https://opennet.me/openforum/vsluhforumID1/95848.html Здравствуйте! <br>Настроена и работает LDAP авторизация Squid 3.1.10 на основе групп в AD на Windows Server 2003 R2 SP2 посредством модулей squid_kerb_auth + squid_ldap_auth + squid_ldap_group<br>CentOS release 6.5 (Final)<br>Squid 3.1.10<br>http://pastebin.com/jFG9iGq4 squid -v<br>http://pastebin.com/nbS1z97P squid.conf<br>Но по разным причинам есть необходимость применять acl типа &#171;src&#187; (например<br>acl Myorganization src &#171;/usr/local/squid/acc-list-all&#187;) для не авторизованных в домене клиентов.<br>Проблема в том, что если клиент не авторизован в домене, то браузер циклично запрашивает у него логин и пароль и squid, как будто не переходит к обработке следующего http_access. (Если ввести логин и пароль доменной учетки, то запрашиваемая страница в браузере отображается, но это не подходит)<br>Кусок лога cache.log в отладочном режиме:<br>http://pastebin.com/UJFuTxH7<br>Здесь логирована попытка открыть страницу в браузере под локальным пользователем на доменной машинке, в результате чего запрошен логин и пароль.<br> https://opennet.me/openforum/vsluhforumID1/95848.html#13 Mon, 10 Nov 2014 03:58:47 GMT А могут запросы авторизации в вышеуказанных программах быть как-то связаны с перечисленными в krb5.conf типами шифрования (rc4-hmac des-cbc-crc des-cbc-md5)?<br>http://pastebin.com/7Uh05y6E - /etc/krb5.conf<br> https://opennet.me/openforum/vsluhforumID1/95848.html#12 Mon, 10 Nov 2014 03:57:41 GMT &gt; А вам не приходило в годову, что он рекламу запрашивает, которая <br>&gt; подпадает под правила с аутенфикацией <br><br>1) "CONNECT ping3.teamviewer.com:443 HTTP/1.1" - похоже на рекламу?<br>2) В любом случае, что ему мешает аутентифицироваться, зачем спрашивает логин-пароль? И почему он все-таки проходит аутентификацию, когда я нажимаю отмену? <br>===============================================================<br>192.168.4.60 - - [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 407 3975 TCP_DENIED:NONE<br>192.168.4.60 - User@DOMAIN.LOC [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 200 587 TCP_MISS:DIRECT<br>===============================================================<br>Логика где?<br>3) Под правила с аутентификацией, если посмотреть конфиг, подпадают абсолютно все запросы от доменных компов.<br> https://opennet.me/openforum/vsluhforumID1/95848.html#11 Sun, 09 Nov 2014 19:18:23 GMT &gt; TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог <br>&gt; падают строки: <br>&gt; 192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1" <br>&gt; 407 3822 TCP_DENIED:NONE <br>&gt; И выскакивает окно с запросом логина и пароля. Если его просто закрыть, <br>&gt; ничего не вводя, то он успешно соединяется со своим сервером, получает <br>&gt; ID и одноразовый пароль.<br><br> А вам не приходило в годову, что он рекламу запрашивает, которая подпадает под правила с аутенфикацией<br><br> https://opennet.me/openforum/vsluhforumID1/95848.html#10 Fri, 07 Nov 2014 17:58:36 GMT &gt; Что значит криво авторизуется? Вы вводите логин/пароль и он работает. У вас <br>&gt; задача какая стоит?<br><br>Задача рулить (контент, скорость, порты, адреса и т.д) интернетом на основе доменных групп AD. И чтобы на рабочих станциях у доменных пользователей любая "разрешенная" софтина (Браузер, ICQ, Skype, TeamViewer, AmmyAdmin и др..) имела доступ в интернет без необходимости вводить (в том числе и сохранять в этих софтинах) логины и пароли.<br>В домене около 400 пользователей.<br><br>Пока что нормально работают только браузеры.<br>TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог падают строки:<br>192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1" 407 3822 TCP_DENIED:NONE<br>И выскакивает окно с запросом логина и пароля. Если его просто закрыть, ничего не вводя, то он успешно соединяется со своим сервером, получает ID и одноразовый пароль.<br> https://opennet.me/openforum/vsluhforumID1/95848.html#9 Fri, 07 Nov 2014 09:42:28 GMT Что значит криво авторизуется? Вы вводите логин/пароль и он работает. У вас задача какая стоит?<br> https://opennet.me/openforum/vsluhforumID1/95848.html#8 Fri, 07 Nov 2014 08:23:06 GMT Возникла еще проблема с подключением QIP Infium. Лог:<br>========================================================<br>192.168.4.60 - - [07/Nov/2014:14:04:22 +0600] "CONNECT api.login.icq.net:443 HTTP/1.0" 407 3784 TCP_DENIED:NONE<br>192.168.4.60 - User@DOMAIN.LOC [07/Nov/2014:14:04:23 +0600] "GET http://api.icq.net/aim/startOSCARSession? HTTP/1.1" 200 977 TCP_MISS:DIRECT<br>192.168.4.60 - - [07/Nov/2014:14:04:23 +0600] "CONNECT 178.237.19.96:443 HTTP/1.0" 407 3701 TCP_DENIED:NONE<br>192.168.4.60 - User@DOMAIN.LOC [07/Nov/2014:14:04:28 +0600] "CONNECT api.login.icq.net:443 HTTP/1.0" 200 1446 TCP_MISS:DIRECT<br>192.168.4.60 - - [07/Nov/2014:14:04:45 +0600] "CONNECT api.login.icq.net:443 HTTP/1.0" 407 3784 TCP_DENIED:NONE<br>192.168.4.60 - - [07/Nov/2014:14:04:45 +0600] "GET http://api.icq.net/aim/startOSCARSession? HTTP/1.1" 407 4216 TCP_DENIED:NONE<br>192.168.4.60 - User@DOMAIN.LOC [07/Nov/2014:14:04:45 +0600] "GET http://api.icq.net/aim/startOSCARSession? HTTP/1.1" 200 1236 TCP_MISS:DIRECT<br>192.168.4.60 - - [07/Nov/2014:14:04 https://opennet.me/openforum/vsluhforumID1/95848.html#7 Fri, 07 Nov 2014 08:00:15 GMT &gt;&gt; Это правила доступа.<br>&gt;&gt; Если не хватает входных данных для проверки то они запрашиваются <br>&gt;&gt; Изменить не получится <br>&gt; А может лучше попробовать srcdom_regex -i ... вместо просто src <br><br>что это даст?<br> https://opennet.me/openforum/vsluhforumID1/95848.html#6 Thu, 06 Nov 2014 15:27:08 GMT &gt; Это правила доступа.<br>&gt; Если не хватает входных данных для проверки то они запрашиваются <br>&gt; Изменить не получится <br><br> А может лучше попробовать srcdom_regex -i ... вместо просто src<br><br> https://opennet.me/openforum/vsluhforumID1/95848.html#5 Thu, 06 Nov 2014 05:05:32 GMT Это правила доступа.<br>Если не хватает входных данных для проверки то они запрашиваются<br>Изменить не получится<br><br><br>