 SQUID+JavaApplets = не работают java-объекты,  Seltsam, 16-Мрт-06, 15:45 [смотреть все]ПРивет ВСЕМ!
Ребят, юзеры SQUID'а, такой вопрос: есть банковский сайтик, где используются всякие java-штуки (кнопочки по отправке файлов, загрузке всяких ключей и т.п.) - вот и не работает через сквид, точно не работает - java выкидывает окно на авторизацию доступа к прокси, при вводе логина/пароля снова несколько раз окно запроса и в итоге аплеты и т.п. не загружаются.
использую доменную авторизацию доступа к нету. в конфиге конечно прописано несколько acl по доступу к разным ресурсам (HTTP, FTP, porno ...)
вот кусочек логов Java Consol:
java.io.IOException: Unable to tunnel through proxy. Proxy returns "HTTP/1.0 407 Proxy Authentication Required"
at sun.net.www.protocol.http.HttpURLConnection.doTunneling(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.setProxiedClient(DashoA6275)
at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.superConnect(Unknown Source)
...
at java.security.AccessController.doPrivileged(Native Method)
at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.connect(Unknown Source)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(DashoA6275)
at sun.plugin.net.protocol.http.HttpUtils.followRedirects(Unknown Source)
......................
at sun.plugin.net.protocol.jar.CachedJarURLConnection.getJarFile(Unknown Source)
at sun.misc.URLClassPath$JarLoader.getJarFile(Unknown Source)
...
at sun.applet.AppletClassLoader.loadCode(Unknown Source)
at sun.applet.AppletPanel.createApplet(Unknown Source)
...
at java.lang.Thread.run(Unknown Source)
load: class SignApplet.class not found.
java.lang.ClassNotFoundException: SignApplet.class
at sun.applet.AppletClassLoader.findClass(Unknown Source)
...
at sun.applet.AppletPanel.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.IOException: open HTTP connection failed.
at sun.applet.AppletClassLoader.getBytes(Unknown Source)
at sun.applet.AppletClassLoader.access$100(Unknown Source)
at sun.applet.AppletClassLoader$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
... 11 moreв чём проблема? догадки - squid не пускает java-ресурсы по умолчанию, тогда каким образом это разрешить? |
- SQUID+JavaApplets = не работают java-объекты, ipmanyak, 09:14 , 17-Мрт-06 (1)
- SQUID+JavaApplets = не работают java-объекты, Seltsam, 10:04 , 17-Мрт-06 (2)
>джаву сквид пускает !
ну ладна-ладна... не кипятись только =)
я ж сказал, что это догадки, а не утверждение
возникло потому, что пробовал ставить разрешение на всё без всяких запретов доступа к урлам и т.д.
> или автроизация кривая либо аксели у тебя кривые
всё может быть - от ошибок никто не застрахован
вот для этого привожу свои аксели и аутентификацию (через самбу в вин домене):auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8 acl CONNECT method CONNECT http_access allow manager localhost
http_access deny manager
http_access deny to_localhost # Access to HTTP or HTTPS Sources
acl HTTP_dest port 443 80 8080 8108
# Access to FTP Sources
acl FTP_dest url_regex -i ^ftp:// # Name of Logon Users
acl LogonUser proxy_auth REQUIRED # List of Users for Access to HTTP(S)
acl inet_users proxy_auth -i "/etc/squid/access/inetusers.lst" # List of Users for Access to FTP
acl ftp_users proxy_auth -i "/etc/squid/access/ftpusers.lst" acl SSL_ports port 443
http_access allow CONNECT LogonUser inet_users SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny CONNECT !inet_users # Allow TO FTP
http_access allow LogonUser ftp_users FTP_dest
deny_info ERR_FTP_DENIED FTP_dest
http_access deny LogonUser !ftp_users FTP_dest # Allow TO HTTP
http_access allow LogonUser inet_users HTTP_dest
deny_info ERR_HTTP_DENIED HTTP_dest
http_access deny LogonUser !inet_users HTTP_dest http_access deny all
>java.io.IOException: Unable to tunnel through proxy. Proxy returns "HTTP/1.0 407 Proxy Authentication
>Required" - что за туннель требуется ?
а если б я знал... =/
- SQUID+JavaApplets = не работают java-объекты, ipmanyak, 10:44 , 17-Мрт-06 (3)
- SQUID+JavaApplets = не работают java-объекты, Seltsam, 11:11 , 17-Мрт-06 (4)
>возможно трабла с SSL ! пробуй изменить правила для SSL
>acl SSL_ports port 443
>acl CONNECT method CONNECT
>acl SSL_ports port 443
>http_access allow CONNECT LogonUser SSL_ports
>http_access allow CONNECT inet_users SSL_ports
>http_access deny CONNECT !SSL_ports
>остальные deny убери здесь
>
>http_access allow CONNECT LogonUser inet_users SSL_ports - применяет логическое "И"
>для всех трех ! разницу думаю понял ?
ну про разницу, точнее логическое "И", мне рассказывать не надо, с этим я уже сталкивался =) , поэтому и стал заморачиваться с более точными правилами доступа в Инет, вплоть до портов и урлов
почему использую именно такую конструкцию - http_access allow CONNECT LogonUser inet_users SSL_ports ? - чтобы пускать на SSL аутентифицированных юзерей из acl inet_users
можно здесь выкинуть LogonUser, но по-моему (раньше делал так) в таком случае будет запрос на ввод логина/пароля. При обращении на банковский сайт java типа сама (окошко запроса имеет символику jav'ы) сначала выводит мне окно с запросом логина/пароля - я ввожу и нифига не пускает, повторяется неск раз. в логах сквида вот что:
TCP_DENIED/407 454 HEAD http://sait.banka.ru:443/SignApplet.jar - NONE/- text/html
ну и далее с разными вещами джавы (.class и т.д.)>если не поможет - выпусти нужные станции напрямую через NAT/МАСКАРАД,
>без прокси
так наверно и придётся, т.к. сайтик пока слава ... один в наличии =)
Вопросик в таком случае - джава будет грузить всякие свои апплеты и т.д. с хоста банка, или обращаться на какие хосты разработчиков джавы? думаю вопрос понятен?
- SQUID+JavaApplets = не работают java-объекты, oprichnik, 14:42 , 21-Июл-06 (5)
- SQUID+JavaApplets = не работают java-объекты, Seltsam, 15:07 , 21-Июл-06 (6)
>Для обеспечения работы Java-апплетов с Сервером «iBank» через прокси-сервер Squid необходимо соблюдение
>следующих правил:
>
... ... ...
> 3. При запуске апплетов системы iBank пользователю нужно указывать
>ip адрес и порт (3128 по умолчанию) proxy-сервера Squid.
>
>Ок, биг сенкс
Пороюсь по настройкам как буду свободен более менее
Вопрос конечно уже давно был, но сенкс за подробности =)
Я уже сам потом понял, что авторизация не проходит, даж ацка не могёт
работать с авторизацией, пришлось выпускать коннект на ацку по апишникам
но эт не страшно =)
|
Версия для распечатки
