29, 2005 7:14 PM
Subject: Re: [Comm]Проблемы с аутентификационными механизмами с squid`е

>> 4. Если я хочу, чтобы 5 человек входили на 5 компов аутентификацию 
>> посредством ntlm
>>или ncsa, а прокся уже решает - пускать лив домене под одним
>> логином, а в инет мог вылезти только самый главный бугор из них со своим
>> персональным логином и паролем для прокси (причём с любого компа из этих
>> пяти), то мне надо сносить впаянный в каждую масдайку IE, ставить Opera,
>> которая не работает с ntlm-аутентификацией, и потратить некоторое время 
>> на

>зачем? все в Ваших руках, Вы же сами сквидом рулите. уберите ntlm и 
>делов-то.
>оставьте только basic-ntlm.
Возможно я ошибаюсь, но: при использовании только basic-ntlm будет всегда 
запрашиваться имя пользователя с паролем при попытке выхода в инет, 
используя IE (галочку сохранить пароль опять таки в расчёт не берём). Я 
прав?
У меня просто сейчас такая ситуациия, когда я совершенно незаметно подменил 
виндовую проксю на линуховую. При виндовой проксе всё работало через ntlm и 
пользователю не надо было вводить логин с паролем в большинстве случаев. Это 
требовалось только в случае, если у пользователя на доступ в домен и на 
проксю были разные логины и пароли. У 95% пользователей эти данные (логин с 
паролем) совпадают - соответственно и проблем нет. У тех же, у кого нет - 
тем 5% приходилось вводить его вручную. Но все были довольны. Теперь, 
довольны только те, у которых логин с паролем совпадают. То есть 95% 
пользователей. У тех, у кого не совпадает довольны не совсем, так как запрос 
логина с паролем происходит только на одном компе из пяти. То есть 5% 
поьзователей. Если же, используя basic-ntlm, придётся вводить логин с 
паролем аждый раз всем, то недовольными останутся 95%. Что ещё хуже...
В связи с этим, я озадачился вопросом. Можно ли заставить squid 
переспрашивать пароль при отказе в доступе, если использовать определённые 
хелперы для чистой ntlm- аутентификации или же применять другие параметры.

>> переубеждение пользователей, что замена их любимого броузера IE на Opera
>> никак не связано с тем, что я перенёс проксю с масдайного ISA-Server`a
>> (который без проблем запрашивал другой логин с паролем, если ему не
>> подходил тот, который по-умолчанию выдавал ему IE, т.е. логин и пароль

>я еще раз говорю, "пароль подходит" и "доступ разрешен" это вещи 
>существенно
>ортогональные.

Спасибо, это я уже понял. :)

>> 1) почему при использовании ISA-server`a переспрос логина и пароля имеет
>> место быть, а при использовании линухового squid`a теоретически! нет 
>> такой
>> возможности?

>Вы мой пример с боссом и порносайтом разобрали? должен ли сквид 
>переспросить у
>пользователя (если он не босс) пароль только потому (!) что этому 
>пользователю не
>разрешено ходить на определенный сайт?

Да. разобрал. Изначально не должен, но заставить его, наверное, как то 
можно?

>если ISA так делает, это его личные проблемы.
Согласен, но делает он это, по крайней мере в моей ситуации, очень удобно.


>> 0,5) практически!!!, при использовании линухового squid`a на одном компе 
>> из
>> пяти переспрос пароля таки идёт!!!
>это бага. запроса не должно быть.

Спорный вопрос.
Кстати, вот как выглядит лог сквида при попытке получить инет с компа где 
запрос на логин с паролем в IE выдаётся:
1112165079.847      4 192.168.1.63 TCP_DENIED/407 1744 GET 
http://www.rrnn.ru/ - NONE/- text/html
1112165079.860     12 192.168.1.63 TCP_MISS/200 613 GET http://www.rrnn.ru/ 
main\kukina DIRECT/213.177.117.210 text/html

А вот как выглядит лог сквида при попытке получить инет с компа где запрос 
на логин с паролем в IE НЕ выдаётся:
1112165121.629      1 192.168.1.100 TCP_DENIED/407 1756 GET 
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.804      4 192.168.1.100 TCP_DENIED/407 1756 GET 
http://www.gismeteo.ru/ - NONE/- text/html
1112165121.811      6 192.168.1.100 TCP_DENIED/403 1398 GET 
http://www.gismeteo.ru/ main\radio7 NONE/- text/html

Вроде бы ничего странного?
С уважением,
Овечкин Влад.