The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"squid 2.5 + win2000 SP4"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 15:29  (MSK)
ни у кого такого не было: ставишь squid (2.5stable2), добавляешь к нему модуль, чтобы авторизовывать пользователей в домене w2k (в соответствии с этой статьей: http://bsd.opennet.ru/base/net/win_squid.txt.html), все идет нормально, пока не ставишь на клиентских машинах с 2к proff четвертый сервиспак. После его установки IE больше "не понимает" проксю, не авторизуется. В логах прокси при этом написано, что в доступе отказано, такое ощущение, что из-за того, что имя юзера не распознается. Та же фигня, кстати, имеет место с win2003 server (без сервиспаков). XP-ишка, что характерно, не имеет таких проблем.

Спасибо заранее!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "squid 2.5 + win2000 SP4"
Сообщение от Денис Искать по авторуВ закладки on 08-Сен-03, 15:41  (MSK)
>ни у кого такого не было: ставишь squid (2.5stable2), добавляешь к нему
>модуль, чтобы авторизовывать пользователей в домене w2k (в соответствии с этой
>статьей: http://bsd.opennet.ru/base/net/win_squid.txt.html), все идет нормально, пока не ставишь на клиентских машинах
>с 2к proff четвертый сервиспак. После его установки IE больше "не
>понимает" проксю, не авторизуется. В логах прокси при этом написано, что
>в доступе отказано, такое ощущение, что из-за того, что имя юзера
>не распознается. Та же фигня, кстати, имеет место с win2003 server
>(без сервиспаков). XP-ишка, что характерно, не имеет таких проблем.
>
>Спасибо заранее!

На самом деле проблема не в операционке, а в Интернет-эксплорере. Это именно (после не знаю какой заплатки) не понимает, что ему делать - сначала показывает ошибку, а если рефрешнуть, то всё идёт нормально. Выход - не пользоваться IE, а юзать Оперу например. Или же сделать auth по IP. Если надо, соответсвующий конфиг могу отослать. Удачи!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 15:45  (MSK)
млин.... не, опера, увы, не покатит. :-( У нас ИЕ - корпоративный стандарт, мать его за ногу... Рефреш не помогает, кстати. По айпи auth не годится также, народ часто меняет рабочие места. :-(
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "squid 2.5 + win2000 SP4"
Сообщение от Денис Искать по авторуВ закладки on 08-Сен-03, 15:47  (MSK)
>млин.... не, опера, увы, не покатит. :-( У нас ИЕ - корпоративный
>стандарт, мать его за ногу... Рефреш не помогает, кстати. По айпи
>auth не годится также, народ часто меняет рабочие места. :-(

А если весь сабнет указать в конфиге?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 15:49  (MSK)
дело в том, что потом отчет генерится, кто куда ходил. Если пускать по айпи, то будет понятно только то, что с этого айпи ходили туда и туда, а кто именно - нет.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "squid 2.5 + win2000 SP4"
Сообщение от Mikhail Искать по авторуВ закладки on 08-Сен-03, 15:57  (MSK)
$squid -v
Squid Cache: Version 2.5.STABLE2

squid.conf:
...
ie_refresh on

ничего такого нет. Может, squid обновить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "squid 2.5 + win2000 SP4"
Сообщение от Денис Искать по авторуВ закладки on 08-Сен-03, 16:10  (MSK)
>$squid -v
>Squid Cache: Version 2.5.STABLE2
>
>squid.conf:
>...
>ie_refresh on
>
>ничего такого нет. Может, squid обновить?

А может и так, у меня вообще 2.4.STABLE1 стоит.. я и не обращал даже внимания ;)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 16:14  (MSK)
есть такая буква. Но включение этой опции не помогло. Что характерно, кстати, опера (7-ая версия) тоже не работает.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "squid 2.5 + win2000 SP4"
Сообщение от Mikhail Искать по авторуВ закладки on 08-Сен-03, 16:21  (MSK)
Странно... У меня и IE, и Opera работает. Что я не так делаю? :-)
Включи 'debug_options ALL,1 33,2 28,9', почитай cache.log и log.winbindd.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 16:25  (MSK)
>Странно... У меня и IE, и Opera работает. Что я не так
>делаю? :-)
>Включи 'debug_options ALL,1 33,2 28,9', почитай cache.log и log.winbindd.

А у тебя SP 4 стоит? я уверен, что дело в сервис-паке, т.к. на моей машине (SP 3), например, стоит IE 6 со всеми апдейтами - и все окей. Так что вряд ли только в IE дело.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "squid 2.5 + win2000 SP4"
Сообщение от Mikhail Искать по авторуВ закладки on 08-Сен-03, 16:33  (MSK)
Клиентов несколько десятков, в основном с SP4 (почти все) + security updates, IE 5.5 и выше с SP2 + cumulative update. У некоторых SP3.
Есть и win9x машины. Разницы особой не замечено.
Оперой пользуются двое (+я), basic тоже используется. Все, что нужно, работает.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "squid 2.5 + win2000 SP4"
Сообщение от Денис Искать по авторуВ закладки on 08-Сен-03, 16:35  (MSK)
>Клиентов несколько десятков, в основном с SP4 (почти все) + security updates,
>IE 5.5 и выше с SP2 + cumulative update. У некоторых
>SP3.
>Есть и win9x машины. Разницы особой не замечено.
>Оперой пользуются двое (+я), basic тоже используется. Все, что нужно, работает.


Да у меня тоже, собственно всё работало в подобном случае, только вот иной раз с рефрешем были проблемы, сейчас благодаря Михаилу знаю по крайней как их решить, за что и спасибо ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 16:44  (MSK)
последовал совету Михаила, вот что в логах есть из любопытного:

2003/09/08 16:36:10| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2003/09/08 16:36:10| aclMatchAcl: returning 0 sending authentication challenge.

что бы это значило????

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "squid 2.5 + win2000 SP4"
Сообщение от Mikhail Искать по авторуВ закладки on 08-Сен-03, 16:57  (MSK)
1) browser шлет запрос к прокси: дай мне, мол, адрес ...
2) прокси возвращает ответ: так не пущу, давай authenticate
3) browser повторяет запрос, уже с proxy_auth header.
4) squid передает header программе, описанной в squid.conf как auth_param ntlm program и/или external_acl_type
5) та проверяет правильность (при ntlm - через winbind, тут нам его логи и пригодятся) и возвращает OK или ERR
6) если OK - прокси выполняет запрос, при ERR - возвращается TCP_DENIED/407.

Скорее всего, это был 1-й запрос, так?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 17:05  (MSK)
все так, как ты говоришь, эта увлекательная история одного-единственного запроса расписана в логах на две страницы. Я о другом - почему "ломается" заголовок proxy_header??? Логи winbindd'а практически бесполезны, в них ведутся записи успешно авторизовавшихся юзеров. Во всяком случае, до него дело не доходит, как это видно из лога сквида:

2003/09/08 16:36:10| aclCheck: checking 'http_access allow users'
2003/09/08 16:36:10| aclMatchAclList: checking users
2003/09/08 16:36:10| aclMatchAcl: checking 'acl users proxy_auth_regex -i ivanov'
2003/09/08 16:36:10| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2003/09/08 16:36:10| aclMatchAcl: returning 0 sending authentication challenge.
2003/09/08 16:36:10| aclMatchAclList: returning 0
2003/09/08 16:36:10| aclCheck: requiring Proxy Auth header.
2003/09/08 16:36:10| aclCheck: match found, returning 2
2003/09/08 16:36:10| aclCheckCallback: answer=2
2003/09/08 16:36:10| The request GET http://mail.ru/ is DENIED, because it matched 'users'

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "squid 2.5 + win2000 SP4"
Сообщение от Eugene emailИскать по авторуВ закладки on 08-Сен-03, 17:39  (MSK)
Люди, не ищите ответа
скорее всего не найдёте

после SP4 с виндой 2000 даже 4NT не дружит, а вы хотите чтоб самба нормально проводила авторизацию пользователей

что-то они там поменяли в плане передачи паролей

поситайте форум за последние дни, не только у вас такая проблема

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 17:41  (MSK)
хм... а тут люди уверяют, что у них все работает...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "squid 2.5 + win2000 SP4"
Сообщение от Eugene emailИскать по авторуВ закладки on 08-Сен-03, 17:47  (MSK)
Ну незнаю

у меня не заработало
и бегал я вокруг и в бубен бил и знакомым шаманам звонил
НЕ ЗАРАБОТАЛО
не помогло и удаление этого SP4

может попробовать использовать самбу 3-ю

может я и дурак, но факт остаётся фактом


  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 08-Сен-03, 18:05  (MSK)
как раз это и хочу сделать. Сливаю последний релиз самбы, посмотрим, что из ее установки выйдет.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "squid 2.5 + win2000 SP4"
Сообщение от Mikhail Искать по авторуВ закладки on 08-Сен-03, 18:57  (MSK)
Скажем так: после установки ничего не изменилось. О проблеме узнал сегодня из форума. Почти вся сетка через squid ходит, ставим его практически с момента выхода, никто не жаловался. Были проблемы, но с серверами приложений.

А граблей в SP4 немало, если интересно - http://w2knews.com/anecdotes.htm

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 09-Сен-03, 10:21  (MSK)
Гм, я вот что сделал: сквид трогать погодил, а  поставил сервиск-пак на клиента w2k Prof. До этого, сорри, речь шла о w2k Server. Так с клиентом Prof никаких проблем - нормально все проходит. А вот с сервером - да, проблема имеет место. Причем трабла связана с IE - он не шлет заголовки для прокси с именем юзера. После ребута Opera заработала и нормально работает: запрашивает имя и пароль юзера, и так же нормально, без проблем шлет их прокси. Так что прокси тут не причем.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "squid 2.5 + win2000 SP4"
Сообщение от Custom emailИскать по авторуВ закладки on 09-Сен-03, 11:49  (MSK)
Неделю назад доковырял этот же набор Squid + Winbind + AD.
На всех клинтских машинах, на серверах - везде стоят SP4.
Проблем с авторизацией вообще не заметил ни на рабочих станциях (win2k+sp4), ни на серверах (w2k advanced server + SP4). Смотри работу winbind , wb_ntlmauth ,  wb_auth ... компилил все правильно ? Без ошибок ? :)))
  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "squid 2.5 + win2000 SP4"
Сообщение от Sampan Искать по авторуВ закладки on 09-Сен-03, 14:22  (MSK)
>До этого, сорри, речь шла о w2k Server.

Учитывая новую политику MS, чуть ли не исключения IE на серверных платформах (Win2003), вполне возможно, что SP4 молча "закручивает гайки" на серверах

Погляди в настройках безопасности IE для зоны "Интернет". Там есть "Проверка подлинности пользователя". Возможные варианты:

-Автоматический вход с текущим именем пользователя
-Автоматический вход только в зоне интрасети
-Анонимный вход
-Запрос имени пользователя и пароля

Поиграй с ними, может чего получится

Есть еще одно коварное место, где MS могла напортачить
В политиках безопасности (локальных и домена), раздел "параметры безопасности" есть настройка "Уровень проверки подлинности Lan manager"
Возможные варианты:
-Посылать ответ LM и NTLM
-Посылать ответ только NTLM
-Посылать ответ только NTLMv2
-Посылать ответ только NTLMv2 и отказывать LM
-Посылать ответ только NTLMv2 и отказывать LM и NTLM

Мне кажется, это может влиять на внешнюю авторизацию.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "squid 2.5 + win2000 SP4"
Сообщение от Dmitry Искать по авторуВ закладки on 09-Сен-03, 16:15  (MSK)
Спасибо, друг! помогло ковырянье в

-Автоматический вход с текущим именем пользователя
-Автоматический вход только в зоне интрасети
-Анонимный вход
-Запрос имени пользователя и пароля

почему-то эта падла, IE, заработала только с анонимным входом. Что характерно, в логах прокси все равно имя юзера есть ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "squid 2.5 + win2000 SP4"
Сообщение от 2vl emailИскать по авторуВ закладки on 09-Сен-03, 18:36  (MSK)
Будем знать !!!
зы . "падла, IE, заработала" :))))) супер !!
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру