Всем доброго времени суток!

Есть настроенный squid 3.1.10 на centos 6.5
Настроена kerberos авториазция и все вроде нормально

auth_param     negotiate       program /usr/lib64/squid/negotiate_wrapper_auth --ntlm /usr/lib64/squid/ntlm_smb_lm_auth -d -b  DOMAIN/DC02 DOMAIN/DC01 --kerberos /usr/lib64/squid/negotiate_kerberos_auth -r
auth_param     negotiate       children        20
auth_param     negotiate       keep_alive      off

auth_param     ntlm            program /usr/lib64/squid/ntlm_smb_lm_auth -b DOMAIN/DC01 DOMAIN/DC02
auth_param     ntlm            children        20
auth_param     ntlm            keep_alive      off

auth_param      basic           program /usr/lib64/squid/squid_ldap_auth -R -b "dc=domain,dc=com" -D "proxy_user@domain.com" -W /etc/squid/proxy_user.pass.txt -f sAMAccountName=%s 192.168.0.1 192.168.0.2
auth_param      basic           children        20

external_acl_type       ldap_group      ipv4 children=10 ttl=60 %LOGIN  /usr/lib64/squid/squid_ldap_group -d -b dc=domain,dc=com -f "(&(objectCategory=person)(objectClass=user)(sAMAccountName=%v)(memberOf=CN=%a,OU=Techno,DC=domain,DC=com))" -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1 192.168.0.2

Если заходить с раб станции которая в домене то все норм, пользователь авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться зайти с раб станции которая не в домене, то не получается авторизоваться, просто говорит что нет доступа и все, хотя вроде должно выводиться приглашение ввести логин и пароль при basic авторизации

Может у кого есть аналогичная конфигурация и он может помочь.

И самое странное что не работает только вроде с виндовых клиентов. С никсов и с мака вроде все норм.

• Squid kerberos ntlm ldap,mcshel, 12:41 , 23-Янв-14
• Squid kerberos ntlm ldap,opri, 16:31 , 23-Янв-14
  • Squid kerberos ntlm ldap,McLeod095, 15:19 , 24-Янв-14
    • Squid kerberos ntlm ldap,Mvairs, 17:56 , 28-Янв-14
      • Squid kerberos ntlm ldap,McLeod095, 18:20 , 28-Янв-14
        • Squid kerberos ntlm ldap,Mvairs, 14:46 , 29-Янв-14

>[оверквотинг удален]
> -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1
> 192.168.0.2
> Если заходить с раб станции которая в домене то все норм, пользователь
> авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться
> зайти с раб станции которая не в домене, то не получается
> авторизоваться, просто говорит что нет доступа и все, хотя вроде должно
> выводиться приглашение ввести логин и пароль при basic авторизации
> Может у кого есть аналогичная конфигурация и он может помочь.
> И самое странное что не работает только вроде с виндовых клиентов. С
> никсов и с мака вроде все норм.

Скорее всего в IE надо убрать галочку: Свойства обозревателя-> Дополнительно -> Секция безопасность Разрешить встроенную проверку подлинности Windows. Потом обязательно перезапуcтить IE

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, что не очень хочется в связи с тем что сервер находится в дмз, и ему samba вообще не нужна.

>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
> что не очень хочется в связи с тем что сервер находится
> в дмз, и ему samba вообще не нужна.

Проблема скорее всего в том что он пытается авторизоваться через NTLM - посмотрите cache.log, у меня пишет BH received type 1 NTLM token, кстати если оставить браузер включеным на 5 минут и попробовать еще раз то все нормально, так же хотел бы узнать решили ли Вы проблему ?:)

>>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
>> что не очень хочется в связи с тем что сервер находится
>> в дмз, и ему samba вообще не нужна.
> Проблема скорее всего в том что он пытается авторизоваться через NTLM -
> посмотрите cache.log, у меня пишет BH received type 1 NTLM token,
> кстати если оставить браузер включеным на 5 минут и попробовать еще
> раз то все нормально, так же хотел бы узнать решили ли
> Вы проблему ?:)

Пока не решил.
Но даже по логике должно работать по другому.

Первая попытка авторизации происходит при получении браузером запроса на авториазцию где будет выставлен метод negotiate. После чего отправляется ответ, и на стороне сквида идет анализ ответа и авторизация или по kerberos или ntlm. Но если авторизация не прошла по идее должен идти второй запрос авторизации при указании что надо авторизоваться обычным методом. И вот где-то здесь происходит затык. При этом если использовать никсы или мак то все норм работает а вот на винде которая не в домене никак не хочет.

И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя пользователя без домена? а то потом трудно тем же lightsquid отчеты делать

>[оверквотинг удален]
> будет выставлен метод negotiate. После чего отправляется ответ, и на стороне
> сквида идет анализ ответа и авторизация или по kerberos или ntlm.
> Но если авторизация не прошла по идее должен идти второй запрос
> авторизации при указании что надо авторизоваться обычным методом. И вот где-то
> здесь происходит затык. При этом если использовать никсы или мак то
> все норм работает а вот на винде которая не в домене
> никак не хочет.
> И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя
> пользователя без домена? а то потом трудно тем же lightsquid отчеты
> делать

Кстати тут ещё вопрос авторизации в скайпе Skype клиент банках через проксю и прочее =\
Для таких сервисов нужна basic =\