ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Проблемы с аутентификационными механизмами с squid`е
@ 2005-03-24 12:59 Овечкин Влад
  2005-03-24 11:29 ` Nick S. Grechukh
  2005-03-25  4:29 ` [Comm] Проблемы " Mike Lykov
  0 siblings, 2 replies; 17+ messages in thread
From: Овечкин Влад @ 2005-03-24 12:59 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 2582 bytes --]

Добрый день всем! Столкнулся с проблемой.
Есть сетка с доменом MAIN на Win2k и строится Linux-сервер на ALTLinux 
Master 2.4, как примерный аналог.На нём пока вертится squid, который служит 
прокси-сервером для всех пользователей, которые хотят получить доступ в 
инет.
Ситуация такая - есть несколько отделов. В каждом отделе от трёх до пяти 
компов. У каждого отдела есть свой начальник. Только у него под специальным 
логином и паролем есть доступ в Интернет (к примеру с логином 
MAIN\nachalnik1). Для входа в домен на все компах конкретного отдела 
используется одна учётная запись с логином, к примеру MAIN\rabotnik1. То 
есть начальник заходит в домен под логином MAIN\rabotnik1, а для выхода в 
интернет при запросе браузера пользуется логином MAIN\nachalnik1. Вот тут то 
и начинается загвоздка. Только на одном компьютере из трёх/четырёх/пяти в 
каждом конкретном отделе браузер Internet Explorer 6.0 (или 5.0) запрашивает 
логин с паролем и при получении правильного (т.е. MAIN\nachalnik1) 
предоставляет доступ в инет. На других компах - сразу же при попытке выхода 
в инет выдаётся строка Access Denied, т.к. браузер IE кидает проксе логин с 
паролем от учётной записи для входа в домен (т.е. MAIN\rabotnik1). И  squid 
сразу же отказывается предоставлять доступ в Интернет. Это, конечно, 
правильно, но почему пользователю не выдаётся форма с просьбой ввести логин 
с паролем? Ситуация в трёх отделах везде одинаковая на одном компе выдаётся 
запрос пароля, на всех остальных - нет.

Компьютер на линуксе в домен не введён. Но это не важно.

ПО у клиентов - WinXp SP1 или SP2 с IE 6.0, а также Win98 с IE 5.0. Тип 
аутентификации пользователей на проксе - ntlm.

У клиентов в IE прописано так:
использовать прокси-сервер - 192.168.1.5 порт 8080
не использовать проксю для локальных адресов
использовать один прокси-сервер для протоколов - да
автоматическое определение параметров - нет
использовать сценарий автоматической настройки - нет
Логи squid в аттаче.

Вы конечно можете сказать, что мол а чего же ты хочешь, мол IE правильно 
посылает данные проксе из учётной записи для входа в домен и, если у неё нет 
права доступа в инет, то в доступе будет отказано, и я с этим согласен. Но, 
на одном компьютере в отделе выдаётся таки приклашение ввести другой логин с 
паролем, а на других нет...
Мне кажется, что squid просто не посыает ещё один запрос на просьбу пройти 
ещё один раз аутентификацию и ввести вручную логин с паролем. Т.к. 
пользовательское ПО разное, а проблема одна. То бишь в сквиде.
Надеюсь на любую подсказку или идею.
С уважением,
Овечкин Влад. 

[-- Attachment #2: squid_conf.txt --]
[-- Type: text/plain, Size: 2235 bytes --]

http_port 3128
http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_program /usr/local/sams/bin/samsredir
auth_param ntlm program /usr/lib/squid/ntlm_auth Main/Server-1
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passfile
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl _sams_default proxy_auth "/etc/squid/default.sams"
acl _sams_423adefe715e2 proxy_auth "/etc/squid/423adefe715e2.sams"
acl _sams_chat url_regex "/etc/squid/chat.sams"
acl _sams_422ea12a55e74 url_regex "/etc/squid/422ea12a55e74.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow _sams_default
http_access allow _sams_423adefe715e2
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
visible_hostname linux-server
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_423adefe715e2
delay_access 1 deny all
delay_parameters 1 400000/400000 400000/400000
delay_access 2 allow _sams_default
delay_access 2 deny all
delay_parameters 2 851968/851968 851968/851968
coredump_dir /var/spool/squid

^ permalink raw reply	[flat|nested] 17+ messages in thread

end of thread, other threads:[~2005-03-30  6:53 UTC | newest]

Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-24 12:59 [Comm] Проблемы с аутентификационными механизмами с squid`е Овечкин Влад
2005-03-24 11:29 ` Nick S. Grechukh
2005-03-24 14:59   ` Овечкин Влад
2005-03-24 13:41     ` Nick S. Grechukh
2005-03-25  7:20       ` Овечкин Влад
2005-03-25  6:30         ` Nick S. Grechukh
2005-03-25 11:26           ` Овечкин Влад
2005-03-25  9:49             ` Nick S. Grechukh
2005-03-26 11:38               ` Овечкин Влад
2005-03-28  9:52                 ` Nick S. Grechukh
2005-03-29 14:49                   ` Овечкин Влад
2005-03-29 15:14                     ` Nick S. Grechukh
2005-03-30  6:53                       ` [Comm]Проблемы " Овечкин Влад
2005-03-25  4:29 ` [Comm] Проблемы " Mike Lykov
2005-03-25  7:09   ` [Comm]Проблемы " Овечкин Влад
2005-03-28  3:43     ` Mike Lykov
2005-03-29 12:38       ` Овечкин Влад

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git