у меня squid + AD (ntlm)
пользователей 100 чел
иногда браузер запрашивает логин/пароль
такое впечатление , что отваливается связь с контроллером домена
есть под зрение что это ограничение количества подключений
тыкаешься раз по 5 , а потом пускает в Инет
Вопрос
как можно увеличить количество подключений (это или samba или kerberos или winbind )
> такое впечатление , что отваливается связь с контроллером домена
> есть под зрение что это ограничение количества подключенийну почему никто не читает логи, зачем гадать?! там наверняка указана точная причина и погуглив ошибку - найдете решение
Логи действительно надо посмотреть. А скорее всего надо увеличить число
auth_param ntlm children
> Логи действительно надо посмотреть. А скорее всего надо увеличить число
> auth_param ntlm childrenauth_param ntlm children = 150
ошибка 407
Причем возникает моментально при поытки отправить файл через почту Например зашел пользователь на Yuandex и пытается пристегнуть файл Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной.
Сто может такое происходить . Очень нужна помошь .
> Логи действительно надо посмотреть. А скорее всего надо увеличить число
> auth_param ntlm childrenauth_param ntlm children = 150
ошибка 407
Причем возникает моментально при попытке отправить файл через почту. Например зашел пользователь на Yandex и пытается пристегнуть файл. Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной. Барузер IE 7 по умолчанию
Сто может такое происходить . Очень нужна помошь .
squid.conf неплохо бы было показать обществу.
> squid.conf неплохо бы было показать обществу.и версию squid тоже.
>> squid.conf неплохо бы было показать обществу.
> и версию squid тоже.squid 3.0
squid.conf почти весь закоментирован
вынес настройки по файлам
Вот наиболее важные параметрыinclude /etc/squid/includes/auth.conf
include /etc/squid/includes/acl.conf
include /etc/squid/includes/http_access.conf
icp_access allow localnet
icp_access deny all
http_port 8080
cache_mem 2048 MB
maximum_object_size_in_memory 4096 KB
memory_replacement_policy lru
cache_dir ufs /var/cache/squid 10960 36 256
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
pid_filename /var/run/squid.pidвот auth.conf
auth_param ntlm children 150
auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 150
auth_param basic realm Domain Squid Proxy Server One
auth_param basic credentialsttl 6 hoursВ день не менее 500 человек ломится в инет
Это вообще всё под какой ОС работает?
> Это вообще всё под какой ОС работает?Вообще под RHEL 4
4 ГБ RAMВсе работает прекрасно . Просто иногда запрашивает аутентификацию . Именно иногда , не постоянно
У меня Squid версии 2.x работает под FreeBSD 6.х Различия в синтаксисе squid.conf для версии 2.х и 3.х наверняка имеются, но общий смысл думаю одинаков. В squid.conf авторизация у меня прописана так:auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 8
auth_param ntlm keep_alive on
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 2
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 30 minutes
auth_param basic casesensitive offДля Samba в smb.conf секция [global]
winbind offline logon = true
winbind cache time = 900Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.
>[оверквотинг удален]
> auth_param ntlm keep_alive on
> auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> auth_param basic children 2
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 30 minutes
> auth_param basic casesensitive off
> Для Samba в smb.conf секция [global]
> winbind offline logon = true
> winbind cache time = 900
> Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С чем связяно
> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
> чем связяноМеня это не "напрягает", так как это происходит очень редко. Пользователи не жалуются.
А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html
>> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
>> чем связяно
> Меня это не "напрягает", так как это происходит очень редко. Пользователи не
> жалуются.
> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.htmlСсылку посмоерел . Спасибо
Тока вот что странно как у него без password server работает ntlm авторизация
У меня 2 контроллера AD и я в Password server указваю имена обоих (для отказоустойчивости)естественно имена DNS в resolv.conf
а в smb.conf
winbind use default domain = true
winbind offline logon = false
> winbind use default domain = true
> winbind offline logon = falseА надо бы
winbind use default domain = no
winbind offline logon = true
Этот параметр определяет можно ли осуществлять подключение с модулем pam_winbind используя Cached Credentials. Если позволено, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кеше в зашифрованном виде.и увеличить(по умолчанию 300 сек)
winbind cache time =
>[оверквотинг удален]
>> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html
> Ссылку посмоерел . Спасибо
> Тока вот что странно как у него без password server работает ntlm
> авторизация
> У меня 2 контроллера AD и я в Password server указваю имена
> обоих (для отказоустойчивости)
> естественно имена DNS в resolv.conf
> а в smb.conf
> winbind use default domain = true
> winbind offline logon = falseДа и кстати winbind cache time = 600 вообще вытер за ненадобностью Никакие пароли winbind кэшировать не будет . И не надо .... А то как то раз рухнул кэш winbind . это был фильм
> у меня squid + AD (ntlm)
> пользователей 100 чел
> иногда браузер запрашивает логин/парольИ всё мимо...
На самом деле копать надо совсем в другую сторону - убери "auth_param ntlm keep_alive on", ибо:
# "keep_alive" on|off
# Whether to keep the connection open after the initial response where
# Squid tells the browser which schemes are supported by the proxy.
# Some browsers are known to present many login popups or to corrupt
# POST/PUT requests transfer if the connection is not closed.
# The default is currently OFF to avoid this, but may change.
>[оверквотинг удален]
> # "keep_alive" on|off
> # Whether to keep the connection open after the initial response
> where
> # Squid tells the browser which schemes are supported by the
> proxy.
> # Some browsers are known to present many login popups or
> to corrupt
> # POST/PUT requests transfer if the connection is not closed.
> # The default is currently OFF to avoid this, but may
> change.Я скорее всего ошибаюсь но мне кажется что если поставить в off то вообще как то терятся будет смысл авторизации Наверное всетаки придется прикрутить Openldap и синхрить его с АД
>[оверквотинг удален]
>> # Squid tells the browser which schemes are supported by the
>> proxy.
>> # Some browsers are known to present many login popups or
>> to corrupt
>> # POST/PUT requests transfer if the connection is not closed.
>> # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АДХотя я тут покрутился и... Низкое человеческое спасибо за ценный совет
>[оверквотинг удален]
>> # Squid tells the browser which schemes are supported by the
>> proxy.
>> # Some browsers are known to present many login popups or
>> to corrupt
>> # POST/PUT requests transfer if the connection is not closed.
>> # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АДо ло ло, ты хоть представляешь насколько это сложно и геморно?! :)
>[оверквотинг удален]
> # "keep_alive" on|off
> # Whether to keep the connection open after the initial response
> where
> # Squid tells the browser which schemes are supported by the
> proxy.
> # Some browsers are known to present many login popups or
> to corrupt
> # POST/PUT requests transfer if the connection is not closed.
> # The default is currently OFF to avoid this, but may
> change.Вот так и сделал Уже 3 недели нет проблем тьфу-тьфу