|
squid + ntlm Доброй ночи. Помогите советом, мб кто уже решил. Имеем debian 2.6.32-5-amd64, из репов squid samba cat /etc/squid/squid.conf acl all src 0.0.0.0/0.0.0.0 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm keep_alive on auth_param ntlm children 20 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 7 auth_param basic credentialsttl 2 hours acl all_users proxy_auth REQUIRED http_access allow all_users #Пулы #delay_pools 1 #delay_class 1 1 #delay_parameters 1 128000/128000 #delay_access 1 allow all_users http_port 3128 coredump_dir /var/spool/squid cache_dir ufs /var/spool/squid 8000 16 256 maximum_object_size 20 MB cache_mem 56 MB http_access deny !all_users all http_access deny all access_log /var/log/squid/access.log error_directory /usr/share/squid/errors/ru Проблемс - ie огнелис хром кароче нтлм работает как часики. а вот бэйсик никак не взлетает. постоянно просит логинпас. |
basic же элементарно проверяется, если память не изменяет в вашем случае с консоли /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic и имя пробел пасс он выдаст ерр или ок, не вчитываясь даже не пойму по какому принципу авторизация в смысле кому можно, кому нет...просто если в домене чтоли или как ? могу сказать как точно работает: .... auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="Domain+InternetGroup" auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="Domain+InternetGroup" ... acl InternetGroup proxy_auth REQUIRED http_access allow InternetGroup http_access deny all ... + разделитель в настройках самбы Domain-имя домена, InternetGroup - группа в домене, кто в ней тот ходит, ну вернее это сейчас даже в процессе переезда группа в кот не только с этого домена пользователи....но не суть, для одного домена давно так работало и сейчас работает, васик всегда проверял консолью, вот как Domain+user pass или user pass или ещё как уже не помню...давно не обновлял :) |
т.е. я к тому , чтоб проверить user pass с браузера, domain\user pass, user@domain pass когда часто обновлялся/(пере)устанавливал, какие только грабли не попадались, сейчас уже не помню толком по теме... |
ещё забыл, проверяйте на пользователе и пароле без пробелов и русских букв, в идеале и без спецсимволов, просто англ. буквы и цифры, всяко бывает, не помню точно, но как-то ловил грабли на нтлм авторизации какого-то асечного клиента на паролях с русскими буквами. |
ничего подобного не решал, бэйсик с полпинка всегда работал лругое дело - встречал какие-то подобные плачи у лиссяры на форуме, и где-то еще, решалось откатом на старые версию, циферки не спрашивайте |
у лиссяры я там сам в плаче участвовал, там была беда как-то после обновлений с версиями опенлдапа который все сломал, не смотря на то, что вообще мне он не упирался, самба сама тянула во фре ж все одним пакетом это я немного помню.. насчет нтлм и аськи чет засомневался, может там и бэйсик руками писали. |
хез, не доверяю я ntlm-у проводить basic-auth т.к. для него есть , лучше ldap запросами через squid_ldap_auth, а ещё лучше kerberos через negotiate и squid_kerb_auth =) |
[u]во фре ж все одним пакетомх[/u] я про самбу и винбинд, собирал-то из портов, с выключенным ldap auth, где-то в зависимостях было...во даж тему ради интереса нарыл...конец 2008 начало 2009 [url]http://forum.lissyara.su/viewtopic.php?f=3&t=10635[/url] |
я там только с ником wiz111 ) |
с выключенным ldap [s]auth[/s]* вообще про winbind там, но не суть - запомнилось как одно из чудес после обновления ) |
| Текущее время: 09:34. Часовой пояс GMT +3. |