Исходное сообщение
"Wsus не проходит авторизацию Squid 3.1.018" Отправлено kharkov_max, 01-Окт-09 08:48
День добрый. Есть проблема Wsus не проходит basic авторизацию чеез Squid 3.1.018, при включенной ntlm авторизации. Конфиг Squid: auth_param ntlm program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-basic # Количество процессов авторизации запросов auth_param basic children 30 # Надпись на окне аутентификации auth_param basic realm Squid proxy-caching web server # Указываем время хранения авторизации, в данном случае 2 часа. # credentialsttl  2 minutes 2 hours auth_param basic credentialsttl 2 hours # указываем, что регистр введенных данных роли не играет auth_param basic casesensitive on # Логин, только с одного IP адреса # authenticate_ip_ttl 0 # Samba хранит группу пользователя из AD как указано в конфиге, Squid хранит около 1 часа # Что б после смены группы пользователя в AD не ждать 1 час нужно установить ttl=0 # тогда при следующем логине в Squid пользователь будет отработан по нужной группе external_acl_type win_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl acl inet_all   external win_group access_full acl inet_32    external win_group speed_32 acl inet_64    external win_group speed_64 acl inet_96    external win_group speed_96 acl inet_unlim external win_group speed_unlim acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl localnet src 192.168.10.0/24 acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT acl squidusers proxy_auth REQUIRED http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet squidusers inet_all inet_32 http_access deny localnet squidusers inet_all inet_32 http_access allow localnet squidusers inet_all inet_64 http_access deny localnet squidusers inet_all inet_64 http_access allow localnet squidusers inet_all inet_96 http_access deny localnet squidusers inet_all inet_96 http_access allow localnet squidusers inet_all inet_unlim http_access deny all # Разрешено все. # http_access allow all На сервере Wsus указано ходить через basic авторизацию. Если в squid выключаю ntlm авторизицию wsus нормально конектится и работает без вопросов. При включенной ntlm пробовал логинится под локальным пользователем и выйти в инет через прокси, при авторизации пользователя (т.к. он не доменный) система выкидывает окно для ntlm авторизации, а по идее должно выпадать окно basic авторизации (окна ntlm и basic авторизации, для ввода логина и пароля, внешне отличаются). Из этого делаю для себя вывод, что если в моем конфиге включена ntlm, то любой пользователь ломится в инет только через ntlm, не доходя до basic авторизации. Хотя если я выключаю basic а ntlm включена, то ICQ, в которой прописан логин и пароль, матерится что пароль не верен. Т.е. вроде как ICQ использует basic авторизацию при включенной ntlm. Samba и winbind работают без вопросов. Доступ пользователям в инет реализован так: - пользователь должен прийти с локальной подсети - должен входить в группу AD internet_access - в группу по доступу inet_all - в группу по скорости инета (inet_32 или inet_64 или inet_96 или inet_unlim) Если пользователь не входит в какую либо группу инет закрыт. Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all, inet_64. Помогите пожалуйста разобраться и докрутить конфиг. Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.