LINUX.ORG.RU
ФорумAdmin

squid + 2 механизма аутентификации: в каких случаях происходит переход от первого механизма ко второму?

 ,


0

1

Доброго времени суток

Есть squid 3.1. В конфиге 2 механизма аутентификации - ntlm и basic, по примеру из wiki.squid-cache.org

Используется в первую очередь ntlm. Но иногда пользователи жалуются, что выскакивает окно базовой аутентификации. Долгое время я был уверен, что переход к «запасному» basic произойдёт только в двух случаях:

  1. браузер не умеет в ntlm
  2. закончились свободные процессы аутентификации ntlm, и squid очередному клиенту говорит, что сам squid не поддерживает ntlm ( можно увидеть в
    squidclient mgr:ntlmauthenticator | less

Но сейчас снова жалобы, а в squidclient я вижу, что 75% процессов аутентификации простаивают ( не получили ни одного запроса ).

Где я ошибаюсь?

★★★★★

Последнее исправление: router (всего исправлений: 2)

Чтобы этого не происходило никогда, достаточно выполнить одно из 2х условий:
Не использовать basic.
На виндовых клиентах только firefox.

в каких случаях происходит переход от первого механизма ко второму?

Это происходит только на клиенте. Бесконтрольно, насколько мне известно, это происходит только на винде. Лечится перезагрузкой клиента.

Краткий ответ: никто не знает когда и почему ломает башню виндовым ие и хрому. На сколько мне известно фокс неподвержен.
Детальный: браузер берёт список методов у прокси и выбирает «лучший». По неизвестным причинам ие и хром вдруг переходят на basic, причём в тяжёлых случаях сворачивания башни у ие применяется авторизация basic не сессионно, а например на каждую картинку. Перезагрузка спасает может быть на 1 час, а может быть на 1 месяц.

p.s. Наблюдалась гетерогенная сеть на 450+ клиентов в течении нескольких лет.
p.s.s. весь софт, что не может жить без basic -> в отдельный прокси

bass ★★★★★
()
Ответ на: комментарий от bass

Спасибо

Хотя в магию верить не хочется, попробую собрать дамп и поискать закономерность. Главное, чтоб меня безопасники потом за яйца не повесили... :)

router ★★★★★
() автор топика
Ответ на: комментарий от router

На моей памяти подобные проблемы решаются переходом на керберос авторизацию, там же можно как резервное и ntlm и basic. Только у меня всёж squid 3.5 .

anonymous
()
Ответ на: комментарий от router

Нет никакой магии, что-то ломается при определённом виде url. Можешь их насобирать и попытаться выяснить закономерность, правда чем тебе это поможет, если внутренности изменить нельзя. Отправная точка - если в IE домашняя страница дефолтная - он возьмёт первый отданный метод. Если любая другая - возьмёт «лучший»

bass ★★★★★
()
Последнее исправление: bass (всего исправлений: 1)

Еще от настроек браузера может зависеть. Для IE: Security->Automatic Loggon Only in Intranet zone. Если сайт не в зоне Интранет, то посылать NTLM-хэш своего пароля кому попало небезопасно.
Есть возможность воспроизвести проблему, посмотреть на диалог сервера и клиента?

bigbit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.