Вот такая задача - есть MSProxy 2.0, который смотрит наружу одним интерфейсом и внутрь - другим. Внутри на некой машине нужно поставить squid, при этом доступ разграничивать должен MSProxy, а все пользователи - ходить через squid. Т.е., нужно настроить сквид так, чтобы:1. Все запросы, приходящие из внутренней сетки, он перебрасывал на MSProxy
2. Он кэшировал полученные от MSProxy данные
3. Он не мешал MSProxy авторизировать пользователейP.S. Я понимаю, что картина получается, мягко говоря, moo-дацкая, но такова задача. Надеюсь на помощь знатоков. Заранее спасибо.
>1. Все запросы, приходящие из внутренней сетки, он перебрасывал на MSProxy
Без проблем>2. Он кэшировал полученные от MSProxy данные
Без проблем>3. Он не мешал MSProxy авторизировать пользователей
http://www.squid-cache.org/Doc/FAQ/FAQ.txt:
Why we cannot proxy NTLM even though we can use it. Quoting from
summary at the end of the browser authentication section in this
article
<http://support.microsoft.com/support/kb/articles/Q198/1/16.A...:
In summary, Basic authentication does not require an
implicit end-to-end state, and can therefore be used through
a proxy server. Windows NT Challenge/Response authentication
requires implicit end-to-end state and will not work through
a proxy server.
>>1. Все запросы, приходящие из внутренней сетки, он перебрасывал на MSProxy
>Без проблемА куда ткнуться?
>
>>2. Он кэшировал полученные от MSProxy данные
>Без проблемАналогично :)
>>3. Он не мешал MSProxy авторизировать пользователей
>http://www.squid-cache.org/Doc/FAQ/FAQ.txt:
>Why we cannot proxy NTLM even though we can use it.
>Quoting from
> summary at the end of the browser authentication section in
>this
> article
> <http://support.microsoft.com/support/kb/articles/Q198/1/16.A...:
> In summary, Basic authentication does
>not require an
> implicit end-to-end state, and can
>therefore be used through
> a proxy server. Windows NT
>Challenge/Response authentication
> requires implicit end-to-end state and
>will not work through
> a proxy server.Угу... А что делать? Тогда ведь получается, что сквид должен сам каким-то образом авторизироваться на MSProxy от имени какого-либо пользователя, а разграничение доступа проводить уже на сквиде?
Короче говоря, почти разобрался. Поставил в cache_peer MSProxy-ю с опцией login=PASS. Всё почти работает, но проблема в том, что не работает авторизация на других сайтах. В логе видно .../401, клиент получает окошко с предложением ввести логин/пароль, а дальше - тишина.>>>1. Все запросы, приходящие из внутренней сетки, он перебрасывал на MSProxy
>>Без проблем
>
>А куда ткнуться?
>
>>
>>>2. Он кэшировал полученные от MSProxy данные
>>Без проблем
>
>Аналогично :)
>
>>>3. Он не мешал MSProxy авторизировать пользователей
>>http://www.squid-cache.org/Doc/FAQ/FAQ.txt:
>>Why we cannot proxy NTLM even though we can use it.
>>Quoting from
>> summary at the end of the browser authentication section in
>>this
>> article
>> <http://support.microsoft.com/support/kb/articles/Q198/1/16.A...:
>> In summary, Basic authentication does
>>not require an
>> implicit end-to-end state, and can
>>therefore be used through
>> a proxy server. Windows NT
>>Challenge/Response authentication
>> requires implicit end-to-end state and
>>will not work through
>> a proxy server.
>
>Угу... А что делать? Тогда ведь получается, что сквид должен сам каким-то
>образом авторизироваться на MSProxy от имени какого-либо пользователя, а разграничение доступа
>проводить уже на сквиде?