» Проблема с squidNT

vlary
чем больше читаю то что нашел сам и то что вы мне накидали, тем больше убеждаюсь в истиности моих суждений)))
Директивы delay_access и http_access считываются независимо и применяются к клиенту последовательно (начиная с http_access разумеется).

p.s. по скольку работаю по совместительству, то если завтра доберусь до работы у будет время и возможность, то проверю все сомнения... delay_pool и счейчас у меня вроде как работает, стоя в конце конфига. Точно сказать не могу, но вроде как у юзеров канал меньше чем у меня, по ощущениям так точно... При проверке буду до пары байт резать...

Alukardd Не знаю, я помня о последовательном выполнении правил, всегда предпочитал не рисковать, и размещал их примерно так, как в последней статье, сначала delay_access, а потом http_access. Проверить не могу, поскольку с появлением в конторе безлимита не только убрал их из акцесс-листов, но и свежий сквид собрал без их поддержки.

Ну вы и шуму наделали
http_access и delay_access совершенно разные весчи и выполняются совместно. Вернее http может обойтись без delay, a для delay нужен http.
Первый впустил в инет а второй нарезал лимиты. И при чем тут один отработал и до второго очередь дошла или не дошла?

Сегодня пришел на работу и вылез новый косяк. Впринципе всё работает, только у юзеров вываливается панель авторизации с сообщением от сервера "тра-та-та. Сайт говорит: "" ". Жму отмена и после этого вторая панель с сообщением "тра-та-та. Сайт говорит: "Squid Proxy-server" ". С первой панели авторизация не канает.

Код: http_port 192.168.10.1:3128
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 8
auth_param ntlm keep_alive on
auth_param basic program c:/squid/libexec/mswin_auth.exe
auth_param basic children 5
auth_param basic realm Squid Proxy-server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
auth_param basic blankpassword on

authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
cache_access_log c:/squid/var/logs/access.log

acl ProxyUsers proxy_auth REQUIRED
http_access allow ProxyUsers
http_access deny all

acl ThinStation proxy_auth test aiman zevan
acl Admin proxy_auth bagol

delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 allow ThinStation
delay_access 1 deny all
delay_access 2 allow Admin
delay_access 2 deny all

delay_parameters 1 15000/64000
delay_parameters 2 -1/-1

О! не ожидал такой реакции....

Думал обойдётся без дополнительных боёв.
http_access и delay_access - это разные контексты, никак не пересекающиеся между собой.
Первый разрешает доступ к http, а второй к пулу. Всё остальное - это рассуждения и отход от темы.

bagol
Где конфиг?

Добавлено:

Цитата:

Жму отмена и после этого вторая панель с сообщением "тра-та-та. Сайт говорит: "Squid Rroxy-server" ". С первой панели авторизация не канает.

включи отладку на ntlm и запости сюда кусок cache.log

bagol

Цитата:

Сегодня пришел на работу и вылез новый косяк.

Таки естественно. В конфиге одновременно присутствуют
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param basic program c:/squid/libexec/mswin_auth.exe
Уж что-либо одно...

vlary
Цитата:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param basic program c:/squid/libexec/mswin_auth.exe
Уж что-либо одно...

совсем не обязательно что-то одно, попытка выполнить auth_param идёт до первого успешного аутентификатора, хоть их там 2, хоть 22... Если убрать 2-ю строку то вы лишаете клиентов с FF всякой возможности пройти аутентификацию на прокси сервере.

vlary

Цитата:

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param basic program c:/squid/libexec/mswin_auth.exe

Не бережешь ты себя Отдохнуть бы надо...

Всё правильно написано... Если не отработает ntlm, значит будет требовать mswin.

Alukardd

Цитата:

Если убрать 2-ю строку то вы лишаете клиентов с FF всякой возможности пройти аутентификацию на прокси сервере.

Эка народ уже винду забывать начал

FF прекрасно работает с ntlm, мож с оперой перепутал?

Увы, закоментил mswin_ntlm_auth.exe и авторизация осталась только одна, которая логинит.
И чего ему не нравится ntlm авторизация?

bagol

Цитата:

И чего ему не нравится ntlm авторизация?

Цитата:

включи отладку на ntlm и запости сюда кусок cache.log

Цитата:

FF прекрасно работает с ntlm, мож с оперой перепутал?

про Opera вообще ни чего не знаю, в сетки она только на 1 машине по личной просьбе, так FF, IE в редких случаях Chrom. И вправду поддерживает, блин надо ntlm авторизацию настроить...

Хотя тут есть засада, у меня есть профили(те что доменные) которые привязаны к компам, так вот они не работают через ldap_auth - пришлось еще учетку для инета им создать... Хз во что это выльется в случае ntlm... А-а-а-а, скажите мне что я идиот и что если разрешить вход этой учетки с прокси сервера то она заработает... Пошёл биться головой о стену и проверять...

Код: mswin_ntlm_auth[6496]: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' from Squid
mswin_ntlm_auth[6496]: attempting SSPI challenge retrieval
mswin_ntlm_auth[6496]: Got it
mswin_ntlm_auth[6496]: sending 'TT TlRMTVNTUAACAAAAEAAQADgAAAAFgomiK1lbEd3vUSkAAAAAAAAAAJoAmgBIAAAABgGwHQAAAA9VAEcARQBOAEUAUgBHAE8AAgAQAFUARwBFAE4ARQBSAEcATwABAAgAWABFAE8ATgAEABwAdQBnAGUAbgBlAHIAZwBvAC4AbABvAGMAYQBsAAMAJgBYAEUATwBOAC4AdQBnAGUAbgBlAHIAZwBvAC4AbABvAGMAYQBsAAUAHAB1AGcAZQBuAGUAcgBnAG8ALgBsAG8AYwBhAGwABwAIAMAlN89+x8sBAAAAAA==' to squid
mswin_ntlm_auth[6496]: Got 'KK TlRMTVNTUAADAAAAGAAYAHoAAAAYABgAkgAAABAAEABYAAAACgAKAGgAAAAIAAgAcgAAAAAAAACqAAAABYKIogYBsB0AAAAPgh7/d2Nu7raBpG6OQG9f9VUARwBFAE4ARQBSAEcATwBiAGEAZwBvAGwAWABFAE8ATgBrafFokmG6rQAAAAAAAAAAAAAAAAAAAABoMW7BMN0pKG/hwvVHAMgZEONCJ+8xyuc=' from Squid
mswin_ntlm_auth[6496]: checking domain: 'UGENERGO', user: 'bagol'
mswin_ntlm_auth[6496]: Login attempt had result 0
mswin_ntlm_auth[6496]: sending 'NA Вход в систему не произведен: имя пользователя или пароль не опознаны.' to squid
mswin_ntlm_auth[6496]: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' from Squid
mswin_ntlm_auth[6496]: attempting SSPI challenge retrieval
mswin_ntlm_auth[6496]: Got it
mswin_ntlm_auth[6496]: sending 'TT TlRMTVNTUAACAAAAEAAQADgAAAAFgomiD+9runrkWMcAAAAAAAAAAJoAmgBIAAAABgGwHQAAAA9VAEcARQBOAEUAUgBHAE8AAgAQAFUARwBFAE4ARQBSAEcATwABAAgAWABFAE8ATgAEABwAdQBnAGUAbgBlAHIAZwBvAC4AbABvAGMAYQBsAAMAJgBYAEUATwBOAC4AdQBnAGUAbgBlAHIAZwBvAC4AbABvAGMAYQBsAAUAHAB1AGcAZQBuAGUAcgBnAG8ALgBsAG8AYwBhAGwABwAIAObsiN1+x8sBAAAAAA==' to squid
mswin_ntlm_auth[6496]: Got 'KK TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAAAAABYAAAACgAKAFgAAAAIAAgAYgAAAAAAAACaAAAABYKIogYBsB0AAAAPGwHnt4Bk5bg7/79UHmjWbGIAYQBnAG8AbABYAEUATwBOAIzP8Iu/mk2aAAAAAAAAAAAAAAAAAAAAACoyJtD40nLbpJRZJkD6GbX+k/R0kMBLVg==' from Squid
mswin_ntlm_auth[6496]: No domain supplied. Returning no-auth
mswin_ntlm_auth[6496]: sending 'NA Incorrect Request Format' to squid

Цитата:

А-а-а-а, скажите мне что я идиот и что если разрешить вход этой учетки с прокси сервера то она заработает... Пошёл биться головой о стену и проверять...

нет не помогло... пройдёт ли ntlm в такой ситуации?

bagol
Там должно быть несколько раз подряд... По идее 3 раза, на третий обычно удачная авторизация - это принцип NTLM

Добавлено:
Alukardd

Цитата:

пройдёт ли ntlm в такой ситуации?

Если честно то нифига не понял.

Цитата:

на третий обычно удачная авторизация

эт чё типа русская рулетка чтоли? или прикалываешься?

Ruza
Цитата:

Если честно то нифига не понял.

я потом задам вопрос в теме под *nix, когда попробую перенастроить авторизацию) там и поговорим)))

bagol

Цитата:

эт чё типа русская рулетка чтоли?

Я разве тут в рулетку играю???
Я ж написал что это специфика ntlm
Первый раз отправляется имя/пароль
Втрой имя@имя-компа/пароль
Третий имя@имя-домена/пароль (если AD то на 3-й раз будет удачная авторизация)

Alukardd

Цитата:

когда попробую перенастроить авторизацию) там и поговорим)))

Не вопрос.

Насколько понимаю с ntlm авторизайией все равно вываливается панель аусвайса?
Вот это ведь он четко видит.
Цитата:

mswin_ntlm_auth[6496]: checking domain: 'UGENERGO', user: 'bagol'

Нафига задавать тогда лишние вопросы?. Зная пасс соседа (в маленькой компании не особый секрет) заходишь и гоняешь инет, а вопросы соседу например "что ты делал на порнухе?". Смысл тогда в такой авторизации?

bagol

Цитата:

Насколько понимаю с ntlm авторизайией все равно вываливается панель аусвайса?

Нет.

Цитата:

Нафига задавать тогда лишние вопросы?. Зная пасс соседа (в маленькой компании не особый секрет) заходишь и гоняешь инет, а вопросы соседу например "что ты делал на порнухе?". Смысл тогда в такой авторизации?

Ну ты же сам захотел, не?

Возвращаемся к нашим... ну вобщем сами знаете.
Итак, есть AD и TS. Есть юзера с сессиями. Есть сквид. И нужно его так разрулить, чтобы небыло левой авторизации и можно было нарезать инет конкретным юзерам по их потребности.
Теперь то что имеем с вашей помощью.
Basic всем хорош кроме необходимости аутентификации.
Ntlm чтото не пошел, а именно FF всеравно требует аусвайса, причем не принимает его ни с 3-го ни с 5-го раза. IE ничего не просит но ничего и не даёт. Вот такие пироги.

Цитата:

Возвращаемся к нашим...

Угу...

Цитата:

Ntlm чтото не пошел

Рассказывай про сеть... Какие контроллеры, какие серверы.

Выдержки из журналов security как терминала так и доменного контроллера...

Сервер W2008SR2, DC, TS, сетевая загрузка терминалов. Вобщем ничего военного.

bagol
Цитата:

И нужно его так разрулить, чтобы небыло левой авторизации

Помнится, я тебе советовал ident. Не смотрел в ту сторону? Это единственный вариант без аусвайса, но с получением сведений о юзере.

Итак кое чего нарыл насчет ident
Вот сервер
Когда ставится как служба все запросы возвращаются с именем Администратор не зависимо с какого профиля пришел запрос. Если как приложение в профиле юзера - всё пучком, но это не удобно.
А минимальный конфиг такой
Код: http_port 192.168.10.1:3128
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
cache_access_log c:/squid/var/logs/access.log
acl Admin ident bagol
http_access allow Admin
http_access deny all

bagol

Цитата:

Если как приложение в профиле юзера - всё пучком, но это не удобно.

А никто не обещал, что будет легко. Тут одно из двух, легко либо юзеру, либо админу.

Если не вдаваться в детали это то чего хотел. Нужно только тюнинг навести.
Спасибо vlary и всем кто не обошел стороной.

bagol

Цитата:

Сервер W2008SR2

Для ntlm возможно настройки безопасности надо подкрутить...

Цитата:

Control Panel - Administrative Tools - Local Security Policy

Local Policies - Security Options



Network security: LAN Manager authentication level
Send LM & NTLM responses

Minimum session security for NTLM SSP
Disable Require 128-bit encryption

У меня всё что относится к NTLM всё неопределено. А что покрутить нада?

bagol

Цитата:

А что покрутить нада?

Control Panel - Administrative Tools - Local Security Policy

Local Policies - Security Options



Network security: LAN Manager authentication level
Send LM & NTLM responses

Minimum session security for NTLM SSP
Disable Require 128-bit encryption

В случае с доменом возможно надо будет сделать тоже самое с доменной политикой

bagol
Цитата:

Нужно только тюнинг навести.

Тут можно тюнинг навести через акцесс листы, тем, что по ident будут аутентифицироваться только юзеры с терминального сервера, а все кто ходит со своих компов, будут контролироваться по айпи.

Ruza Заработало только в IE, FF просит всёравно пароль. Скорее всего это фишка самого FF. Изменил только в локальной политике Network security: LAN Manager authentication level, шифровка по умолчанию стоит какая нада.
Будем посмотреть какой из вариантов приживется. Есть еще несколько задач требующих авторизации.
Благодарю великих гуру !!!