форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
Сообщение от DMroot on 21-Май-03, 19:34  (MSK)
Два вопроса: 1. Поставил проксю Squid 2.5 STABLE 2 на ALTLinux Master 2.2. Нужно сделать авторизацию nsca_auth. Так было на старой проксе. Перенёс файл паролей. Поставил ncsa из src\squid\...\helpers\basic\NCSA - make;make install;- в libexec появилась бинарная версия. в squid.conf раскоментировал acl users auth_proxy REQURED - стало про запуске /.squid -N выдавать IGNORING:...'acl 'acl users auth_proxy REQURED' because no authentification schemes are fully configured хотя собирал с ключом --enable-basic-auth-helper=NCSA 2. Есть необходимость залезать пользователям моей сети на сайт с SSL-соединением. У каждого есть сертификат cert.pfx, устанавливаемый в IE. Как сделать соединение с этим сервером через squid? С реальным адресом машину сервер пускает, из под сквида пишет No route to host. Собрал сквида с ключом --enable-ssl В то же время с обычными серверами соединяется. В логах сквида(cache.log) пишет, что пытается применить метод CONNECT к данному адресу Что делать? А то руководство задолбало!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
Сообщение от Mikhail on 22-Май-03, 09:40  (MSK)
>в squid.conf раскоментировал >acl users auth_proxy REQURED - >стало про запуске /.squid -N выдавать >IGNORING:...'acl 'acl users auth_proxy REQURED' because no authentification schemes are fully configured Правильно говорит, нужно auth_param настроить. >2. Есть необходимость залезать пользователям моей сети на сайт с SSL-соединением. У >каждого есть сертификат cert.pfx, устанавливаемый в IE. >Как сделать соединение с этим сервером через squid? >С реальным адресом машину сервер пускает, из под сквида пишет No route >to host. Собрал сквида с ключом --enable-ssl Этот ключ - для ssl-соединения с самим squid'ом. Для соединения с внешними ssl - используются обычные настройки, главное - разрешить порт 443 и метод CONNECT >В то же время с обычными серверами соединяется. В логах сквида(cache.log) пишет, >что пытается применить метод CONNECT к данному адресу >Что делать? А то руководство задолбало! Разреши :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от DMroot on 22-Май-03, 10:10  (MSK)
	>Правильно говорит, нужно auth_param настроить. А как ещё его настроить? >ssl - используются обычные настройки, главное - разрешить порт 443 и >метод CONNECT Разрешил, вернее ничего не менял: acl deny CONNECT all !SSL_ports(по-моему так):)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от Mikhail on 22-Май-03, 10:16  (MSK)
	>А как ещё его настроить? http://squid.opennet.ru/ google rtfm >Разрешил, вернее ничего не менял: >acl deny CONNECT all !SSL_ports(по-моему так):) Значит, настроишь авторизацию - будет работать :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от DMroot on 22-Май-03, 10:41  (MSK)
	>>А как ещё его настроить? >http://squid.opennet.ru/ >google >rtfm Так прежде чем на форум писать, я перерыл уже всё:)) и гугле и яндекс:)) По настройкам 2.4 - море всего, по 2.5 - пара скупых фраз.. А по-моему,я так всё и делал: (http://squid.opennet.ru/ ) Авторизация пользователей прокси (ncsa_auth) Чтобы включить проверку имени и пароля на сквиде, нужно отредактировать squid.conf: #  TAG: authenticate_program В 2.5 всё по-другому: authenticate_program authenticate_children proxy_auth_realm !!! Removed. See auth_param. auth_param: This replaces the authenticate_program directive. It allows configuration of multiple authentication helpers, one for each of the supported authentication schemes authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd #  TAG: acl # Defining an Access List acl users proxy_auth REQUIRED #  TAG: http_access http_access allow users Всё так и делал Этим Вы даете понять сквиду, что Ваша authenticate_program находится по пути /usr/local/squid/bin/ncsa_auth и работает с файлом паролей /usr/local/squid/etc/passwd. Листы доступа настроены в приведенном выше примере на разрешение доступа для всех пользователей, находящихся в файле passwd. Вносить изменения в файлы паролей можно с помощью программы HTPASSWD, описание которой приводится ниже. proxy# ./htpasswd Usage: htpasswd [-cm] passwordfile username The -c flag creates a new file. The -m flag forces MD5 encryption of the password. On Windows systems the -m flag is used by default.     Если пользователь уже есть в файле passwd, то команда ./htpasswd passwd user newpassword просто изменяет предыдущий пароль на новый. Удалить пользователя из файла passwd можно прямым удалением строки из этого файла с помощью любого текстового редактора. Авторизация пользователей прокси (ncsa_auth) с привязкой к IP-адресу Иногда бывает нужно осуществить привязку пользователя squid к его IP-адресу, т.е. чтобы человек со своим логином/паролем мог выйти в Интернет только со своей машины. Для этого нужно изменить процедуру проверки данных пользователя на прокси. Автор sqmgrlog'а сделал соответствующие изменения со стандартным модулем ncsa_auth, о чем можно подробно прочесть здесь. Так как же в 2.5STABLE2 ncsa_auth сделать, или может вернуться на два шага назад - 2.4STABLE7??? - по нему действительно море описаний
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от Mikhail on 22-Май-03, 11:30  (MSK)
	Все параметры ncsa_auth остались, описания для 2.4 подходят. Просто вместо authenticate_program  - тэг auth_param (может, его параметры чуть другие). Там же все довольно доходчиво описано. Больше изменений с внешними программами - так оно тебе ведь не надо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от keepver on 22-Май-03, 12:42  (MSK)
	минимум, чтобы заработало: ./configure --enable-basic-auth-helpers=NCSA ...прочие опции... в squid.conf: auth_param basic program /usr/local/squid/libexec/ncsa_auth /usr/local/squid/etc/passwd acl me src 19x.xxx.xxx.xxx/32 acl me_auth proxy_auth keepver http_access allow me me_auth пароль: /var/apache/bin/htpasswd -c /usr/local/squid/etc/passwd keepver все. для справки: http://squid.opennet.ru/FAQ/my/FAQrus-23.html
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от DMroot on 22-Май-03, 17:57  (MSK)
	Переставил Squid, поставил 2.4 stable 7, вроде авторизация пошла:)) Странички открываются.. А вот SSL соединения не идут:( Есть сайт, лоступ на который мне нужно обеспечить пользователям. У них есть сертификаты sert.pfx, для доступа к www.xxx.ru. Так же на сервере www.xxx.ru прописан реальный адрес моей прокси, это обязательно для доступа к нему. Я пускаю все SSL через прокси: acl SSL method CONNECT never_direct allow SSL но Internet Explorier выдаёт: While trying to retrieve the URL: www.xxx.ru:443 The following error was encountered: Unable to forward this request at this time. This request could not be forwarded to the origin server or to any parent caches. The most likely cause for this error is that: The cache administrator does not allow this cache to make direct connections to origin servers, and All configured parent caches are currently unreachable. Что сделать??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "!!!!Кто МОЖЕТ ПОМОЧЬ SQUID 2.5 STABLE2 + SSL???"
	Сообщение от DMroot on 28-Май-03, 08:46  (MSK)
	Всем спасибо! Собрать htpasswd без apache я так и не смог:(( - не смог найти сопутствующих сборке библиотек, так же не смог поставить apache-htpasswd*.rpm - не ставится под ALTLinux, но зато SSL сделал!!!:)), правда получилось несколько странно... во-опервых соединения по SSL должны происходить с одного реального адреса xxx.xxx.xxx.xxx,в который пришлось завернуть сетку: iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT -o eth0 --to-source xxx.xxx.xxx.xxx во-вторых в файле конфигурации squid.conf добавил: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on .................. Ну естественно - acl SSL_ports 443 acl CONNECT method CONNECT http_access deny CONNECT !SSL_ports И всё - заработало!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.