CONNECT+ntlm аторизация

0

1

Добрый день! Подскажите, пожалуйста, можно ли настроить сквид таким образом, чтобы метод CONNECT был разрешен только авторизованным пользователям?

Сейчас провожу тестирование и пробовала разные варианты, но в логах все время вижу следующее: TCP_DENIED/407 3629 CONNECT 157.56.52.19:443 - HIER_NONE/- text/html ...etc

при этом конфиг выглядит например так:

__________________________ acl SSL_ports port 443 80

acl Safe_ports port 80

acl fileupload req_mime_type -i ^multipart/form-data$

http_access allow fileupload

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 2 startup=2 idle=2

auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 10 startup=5 idle=3

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

acl _sams_default proxy_auth -i «/usr/local/etc/squid /default.sams»

acl _sams_default_time time MTWHFAS 00:00-23:59

acl _sams_disabled_id proxy_auth -i «/usr/local/etc/squid /disabled_id.sams»

acl CONNECT method CONNECT

http_access allow _sams_default _sams_default_time

http_access deny _sams_disabled_id

http_access allow CONNECT SSL_ports

http_access deny !Safe_ports

http_access deny !SSL_ports

http_access allow localhost

http_access deny all

http_port 3128

________________

если я поднимаю правила метода CONNECT

acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports

выше правил авторизации, то я могу легко заходить на сайты https и пользоваться скайп, но в этом случае данными сайтами и программами могут пользоваться все не авторизованные пользователи

Подскажите как настроить конфиг так, чтобы он метод CONNECT разрешал только авторизованным пользователям?

п.с. пробовался и такой вариант

http_access allow _sams_default CONNECT SSL_ports

все равно выходит в 407ю ошибку

Ссылка

←	Как снести gpt

wi-fi клиент на OpenWrt

→

TCP_DENIED/407 не ошибка, это означает, что клиенту был отправлен запрос на авторизацию, после этого он авторизуется и сквид его пропускает, в логах это идет еще одной строкой.

А чтобы только авторизованные могли его юзать, сделай что-то типа

acl method_connect method CONNECT
acl proxy_authorized proxy_auth REQUIRED
...
http_access deny method_connect !proxy_authorized

blind_oracle ★★★★★
(02.04.14 15:26:07 MSK)

Ответ на: комментарий от blind_oracle 02.04.14 15:26:07 MSK

ок. спасибо за ликбез по TCP_DENIED/407 :)

сделала. не получилось. Вышло так, что все равно пускает неавторизованных пользователей. сама попробовала зайти без авторизации в скайп - получилось.

т.е. сделала так http_access allow CONNECT SSL_ports ........ http_access allow _sams_default _sams_default_time http_access deny CONNECT !_sams_default

получается я разрешаю метод коннект по портам ssl а потом его запрещаю для неавторизованных пользователей. срабатывает только первое правило.

если я его убираю, перед http_access allow _sams_default и вставляю после этого правила или оставляю только так как вы написали в логах появляется TCP_DENIED/407

djeg
(02.04.14 16:14:43 MSK) автор топика

Ответ на: комментарий от djeg 02.04.14 16:14:43 MSK

Правила обрабатываются одно за другим, то есть если какое-то правило разрешило соединение, то другие обрабатываться не будут.

Т.е. должно получиться что-то типа:

http_access deny CONNECT !SSL_ports !_sams_default
http_access allow _sams_default _sams_default_time

blind_oracle ★★★★★
(02.04.14 16:22:09 MSK)

Ответ на: комментарий от blind_oracle 02.04.14 16:22:09 MSK

сделала

acl _sams_default proxy_auth -i «/usr/local/etc/squid/default.sams»

acl _sams_default_time time MTWHFAS 00:00-23:59

acl _sams_disabled_id proxy_auth -i «/usr/local/etc/squid/disabled_id.sams»

# TAG: http_access

acl CONNECT method CONNECT

http_access deny CONNECT !SSL_ports !_sams_default

http_access allow _sams_default _sams_default_time

попробовала зайти на gmail

вот что вышло TCP_DENIED/407 4026 CONNECT accounts.google.com:443 - HIER_NONE/- text/html

djeg
(03.04.14 08:00:04 MSK) автор топика

Ответ на: комментарий от djeg 03.04.14 08:00:04 MSK

Значит у тебя броузер авторизацию как-то хреново отрабатывает.

В ответ на TCP_DENIED/407 броузер должен вывести окно авторизации. Или, возможно, SAMS что-то не так делает, я с ним не работал, сложно сказать.

Если это виндовый домен, то лучше накрутить прозрачную авторизацию через Kerberos.

blind_oracle ★★★★★
(03.04.14 10:06:47 MSK)

Ответ на: комментарий от blind_oracle 03.04.14 10:06:47 MSK

да, вариантов много. уже который день голову ломаю.

возможно поможет обновление. во всяком случае, если найду решение отпишусь. Спасибо за помощь blind_oracle

djeg
(03.04.14 12:00:51 MSK) автор топика

5 июня 2014 г.

Ответ на: комментарий от djeg 03.04.14 12:00:51 MSK

проблема решена при отказе от NTLM авторизации всем спасибо

djeg
(05.06.14 15:56:51 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как снести gpt

Admin

wi-fi клиент на OpenWrt

→

Похожие темы