URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90556
[ Назад ]

Исходное сообщение
"squid ntlm аутентификация"
Отправлено merfi , 16-Дек-10 17:39

у меня squid + AD (ntlm)
пользователей 100 чел
иногда браузер запрашивает логин/пароль
такое впечатление , что отваливается связь с контроллером домена
есть под зрение что это ограничение количества подключений
тыкаешься раз по 5 , а потом пускает в Инет
Вопрос
как можно увеличить количество подключений (это или samba или kerberos или winbind )

Содержание

squid ntlm аутентификация,koblin, 09:14 , 17-Дек-10
- squid ntlm аутентификация,zandyg, 12:21 , 17-Дек-10
  - squid ntlm аутентификация,merfi, 12:10 , 27-Дек-10
  - squid ntlm аутентификация,merfi, 12:11 , 27-Дек-10
    - squid ntlm аутентификация,zandyg, 06:25 , 28-Дек-10
      - squid ntlm аутентификация,zandyg, 06:28 , 28-Дек-10
        
        squid ntlm аутентификация,merfi, 09:19 , 28-Дек-10
        
        squid ntlm аутентификация,zandyg, 09:29 , 28-Дек-10
        
        squid ntlm аутентификация,merfi, 09:37 , 28-Дек-10
        
        squid ntlm аутентификация,zandyg, 12:16 , 28-Дек-10
        
        squid ntlm аутентификация,merfi, 13:05 , 28-Дек-10
        
        squid ntlm аутентификация,zandyg, 13:19 , 28-Дек-10
        
        squid ntlm аутентификация,merfi, 13:42 , 28-Дек-10
        
        squid ntlm аутентификация,zandyg, 14:02 , 28-Дек-10
        squid ntlm аутентификация,merfi, 14:06 , 28-Дек-10
squid ntlm аутентификация,Moomintroll, 19:39 , 29-Дек-10
- squid ntlm аутентификация,merfi, 12:12 , 30-Дек-10
  - squid ntlm аутентификация,merfi, 12:38 , 30-Дек-10
  - squid ntlm аутентификация,ALex_hha, 15:47 , 01-Янв-11
- squid ntlm аутентификация,merfi, 14:35 , 18-Янв-11

Сообщения в этом обсуждении

"squid ntlm аутентификация"
Отправлено koblin , 17-Дек-10 09:14

> такое впечатление , что отваливается связь с контроллером домена
> есть под зрение что это ограничение количества подключений
ну почему никто не читает логи, зачем гадать?! там наверняка указана точная причина и погуглив ошибку - найдете решение

"squid ntlm аутентификация"
Отправлено zandyg , 17-Дек-10 12:21

Логи действительно надо посмотреть. А скорее всего надо увеличить число
auth_param ntlm children

"squid ntlm аутентификация"
Отправлено merfi , 27-Дек-10 12:10

> Логи действительно надо посмотреть. А скорее всего надо увеличить число
> auth_param ntlm children
auth_param ntlm children = 150
ошибка 407
Причем возникает моментально при поытки отправить файл через почту Например зашел пользователь на Yuandex и пытается пристегнуть файл Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной.
Сто может такое происходить . Очень нужна помошь .

"squid ntlm аутентификация"
Отправлено merfi , 27-Дек-10 12:11

> Логи действительно надо посмотреть. А скорее всего надо увеличить число
> auth_param ntlm children
auth_param ntlm children = 150
ошибка 407
Причем возникает моментально при попытке отправить файл через почту. Например зашел пользователь на Yandex и пытается пристегнуть файл. Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной. Барузер IE 7 по умолчанию
Сто может такое происходить . Очень нужна помошь .

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 06:25

squid.conf неплохо бы было показать обществу.

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 06:28

> squid.conf неплохо бы было показать обществу.
и версию squid тоже.

"squid ntlm аутентификация"
Отправлено merfi , 28-Дек-10 09:19

>> squid.conf неплохо бы было показать обществу.
> и версию squid тоже.
squid 3.0
squid.conf почти весь закоментирован
вынес настройки по файлам
Вот наиболее важные параметры
include /etc/squid/includes/auth.conf
include /etc/squid/includes/acl.conf
include /etc/squid/includes/http_access.conf
icp_access allow localnet
icp_access deny all
http_port 8080
cache_mem 2048 MB
maximum_object_size_in_memory 4096 KB
memory_replacement_policy lru
cache_dir ufs /var/cache/squid 10960 36 256
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
pid_filename /var/run/squid.pid
вот auth.conf
auth_param ntlm children 150
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 150
auth_param basic realm Domain Squid Proxy Server One
auth_param basic credentialsttl 6 hours
В день не менее 500 человек ломится в инет

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 09:29

Это вообще всё под какой ОС работает?

"squid ntlm аутентификация"
Отправлено merfi , 28-Дек-10 09:37

> Это вообще всё под какой ОС работает?
Вообще под RHEL 4
4 ГБ RAM
Все работает прекрасно . Просто иногда запрашивает аутентификацию . Именно иногда , не постоянно

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 12:16

У меня Squid версии 2.x работает под FreeBSD 6.х Различия в синтаксисе squid.conf для версии 2.х и 3.х наверняка имеются, но общий смысл думаю одинаков. В squid.conf авторизация у меня прописана так:
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 8
auth_param ntlm keep_alive on
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 2
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 30 minutes
auth_param basic casesensitive off
Для Samba в smb.conf секция [global]
winbind offline logon = true
winbind cache time = 900
Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.

"squid ntlm аутентификация"
Отправлено merfi , 28-Дек-10 13:05

>[оверквотинг удален]
> auth_param ntlm keep_alive on
> auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> auth_param basic children 2
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 30 minutes
> auth_param basic casesensitive off
> Для Samba в smb.conf секция [global]
> winbind offline logon = true
> winbind cache time = 900
> Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.
Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С чем связяно

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 13:19

> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
> чем связяно
Меня это не "напрягает", так как это происходит очень редко. Пользователи не жалуются.
А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html

"squid ntlm аутентификация"
Отправлено merfi , 28-Дек-10 13:42

>> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
>> чем связяно
> Меня это не "напрягает", так как это происходит очень редко. Пользователи не
> жалуются.
> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html
Ссылку посмоерел . Спасибо
Тока вот что странно как у него без password server работает ntlm авторизация
У меня 2 контроллера AD и я в Password server указваю имена обоих (для отказоустойчивости)
естественно имена DNS в resolv.conf
а в smb.conf
winbind use default domain = true
winbind offline logon = false

"squid ntlm аутентификация"
Отправлено zandyg , 28-Дек-10 14:02

> winbind use default domain = true
> winbind offline logon = false
А надо бы
winbind use default domain = no
winbind offline logon = true
Этот параметр определяет можно ли осуществлять подключение с модулем pam_winbind используя Cached Credentials. Если позволено, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кеше в зашифрованном виде.
и увеличить(по умолчанию 300 сек)
winbind cache time =

"squid ntlm аутентификация"
Отправлено merfi , 28-Дек-10 14:06

>[оверквотинг удален]
>> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html
> Ссылку посмоерел . Спасибо
> Тока вот что странно как у него без password server работает ntlm
> авторизация
> У меня 2 контроллера AD и я в Password server указваю имена
> обоих (для отказоустойчивости)
> естественно имена DNS в resolv.conf
> а в smb.conf
> winbind use default domain = true
> winbind offline logon = false
Да и кстати winbind cache time = 600 вообще вытер за ненадобностью Никакие пароли winbind кэшировать не будет . И не надо .... А то как то раз рухнул кэш winbind . это был фильм

"squid ntlm аутентификация"
Отправлено Moomintroll , 29-Дек-10 19:39

> у меня squid + AD (ntlm)
> пользователей 100 чел
> иногда браузер запрашивает логин/пароль
И всё мимо...
На самом деле копать надо совсем в другую сторону - убери "auth_param ntlm keep_alive on", ибо:
# "keep_alive" on|off
# Whether to keep the connection open after the initial response where
# Squid tells the browser which schemes are supported by the proxy.
# Some browsers are known to present many login popups or to corrupt
# POST/PUT requests transfer if the connection is not closed.
# The default is currently OFF to avoid this, but may change.

"squid ntlm аутентификация"
Отправлено merfi , 30-Дек-10 12:12

>[оверквотинг удален]
> # "keep_alive" on|off
>  # Whether to keep the connection open after the initial response
> where
>  # Squid tells the browser which schemes are supported by the
> proxy.
>  # Some browsers are known to present many login popups or
> to corrupt
>  # POST/PUT requests transfer if the connection is not closed.
>  # The default is currently OFF to avoid this, but may
> change.
Я скорее всего ошибаюсь но мне кажется что если поставить в off то вообще как то терятся будет смысл авторизации Наверное всетаки придется прикрутить Openldap и синхрить его с АД

"squid ntlm аутентификация"
Отправлено merfi , 30-Дек-10 12:38

>[оверквотинг удален]
>>  # Squid tells the browser which schemes are supported by the
>> proxy.
>>  # Some browsers are known to present many login popups or
>> to corrupt
>>  # POST/PUT requests transfer if the connection is not closed.
>>  # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АД
Хотя я тут покрутился и... Низкое человеческое спасибо за ценный совет

"squid ntlm аутентификация"
Отправлено ALex_hha , 01-Янв-11 15:47

>[оверквотинг удален]
>>  # Squid tells the browser which schemes are supported by the
>> proxy.
>>  # Some browsers are known to present many login popups or
>> to corrupt
>>  # POST/PUT requests transfer if the connection is not closed.
>>  # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АД
о ло ло, ты хоть представляешь насколько это сложно и геморно?! :)

"squid ntlm аутентификация"
Отправлено merfi , 18-Янв-11 14:35

>[оверквотинг удален]
> # "keep_alive" on|off
>  # Whether to keep the connection open after the initial response
> where
>  # Squid tells the browser which schemes are supported by the
> proxy.
>  # Some browsers are known to present many login popups or
> to corrupt
>  # POST/PUT requests transfer if the connection is not closed.
>  # The default is currently OFF to avoid this, but may
> change.
Вот так и сделал Уже 3 недели нет проблем тьфу-тьфу