forum.opennet.ru - "Squid kerberos ntlm ldap" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Squid kerberos ntlm ldap"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Squid kerberos ntlm ldap"	+/–
Сообщение от McLeod095 (ok) on 23-Янв-14, 12:09
Всем доброго времени суток! Есть настроенный squid 3.1.10 на centos 6.5 Настроена kerberos авториазция и все вроде нормально auth_param negotiate program /usr/lib64/squid/negotiate_wrapper_auth --ntlm /usr/lib64/squid/ntlm_smb_lm_auth -d -b DOMAIN/DC02 DOMAIN/DC01 --kerberos /usr/lib64/squid/negotiate_kerberos_auth -r auth_param negotiate children 20 auth_param negotiate keep_alive off auth_param ntlm program /usr/lib64/squid/ntlm_smb_lm_auth -b DOMAIN/DC01 DOMAIN/DC02 auth_param ntlm children 20 auth_param ntlm keep_alive off auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b "dc=domain,dc=com" -D "proxy_user@domain.com" -W /etc/squid/proxy_user.pass.txt -f sAMAccountName=%s 192.168.0.1 192.168.0.2 auth_param basic children 20 external_acl_type ldap_group ipv4 children=10 ttl=60 %LOGIN /usr/lib64/squid/squid_ldap_group -d -b dc=domain,dc=com -f "(&(objectCategory=person)(objectClass=user)(sAMAccountName=%v)(memberOf=CN=%a,OU=Techno,DC=domain,DC=com))" -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1 192.168.0.2 Если заходить с раб станции которая в домене то все норм, пользователь авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться зайти с раб станции которая не в домене, то не получается авторизоваться, просто говорит что нет доступа и все, хотя вроде должно выводиться приглашение ввести логин и пароль при basic авторизации Может у кого есть аналогичная конфигурация и он может помочь. И самое странное что не работает только вроде с виндовых клиентов. С никсов и с мака вроде все норм.
Ответить \| Правка \| Cообщить модератору

Оглавление

Squid kerberos ntlm ldap, mcshel, 12:41 , 23-Янв-14, (1)
Squid kerberos ntlm ldap, opri, 16:31 , 23-Янв-14, (2)

Squid kerberos ntlm ldap, McLeod095, 15:19 , 24-Янв-14, (3)

Squid kerberos ntlm ldap, Mvairs, 17:56 , 28-Янв-14, (4)

Squid kerberos ntlm ldap, McLeod095, 18:20 , 28-Янв-14, (5)

Squid kerberos ntlm ldap, Mvairs, 14:46 , 29-Янв-14, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Squid kerberos ntlm ldap" +/–

Сообщение от mcshel (ok) on 23-Янв-14, 12:41

>[оверквотинг удален]
> -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1
> 192.168.0.2
> Если заходить с раб станции которая в домене то все норм, пользователь
> авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться
> зайти с раб станции которая не в домене, то не получается
> авторизоваться, просто говорит что нет доступа и все, хотя вроде должно
> выводиться приглашение ввести логин и пароль при basic авторизации
> Может у кого есть аналогичная конфигурация и он может помочь.
> И самое странное что не работает только вроде с виндовых клиентов. С
> никсов и с мака вроде все норм.
Скорее всего в IE надо убрать галочку: Свойства обозревателя-> Дополнительно -> Секция безопасность Разрешить встроенную проверку подлинности Windows. Потом обязательно перезапуcтить IE

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid kerberos ntlm ldap" +/–

Сообщение от opri on 23-Янв-14, 16:31

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Squid kerberos ntlm ldap" +/–

Сообщение от McLeod095 (ok) on 24-Янв-14, 15:19

> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, что не очень хочется в связи с тем что сервер находится в дмз, и ему samba вообще не нужна.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Squid kerberos ntlm ldap" +/–

Сообщение от Mvairs (ok) on 28-Янв-14, 17:56

>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
> что не очень хочется в связи с тем что сервер находится
> в дмз, и ему samba вообще не нужна.
Проблема скорее всего в том что он пытается авторизоваться через NTLM - посмотрите cache.log, у меня пишет BH received type 1 NTLM token, кстати если оставить браузер включеным на 5 минут и попробовать еще раз то все нормально, так же хотел бы узнать решили ли Вы проблему ?:)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Squid kerberos ntlm ldap" +/–

Сообщение от McLeod095 (ok) on 28-Янв-14, 18:20

>>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
>> что не очень хочется в связи с тем что сервер находится
>> в дмз, и ему samba вообще не нужна.
> Проблема скорее всего в том что он пытается авторизоваться через NTLM -
> посмотрите cache.log, у меня пишет BH received type 1 NTLM token,
> кстати если оставить браузер включеным на 5 минут и попробовать еще
> раз то все нормально, так же хотел бы узнать решили ли
> Вы проблему ?:)
Пока не решил.
Но даже по логике должно работать по другому.
Первая попытка авторизации происходит при получении браузером запроса на авториазцию где будет выставлен метод negotiate. После чего отправляется ответ, и на стороне сквида идет анализ ответа и авторизация или по kerberos или ntlm. Но если авторизация не прошла по идее должен идти второй запрос авторизации при указании что надо авторизоваться обычным методом. И вот где-то здесь происходит затык. При этом если использовать никсы или мак то все норм работает а вот на винде которая не в домене никак не хочет.
И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя пользователя без домена? а то потом трудно тем же lightsquid отчеты делать

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Squid kerberos ntlm ldap" +/–

Сообщение от Mvairs (ok) on 29-Янв-14, 14:46

>[оверквотинг удален]
> будет выставлен метод negotiate. После чего отправляется ответ, и на стороне
> сквида идет анализ ответа и авторизация или по kerberos или ntlm.
> Но если авторизация не прошла по идее должен идти второй запрос
> авторизации при указании что надо авторизоваться обычным методом. И вот где-то
> здесь происходит затык. При этом если использовать никсы или мак то
> все норм работает а вот на винде которая не в домене
> никак не хочет.
> И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя
> пользователя без домена? а то потом трудно тем же lightsquid отчеты
> делать
Кстати тут ещё вопрос авторизации в скайпе Skype клиент банках через проксю и прочее =\
Для таких сервисов нужна basic =\

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid kerberos ntlm ldap"	+/–
Сообщение от mcshel (ok) on 23-Янв-14, 12:41
>[оверквотинг удален] > -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1 > 192.168.0.2 > Если заходить с раб станции которая в домене то все норм, пользователь > авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться > зайти с раб станции которая не в домене, то не получается > авторизоваться, просто говорит что нет доступа и все, хотя вроде должно > выводиться приглашение ввести логин и пароль при basic авторизации > Может у кого есть аналогичная конфигурация и он может помочь. > И самое странное что не работает только вроде с виндовых клиентов. С > никсов и с мака вроде все норм. Скорее всего в IE надо убрать галочку: Свойства обозревателя-> Дополнительно -> Секция безопасность Разрешить встроенную проверку подлинности Windows. Потом обязательно перезапуcтить IE
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Squid kerberos ntlm ldap"	+/–
Сообщение от opri on 23-Янв-14, 16:31
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Squid kerberos ntlm ldap"	+/–
	Сообщение от McLeod095 (ok) on 24-Янв-14, 15:19
	> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, что не очень хочется в связи с тем что сервер находится в дмз, и ему samba вообще не нужна.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Squid kerberos ntlm ldap"	+/–
	Сообщение от Mvairs (ok) on 28-Янв-14, 17:56
	>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic > Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, > что не очень хочется в связи с тем что сервер находится > в дмз, и ему samba вообще не нужна. Проблема скорее всего в том что он пытается авторизоваться через NTLM - посмотрите cache.log, у меня пишет BH received type 1 NTLM token, кстати если оставить браузер включеным на 5 минут и попробовать еще раз то все нормально, так же хотел бы узнать решили ли Вы проблему ?:)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Squid kerberos ntlm ldap"	+/–
	Сообщение от McLeod095 (ok) on 28-Янв-14, 18:20
	>>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic >> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, >> что не очень хочется в связи с тем что сервер находится >> в дмз, и ему samba вообще не нужна. > Проблема скорее всего в том что он пытается авторизоваться через NTLM - > посмотрите cache.log, у меня пишет BH received type 1 NTLM token, > кстати если оставить браузер включеным на 5 минут и попробовать еще > раз то все нормально, так же хотел бы узнать решили ли > Вы проблему ?:) Пока не решил. Но даже по логике должно работать по другому. Первая попытка авторизации происходит при получении браузером запроса на авториазцию где будет выставлен метод negotiate. После чего отправляется ответ, и на стороне сквида идет анализ ответа и авторизация или по kerberos или ntlm. Но если авторизация не прошла по идее должен идти второй запрос авторизации при указании что надо авторизоваться обычным методом. И вот где-то здесь происходит затык. При этом если использовать никсы или мак то все норм работает а вот на винде которая не в домене никак не хочет. И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя пользователя без домена? а то потом трудно тем же lightsquid отчеты делать
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Squid kerberos ntlm ldap"	+/–
	Сообщение от Mvairs (ok) on 29-Янв-14, 14:46
	>[оверквотинг удален] > будет выставлен метод negotiate. После чего отправляется ответ, и на стороне > сквида идет анализ ответа и авторизация или по kerberos или ntlm. > Но если авторизация не прошла по идее должен идти второй запрос > авторизации при указании что надо авторизоваться обычным методом. И вот где-то > здесь происходит затык. При этом если использовать никсы или мак то > все норм работает а вот на винде которая не в домене > никак не хочет. > И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя > пользователя без домена? а то потом трудно тем же lightsquid отчеты > делать Кстати тут ещё вопрос авторизации в скайпе Skype клиент банках через проксю и прочее =\ Для таких сервисов нужна basic =\
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору