The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Согласование Kerberos и Basic аутентификации"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Согласование Kerberos и Basic аутентификации"  +/
Сообщение от Feudoor (ok) on 11-Дек-15, 03:03 
Добрый день.

Имеем Squid 3.4.4 на OpenSuSE 13.2, домен на Active Directory. Настроена сквозная аутентификация на Squid по Kerberos. Задача - для машин (учетных записей, телефонов, планшетов, etc), которые не в домене, использовать Basic-аутентификацию.

Секция настроек аутентификации (реальные имена заменены на вымышленные):

# Настройки аутентификации - Kerberos only
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -r -s HTTP/proxy.domain.ru@DOMAIN.RU
auth_param negotiate children 100
auth_param negotiate keep_alive on

# Настройки аутентификации - Basic (если не проходит остальное (для недоменных машин))
auth_param basic program /usr/sbin/basic_ldap_auth -R -D proxy@domain.ru -W /etc/squid/ad_user_pass.txt -b "dc=domain,dc=ru" -f "sAMAccountName=%s" dc.domain.ru
auth_param basic children 20
auth_param basic realm Corporate proxy server
auth_param basic credentialsttl 10 hour

Проблема следующая. Если с недоменной учетной записи ломиться в интернет через прокси, то выскакивает окно для ввода логина-пароля. Это, в принципе, правильно, но это окно не является окном секции Basic-аутентификации, т.к. в нем не содержится содержимое директивы auth_param basic realm. Другими словами, если бы это окно было вызвано Basic-схемой, то в нем было бы написано "Corporate proxy server", а в нашем случае написано "Выполняется подключение к серверу <доменное имя сервера>. Вводим логин-пароль, прокси отфутболивает. В логах при этом видно, что производится попытка аутентификации по Kerberos. Если подождать минуту-две и снова пихнуть логин-пароль, то прокси успешно пропускает и в логах видно, что запущен процесс Basic-аутентификации.

Внимание, вопрос. Что в Squid отвечает за согласование процессов аутентификации? Как его заставить предлагать пользователю Basic, если не проходит Kerberos?

P.S. Конфиг, который я выложил, успешно работал до вчерашнего дня. Абсолютно ничего в нем не трогали и не меняли, проблема появилась, как ни странно, сама по себе. Может, какой-то доп. процесс в Squid есть, который валится?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Согласование Kerberos и Basic аутентификации"  +/
Сообщение от ipmanyak (??) on 14-Дек-15, 15:46 
в хроме просит пароль? Если да, то это проблема самого хрома, после апдйэта, он был в районе 3 декабря и пароль просит на сайты HTTP, на HTTPS не просит. В IE и других бразерах проблемы не было. Намедни хром выпустил апдэйт, новая версия Версия 47.0.2526.80 m.
Проверь в ней.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру