The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"squid + ntlm аутентификация"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"squid + ntlm аутентификация"  +/
Сообщение от slava007 email(ok) on 17-Ноя-16, 11:38 
Добрый день.
Имеется squid 3.5.22

Squid Cache: Version 3.5.22
Service Name: squid
configure options:  '--build=x86_64-linux-gnu' '--program-prefix=' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--exec_prefix=/usr' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=file_userip,LDAP_group,session,unix_group,wbinfo_group,SQL_session' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--with-large-files' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-pthreads' '--prefix=/usr' 'build_alias=x86_64-linux-gnu'

так же имеется проблема ntlm аутентификации на sharepoint сервере. В журнале access прокси имеются такие записи:

1478880114.577 3 192.168.103.156 TCP_MISS/401 866 POST http://sharepointsrv/sites/portal/Company/PhoneBase.aspx - HIER_DIRECT/192.168.11.40 -

Напрямую, без прокси, аутентификация с рабочей станции происходит корректно.

Почитав немного документацию, пришел к выводу, что в случае с проксированием ntlm аутентификации  hierarchy status должен быть PINNED вместо HIER_DIRECT. Поправил в конфиге директиву http_port, добавив параметр connection-auth=on (хоть, как пишут, по умолчанию о должен быть включен)

http_port 3128  tcpkeepalive=30,10,60 connection-auth=on

однако должного эффекта это не возымело.

Так же имеется другой прокси версии 3.1.8 и следующей конфигурации:

Squid Cache: Version 3.1.8
configure options:  '--build=i386-redhat-linux-gnu' '--host=i386-redhat-linux-gnu' '--target=i386-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--exec_prefix=/usr' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--with-large-files' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=i386-redhat-linux-gnu' 'host_alias=i386-redhat-linux-gnu' 'target_alias=i386-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i386 -mtune=generic -fasynchronous-unwind-tables' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i386 -mtune=generic -fasynchronous-unwind-tables' --with-squid=/builddir/build/BUILD/squid-3.1.8 --enable-ltdl-convenience

данный сервер проксирование ntlm осуществляет корректно:

1479369471.703    490 192.168.103.156 TCP_MISS/200 38724 POST http://sharepointsrv/sites/portal/Company/PhoneBase.aspx - PINNED/192.168.11.40 text/html

Различие между конфигурациями серверов  3.1 и 3.5 это то, что на 3.1 установлена samba+winbind однако, насколько я понял, samba+winbind необходимы для ntlm аутентификации на самом прокси сервере, а не на sharepoint сервере.
Подскажите, пожалуйста, в чем может быть проблема.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid + ntlm аутентификация"  +/
Сообщение от eRIC (ok) on 18-Ноя-16, 11:23 
squid 3.5.22 vs 3.1.8

'--enable-auth' vs '--enable-auth=basic,digest,ntlm,negotiate'

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid + ntlm аутентификация"  +/
Сообщение от slava007 email(ok) on 18-Ноя-16, 12:21 
> squid 3.5.22 vs 3.1.8
> '--enable-auth' vs '--enable-auth=basic,digest,ntlm,negotiate'

Благодарю за ответ, к сожалению данный параметр не работает в новых версиях сквида, вероятно часть функционала данного ключа перемещено в --enable-ntlm-auth-helpers

~/squid-3.5.22$ ./configure --enable-auth=basic,digest,ntlm,negotiate
...
configure: error: unrecognized argument to --enable-auth: basic,digest,ntlm,negotiate

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "squid + ntlm аутентификация"  +/
Сообщение от slava007 email(ok) on 18-Ноя-16, 15:16 
>> squid 3.5.22 vs 3.1.8
>> '--enable-auth' vs '--enable-auth=basic,digest,ntlm,negotiate'
> Благодарю за ответ, к сожалению данный параметр не работает в новых версиях
> сквида, вероятно часть функционала данного ключа перемещено в --enable-ntlm-auth-helpers
> ~/squid-3.5.22$ ./configure --enable-auth=basic,digest,ntlm,negotiate
> ...
> configure: error: unrecognized argument to --enable-auth: basic,digest,ntlm,negotiate

ошибочка, не в --enable-ntlm-auth-helpers а в --enable-auth-ntlm


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor