The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid ldap проблема постоянного запроса логина/пароля"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 17:03 
Любой браузер постоянно запрашивает логин/пароль причем если его хотябы раз корректно ввести то страници открываются но постоянно приходится жать либо ок либо отмена в постоянно всплывающем окне аутентификации.... ПОМОГИТЕ облазил всеь нет и никак не могу найти решения
конфиг:
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -D squid_wa@rkh.ru -w squid -b "dc=rkh,dc=ru" -f "sAMAccountName=%s" 10.10.10.200
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic keep_alive on
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#  TAG: acl
  acl ldap-auth proxy_auth REQUIRED
  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 127.0.0.1/255.255.255.255
  acl to_localhost dst 127.0.0.1/255.255.255.255
  acl SSL_ports port 443 563
  acl Safe_ports port 80        # http
  acl Safe_ports port 21        # ftp
  acl Safe_ports port 443        # https
  acl Safe_ports port 70        # gopher
  acl Safe_ports port 210        # wais
  acl Safe_ports port 1025-65535    # unregistered ports
  acl Safe_ports port 280        # http-mgmt
  acl Safe_ports port 488        # gss-http
  acl Safe_ports port 591        # filemaker
  acl Safe_ports port 777        # multiling http
  acl CONNECT method CONNECT
# TAG: http_access
  http_access allow manager localhost
  http_access deny manager
  http_access deny CONNECT !SSL_ports
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
  acl bad_url url_regex "/etc/squid/acl/bad_url.domain"
  acl upload url_regex "/etc/squid/acl/upload.domain"
  acl filetypes urlpath_regex -i "/etc/squid/acl/filetypes.acl"
  acl banners url_regex "/etc/squid/acl/ads.acl"
  http_access deny banners ldap-auth
  http_access deny filetypes ldap-auth
  http_access deny upload ldap-auth
  http_access deny bad_url ldap-auth
  
  http_access allow ldap-auth

# TAG: http_reply_access
  icp_access allow all
  
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
# TAG: http_port
  http_port 10.10.10.11:3128 transparent
# TAG: hierarchy_stoplist
  hierarchy_stoplist cgi-bin ?
  
# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------
# TAG: cache_replacement_policy
  cache_dir ufs /var/spool/squid 40000 16 256

   cache_swap_low 90
   cache_swap_high 95
  
# speed download control
delay_class 1 2
delay_parameters 1 50000/1500000
delay_access 1 allow localnet10
delay_access 1 allow localnet11
delay_access 1 deny all

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
#  TAG: access_log
  access_log /var/log/squid/access.log squid

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
# TAG: cache
  acl QUERY urlpath_regex cgi-bin \?
# TAG: refresh_pattern
  refresh_pattern ^ftp:        1440    20%    10080
  refresh_pattern ^gopher:    1440    0%    1440
  refresh_pattern .        0    20%    4320
# TAG: store_avg_object_size    (kbytes)
  store_avg_object_size 70 MB
  visible_hostname gw1.local
  
# HTTP OPTIONS
# -----------------------------------------------------------------------------
#  TAG: broken_vary_encoding
  acl apache rep_header Server ^Apache
  cache deny QUERY
  broken_vary_encoding allow apache

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от uasash2 email on 19-Ноя-10, 17:27 
нет доступа на запись, точно не помню какой файл связано это с винбинд я отловил в логах.. но забыл tail -f тебе в помощь
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от uasash2 email on 19-Ноя-10, 17:29 
> нет доступа на запись, точно не помню какой файл связано это с
> винбинд я отловил в логах.. но забыл tail -f тебе в
> помощь

дай доступ на этот каталог /var/db/samba/winbindd_privileged или /var/db/samba34/winbindd_privileged это смотря какая у тебя версия


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 17:35 
>> нет доступа на запись, точно не помню какой файл связано это с
>> винбинд я отловил в логах.. но забыл tail -f тебе в
>> помощь
> дай доступ на этот каталог /var/db/samba/winbindd_privileged или /var/db/samba34/winbindd_privileged
> это смотря какая у тебя версия

разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько я понимаю НЕТ и их можно вообще не устанавливать


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от uasash2 email on 19-Ноя-10, 17:53 
По какой статье настраивали, какие версии программ установлены pkg_info (если FreeBSD)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 17:43 
разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько я понимаю НЕТ и их можно вообще не устанавливать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от uasash2 email on 19-Ноя-10, 17:55 
> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
> я понимаю НЕТ и их можно вообще не устанавливать

а у вас авторизация в Домене Windows или поднят ldap


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 17:59 
>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>> я понимаю НЕТ и их можно вообще не устанавливать
> а у вас авторизация в Домене Windows или поднят ldap

ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен iptables (сквид висит на одной из сетевух в fireWall проброшен для него 80 порт)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 18:02 
>>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>>> я понимаю НЕТ и их можно вообще не устанавливать
>> а у вас авторизация в Домене Windows или поднят ldap
> ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен
> iptables (сквид висит на одной из сетевух в fireWall проброшен для
> него 80 порт)

Настраивал много по каким статьям так сразу и не скажу.... отовсюду нахватал...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 19-Ноя-10, 18:04 
>>>> разве имеет отношение SAMBA и WINBIND к аутентификации через ldap - насколько
>>>> я понимаю НЕТ и их можно вообще не устанавливать
>>> а у вас авторизация в Домене Windows или поднят ldap
>> ось - CENTOS 5 поднят ldap установлены пакеты были yum -ом настроен
>> iptables (сквид висит на одной из сетевух в fireWall проброшен для
>> него 80 порт)
> Настраивал много по каким статьям так сразу и не скажу.... отовсюду нахватал...

Примечание без аутентификации все работает как часики.... всмысле если просто разрешать локалке http_access

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от uasash2 email on 19-Ноя-10, 22:11 
> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
> локалке http_access

напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
процентов на 90 из-за прав все это... у меня просто было так же...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от edded on 20-Ноя-10, 15:15 
>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>> локалке http_access
> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
> процентов на 90 из-за прав все это... у меня просто было так
> же...

Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не имеет никакого отношения.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от Kim303 email on 21-Ноя-10, 10:58 
>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>> локалке http_access
>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>> процентов на 90 из-за прав все это... у меня просто было так
>> же...
> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
> имеет никакого отношения.

Мужики помогайте.... у кого еще есть идеи???

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от Edd email(ok) on 21-Ноя-10, 18:33 
>>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>>> локалке http_access
>>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>>> процентов на 90 из-за прав все это... у меня просто было так
>>> же...
>> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
>> имеет никакого отношения.
> Мужики помогайте.... у кого еще есть идеи???

Ну, в общем-то это похоже нормальное поведение при аутентификации напрямую через ldap. Делайте связку Squid+Ldap+Kerberos и будет вам счастье

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от kim303 email(ok) on 22-Ноя-10, 10:40 
>>>>> Примечание без аутентификации все работает как часики.... всмысле если просто разрешать
>>>>> локалке http_access
>>>> напиши мнесюда права на файл ls -la /var/db/samba/winbindd_privileged
>>>> процентов на 90 из-за прав все это... у меня просто было так
>>>> же...
>>> Не путайте NTLM авторизацию и LDAP, в данном конкретном случаи winbindd не
>>> имеет никакого отношения.
>> Мужики помогайте.... у кого еще есть идеи???
> Ну, в общем-то это похоже нормальное поведение при аутентификации напрямую через ldap.
> Делайте связку Squid+Ldap+Kerberos и будет вам счастье

Проблема решена: Если кому интересно: необходимо объявлять два acl 1-й исключительно для аутертификации, 2-й для интрасети и только через него банитить сайты и др.
Проблема возникает из-за повторной проверки url на разрешенность.
Примечание: при открытии нового окна IE или др обозревателя аутентификация будет запрашиваться повторно! Но от этого уже никуда не денешься.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Squid ldap проблема постоянного запроса логина/пароля"  +/
Сообщение от начинающий on 22-Ноя-10, 20:37 
>> Делайте связку Squid+Ldap+Kerberos и будет вам счастье
> Проблема решена:
> Примечание: при открытии нового окна IE или др обозревателя аутентификация будет запрашиваться
> повторно! Но от этого уже никуда не денешься.

Если настроите вышеуказанную связку, пароль будет запрашиваться только при входе в систему.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру