LINUX.ORG.RU
ФорумAdmin

squid. ntlm_auth + ncsa_auth

 , , , ,


0

1

Здравствуйте. Не могу настроить авторизацию на не доменных машинах. установил сквид, проверил ncsa helper, все ОК, аутентификация проходит, в инет пускает. Добавил ntlm_auth, для пользователей домена. Доменные учетки автоматически авторизуются, но перестает работать обычная ncsa_auth. В basic заменил ncsa на ldap_auth хелпер, по доменному имени входит. Почему ncsa_auth перестает работать?! даже процесс с ним не запускает.
squid.conf:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=MYDOMAIN
auth_param ntlm children 10
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 10
auth_param basic realm Squid proxy server
acl auth_list proxy_auth REQUIRED
external_acl_type my_domain %LOGIN /usr/lib64/squid/ext_ldap_group_acl -R -d -b «dc=mydomain,dc=local» -f "(&(objectclass=user)(sAMAccountName=%v)(memberOf=cn=%a,CN=Users,DC=mydomain,DC=local))" -D admin@mydomain.local -K -w password -h dc.mydomain.local
acl localnet src 192.168.100.0/24 #Local network
acl inet1 external my_domain Internet
acl SSL_ports port 443
...
acl CONNECT method CONNECT
#Black list
acl black_list url_regex -i «/etc/squid/black_list»
#Access group
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
#http_access deny to_localhost
http_access allow localhost
http_access deny localnet black_list
http_access allow inet1
http_access allow auth_list
http_access deny !auth_list all
http_access deny all
delay_pools 1
delay_class 1 1
delay_parameters 1 384000/384000
delay_access 1 allow localnet
# Squid normally listens to port 3128
http_port 3128
cache_mem 512 MB
cache_dir ufs /var/spool/squid 4096 16 256
maximum_object_size 30720 KB
access_log /var/log/squid/access.log
logfile_rotate 100
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 3600 40% 43200
refresh_pattern . 0 20% 4320
visible_hostname gateway.mydomain.local
#dns_nameservers 192.168.100.100
#dns_v4_first on
#forwarded_for off


нет необходимости использовать ntlm, когда есть kerberos.

попробуй настроить kerberos авторизацию для squid. в инете полно материалов. также придется сгенерировать keytab файл, но это обычно не проблема.

Nurmukh ★★ ()
Ответ на: комментарий от Nurmukh

NTLM работает отлично.

А если настроить kerberos, ncsa будет работать с ним в связке?

rukss ()
Ответ на: комментарий от ovax

Клиенты на windows 8, 8.1. Говоря отлично, я имею ввиду, что аутентификация проходит без проблем и в логах корректная информация о том кто и где был. А вот basic с ncsa хелпером отказывается работать :(

rukss ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.