From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <test@rrnn.ru>
Message-ID: <007701c53071$5a97c260$2101a8c0@main.radio>
From: =?koi8-r?B?79fF3svJziD3zMHE?= <test@rrnn.ru>
To: <community@altlinux.ru>
Date: Thu, 24 Mar 2005 15:59:45 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0074_01C5308A.7FCABBA0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-OriginalArrivalTime: 24 Mar 2005 12:59:45.0900 (UTC)
	FILETIME=[5A93CAC0:01C53071]
X-Virus-Scanned: ClamAV 0.80/670/Mon Jan 17 02:47:22 2005
	clamav-milter version 0.80j on vh1.rrnn.ru
X-Virus-Status: Clean
Subject: [Comm] =?koi8-r?b?8NLPwszFzdkg0yDB1dTFztTJxsnLwcPJz87O2c3JIM3F?=
	=?koi8-r?b?yMHOydrNwc3JINMgc3F1aWRgxQ==?=
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 24 Mar 2005 12:59:48 -0000
Archived-At: <http://lore.altlinux.org/community/007701c53071$5a97c260$2101a8c0@main.radio/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

This is a multi-part message in MIME format.

------=_NextPart_000_0074_01C5308A.7FCABBA0
Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original
Content-Transfer-Encoding: 8bit

Добрый день всем! Столкнулся с проблемой.
Есть сетка с доменом MAIN на Win2k и строится Linux-сервер на ALTLinux 
Master 2.4, как примерный аналог.На нём пока вертится squid, который служит 
прокси-сервером для всех пользователей, которые хотят получить доступ в 
инет.
Ситуация такая - есть несколько отделов. В каждом отделе от трёх до пяти 
компов. У каждого отдела есть свой начальник. Только у него под специальным 
логином и паролем есть доступ в Интернет (к примеру с логином 
MAIN\nachalnik1). Для входа в домен на все компах конкретного отдела 
используется одна учётная запись с логином, к примеру MAIN\rabotnik1. То 
есть начальник заходит в домен под логином MAIN\rabotnik1, а для выхода в 
интернет при запросе браузера пользуется логином MAIN\nachalnik1. Вот тут то 
и начинается загвоздка. Только на одном компьютере из трёх/четырёх/пяти в 
каждом конкретном отделе браузер Internet Explorer 6.0 (или 5.0) запрашивает 
логин с паролем и при получении правильного (т.е. MAIN\nachalnik1) 
предоставляет доступ в инет. На других компах - сразу же при попытке выхода 
в инет выдаётся строка Access Denied, т.к. браузер IE кидает проксе логин с 
паролем от учётной записи для входа в домен (т.е. MAIN\rabotnik1). И  squid 
сразу же отказывается предоставлять доступ в Интернет. Это, конечно, 
правильно, но почему пользователю не выдаётся форма с просьбой ввести логин 
с паролем? Ситуация в трёх отделах везде одинаковая на одном компе выдаётся 
запрос пароля, на всех остальных - нет.

Компьютер на линуксе в домен не введён. Но это не важно.

ПО у клиентов - WinXp SP1 или SP2 с IE 6.0, а также Win98 с IE 5.0. Тип 
аутентификации пользователей на проксе - ntlm.

У клиентов в IE прописано так:
использовать прокси-сервер - 192.168.1.5 порт 8080
не использовать проксю для локальных адресов
использовать один прокси-сервер для протоколов - да
автоматическое определение параметров - нет
использовать сценарий автоматической настройки - нет
Логи squid в аттаче.

Вы конечно можете сказать, что мол а чего же ты хочешь, мол IE правильно 
посылает данные проксе из учётной записи для входа в домен и, если у неё нет 
права доступа в инет, то в доступе будет отказано, и я с этим согласен. Но, 
на одном компьютере в отделе выдаётся таки приклашение ввести другой логин с 
паролем, а на других нет...
Мне кажется, что squid просто не посыает ещё один запрос на просьбу пройти 
ещё один раз аутентификацию и ввести вручную логин с паролем. Т.к. 
пользовательское ПО разное, а проблема одна. То бишь в сквиде.
Надеюсь на любую подсказку или идею.
С уважением,
Овечкин Влад. 

------=_NextPart_000_0074_01C5308A.7FCABBA0
Content-Type: text/plain; format=flowed; name="squid_conf.txt";
	reply-type=original
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
	filename="squid_conf.txt"

http_port 3128
http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_program /usr/local/sams/bin/samsredir
auth_param ntlm program /usr/lib/squid/ntlm_auth Main/Server-1
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passfile
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl _sams_default proxy_auth "/etc/squid/default.sams"
acl _sams_423adefe715e2 proxy_auth "/etc/squid/423adefe715e2.sams"
acl _sams_chat url_regex "/etc/squid/chat.sams"
acl _sams_422ea12a55e74 url_regex "/etc/squid/422ea12a55e74.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow _sams_default
http_access allow _sams_423adefe715e2
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
visible_hostname linux-server
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_423adefe715e2
delay_access 1 deny all
delay_parameters 1 400000/400000 400000/400000
delay_access 2 allow _sams_default
delay_access 2 deny all
delay_parameters 2 851968/851968 851968/851968
coredump_dir /var/spool/squid
------=_NextPart_000_0074_01C5308A.7FCABBA0--