From: "Овечкин Влад" <test@rrnn.ru> To: <community@altlinux.ru> Subject: [Comm] Проблемы с аутентификационными механизмами с squid`е Date: Thu, 24 Mar 2005 15:59:45 +0300 Message-ID: <007701c53071$5a97c260$2101a8c0@main.radio> (raw) [-- Attachment #1: Type: text/plain, Size: 2582 bytes --] Добрый день всем! Столкнулся с проблемой. Есть сетка с доменом MAIN на Win2k и строится Linux-сервер на ALTLinux Master 2.4, как примерный аналог.На нём пока вертится squid, который служит прокси-сервером для всех пользователей, которые хотят получить доступ в инет. Ситуация такая - есть несколько отделов. В каждом отделе от трёх до пяти компов. У каждого отдела есть свой начальник. Только у него под специальным логином и паролем есть доступ в Интернет (к примеру с логином MAIN\nachalnik1). Для входа в домен на все компах конкретного отдела используется одна учётная запись с логином, к примеру MAIN\rabotnik1. То есть начальник заходит в домен под логином MAIN\rabotnik1, а для выхода в интернет при запросе браузера пользуется логином MAIN\nachalnik1. Вот тут то и начинается загвоздка. Только на одном компьютере из трёх/четырёх/пяти в каждом конкретном отделе браузер Internet Explorer 6.0 (или 5.0) запрашивает логин с паролем и при получении правильного (т.е. MAIN\nachalnik1) предоставляет доступ в инет. На других компах - сразу же при попытке выхода в инет выдаётся строка Access Denied, т.к. браузер IE кидает проксе логин с паролем от учётной записи для входа в домен (т.е. MAIN\rabotnik1). И squid сразу же отказывается предоставлять доступ в Интернет. Это, конечно, правильно, но почему пользователю не выдаётся форма с просьбой ввести логин с паролем? Ситуация в трёх отделах везде одинаковая на одном компе выдаётся запрос пароля, на всех остальных - нет. Компьютер на линуксе в домен не введён. Но это не важно. ПО у клиентов - WinXp SP1 или SP2 с IE 6.0, а также Win98 с IE 5.0. Тип аутентификации пользователей на проксе - ntlm. У клиентов в IE прописано так: использовать прокси-сервер - 192.168.1.5 порт 8080 не использовать проксю для локальных адресов использовать один прокси-сервер для протоколов - да автоматическое определение параметров - нет использовать сценарий автоматической настройки - нет Логи squid в аттаче. Вы конечно можете сказать, что мол а чего же ты хочешь, мол IE правильно посылает данные проксе из учётной записи для входа в домен и, если у неё нет права доступа в инет, то в доступе будет отказано, и я с этим согласен. Но, на одном компьютере в отделе выдаётся таки приклашение ввести другой логин с паролем, а на других нет... Мне кажется, что squid просто не посыает ещё один запрос на просьбу пройти ещё один раз аутентификацию и ввести вручную логин с паролем. Т.к. пользовательское ПО разное, а проблема одна. То бишь в сквиде. Надеюсь на любую подсказку или идею. С уважением, Овечкин Влад. [-- Attachment #2: squid_conf.txt --] [-- Type: text/plain, Size: 2235 bytes --] http_port 3128 http_port 8080 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY redirect_program /usr/local/sams/bin/samsredir auth_param ntlm program /usr/lib/squid/ntlm_auth Main/Server-1 auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passfile auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl _sams_default proxy_auth "/etc/squid/default.sams" acl _sams_423adefe715e2 proxy_auth "/etc/squid/423adefe715e2.sams" acl _sams_chat url_regex "/etc/squid/chat.sams" acl _sams_422ea12a55e74 url_regex "/etc/squid/422ea12a55e74.sams" acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Jabber_ports port 5222 5223 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow _sams_default http_access allow _sams_423adefe715e2 http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports !Jabber_ports http_access allow localhost http_access deny all http_reply_access allow all visible_hostname linux-server delay_pools 2 delay_class 1 2 delay_class 2 2 delay_access 1 allow _sams_423adefe715e2 delay_access 1 deny all delay_parameters 1 400000/400000 400000/400000 delay_access 2 allow _sams_default delay_access 2 deny all delay_parameters 2 851968/851968 851968/851968 coredump_dir /var/spool/squid
next reply other threads:[~2005-03-24 12:59 UTC|newest] Thread overview: 17+ messages / expand[flat|nested] mbox.gz Atom feed top 2005-03-24 12:59 Овечкин Влад [this message] 2005-03-24 11:29 ` Nick S. Grechukh 2005-03-24 14:59 ` Овечкин Влад 2005-03-24 13:41 ` Nick S. Grechukh 2005-03-25 7:20 ` Овечкин Влад 2005-03-25 6:30 ` Nick S. Grechukh 2005-03-25 11:26 ` Овечкин Влад 2005-03-25 9:49 ` Nick S. Grechukh 2005-03-26 11:38 ` Овечкин Влад 2005-03-28 9:52 ` Nick S. Grechukh 2005-03-29 14:49 ` Овечкин Влад 2005-03-29 15:14 ` Nick S. Grechukh 2005-03-30 6:53 ` [Comm]Проблемы " Овечкин Влад 2005-03-25 4:29 ` [Comm] Проблемы " Mike Lykov 2005-03-25 7:09 ` [Comm]Проблемы " Овечкин Влад 2005-03-28 3:43 ` Mike Lykov 2005-03-29 12:38 ` Овечкин Влад
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to='007701c53071$5a97c260$2101a8c0@main.radio' \ --to=test@rrnn.ru \ --cc=community@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git