The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Wsus не проходит авторизацию Squid 3.1.018"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 08:48 
День добрый.

Есть проблема Wsus не проходит basic авторизацию чеез Squid 3.1.018, при включенной ntlm авторизации.

Конфиг Squid:


auth_param ntlm program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-basic
# Количество процессов авторизации запросов
auth_param basic children 30
# Надпись на окне аутентификации
auth_param basic realm Squid proxy-caching web server
# Указываем время хранения авторизации, в данном случае 2 часа.
# credentialsttl  2 minutes 2 hours
auth_param basic credentialsttl 2 hours
# указываем, что регистр введенных данных роли не играет
auth_param basic casesensitive on

# Логин, только с одного IP адреса
# authenticate_ip_ttl 0

# Samba хранит группу пользователя из AD как указано в конфиге, Squid хранит около 1 часа
# Что б после смены группы пользователя в AD не ждать 1 час нужно установить ttl=0
# тогда при следующем логине в Squid пользователь будет отработан по нужной группе
external_acl_type win_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl inet_all   external win_group access_full

acl inet_32    external win_group speed_32
acl inet_64    external win_group speed_64
acl inet_96    external win_group speed_96
acl inet_unlim external win_group speed_unlim

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.10.0/24

acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

acl squidusers proxy_auth REQUIRED

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet squidusers inet_all inet_32
http_access deny localnet squidusers inet_all inet_32
http_access allow localnet squidusers inet_all inet_64
http_access deny localnet squidusers inet_all inet_64
http_access allow localnet squidusers inet_all inet_96
http_access deny localnet squidusers inet_all inet_96
http_access allow localnet squidusers inet_all inet_unlim
http_access deny all
# Разрешено все.
# http_access allow all

На сервере Wsus указано ходить через basic авторизацию.
Если в squid выключаю ntlm авторизицию wsus нормально конектится и работает без вопросов.

При включенной ntlm пробовал логинится под локальным пользователем и выйти в инет через прокси, при авторизации пользователя (т.к. он не доменный) система выкидывает окно для ntlm авторизации, а по идее должно выпадать окно basic авторизации (окна ntlm и basic авторизации, для ввода логина и пароля, внешне отличаются).

Из этого делаю для себя вывод, что если в моем конфиге включена ntlm, то любой пользователь ломится в инет только через ntlm, не доходя до basic авторизации.
Хотя если я выключаю basic а ntlm включена, то ICQ, в которой прописан логин и пароль, матерится что пароль не верен. Т.е. вроде как ICQ использует basic авторизацию при включенной ntlm.

Samba и winbind работают без вопросов.
Доступ пользователям в инет реализован так:
- пользователь должен прийти с локальной подсети
- должен входить в группу AD internet_access
- в группу по доступу inet_all
- в группу по скорости инета (inet_32 или inet_64 или inet_96 или inet_unlim)
Если пользователь не входит в какую либо группу инет закрыт.

Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all, inet_64.

Помогите пожалуйста разобраться и докрутить конфиг.
Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от daevy on 01-Окт-09, 09:13 
Доброе утро, я бы посмотрел сначала в log/squid/cache.log и log/samba/*
скорей всего проблема при передаче аутентификационной строки между проксёй и контроллером
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 09:19 
>Доброе утро, я бы посмотрел сначала в log/squid/cache.log и log/samba/*
>скорей всего проблема при передаче аутентификационной строки между проксёй и контроллером

Если выключаю ntlm, то по basic все работает нормально. Т.е. такое ощущение что когда ntlm видит что пользователя нет, не передает на basic авторизацию.

Или Wsus не запрашивает basic авторизацию, а ломится как то не так. Хотя на wsus галка и длгин с паролем стоят.
Добавлю пользователь от которого wsus пытается выйти в инет, нормально ходит в инет...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от PJ (ok) on 01-Окт-09, 12:43 
>[оверквотинг удален]
> - в группу по доступу inet_all
> - в группу по скорости инета (inet_32 или inet_64 или inet_96
>или inet_unlim)
>Если пользователь не входит в какую либо группу инет закрыт.
>
>Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all,
>inet_64.
>
>Помогите пожалуйста разобраться и докрутить конфиг.
>Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.

acl windowsupdate dstdomain -i "/usr/local/etc/squid/windowsupdate"
no_cache deny windowsupdate

http_access allow windowsupdate
# этот http_access нужно поставить перед http_access deny all
# не забываем, что squid.conf парсится сверху вниз и слева направо

в файлике /usr/local/etc/squid/windowsupdate пишем такое

windowsupdate.microsoft.com
update.microsoft.com
activex.microsoft.com
download.windowsupdate.com
www.download.windowsupdate.com
codecs.microsoft.com
stats.updates.microsoft.com
c.microsoft.com

в результате на эти сайты машины ходят сами без пароля, но через squid. В access.log будет IP-адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 12:55 
>[оверквотинг удален]
>update.microsoft.com
>activex.microsoft.com
>download.windowsupdate.com
>www.download.windowsupdate.com
>codecs.microsoft.com
>stats.updates.microsoft.com
>c.microsoft.com
>
>в результате на эти сайты машины ходят сами без пароля, но через
>squid. В access.log будет IP-адрес.

Спасибо, это как вариант...
Но как все же заставить ходить Wsus по basic авторизации ?
Не красиво пускать на windows update, т.к. если есть юзвери с правами локального админа могут начать на прямую обновляться, а что б забанить нужно еще и PF крутить ....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от PJ (ok) on 01-Окт-09, 13:07 
>[оверквотинг удален]
>>c.microsoft.com
>>
>>в результате на эти сайты машины ходят сами без пароля, но через
>>squid. В access.log будет IP-адрес.
>
>Спасибо, это как вариант...
>Но как все же заставить ходить Wsus по basic авторизации ?
>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>локального админа могут начать на прямую обновляться, а что б забанить
>нужно еще и PF крутить ....

а разве после развертывания WSUS у тебя машины не перенастроены на него вместо windowsupdate?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 13:43 
>[оверквотинг удален]
>>>squid. В access.log будет IP-адрес.
>>
>>Спасибо, это как вариант...
>>Но как все же заставить ходить Wsus по basic авторизации ?
>>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>>локального админа могут начать на прямую обновляться, а что б забанить
>>нужно еще и PF крутить ....
>
>а разве после развертывания WSUS у тебя машины не перенастроены на него
>вместо windowsupdate?

Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка есть )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от PJ (ok) on 01-Окт-09, 13:40 
>[оверквотинг удален]
>>c.microsoft.com
>>
>>в результате на эти сайты машины ходят сами без пароля, но через
>>squid. В access.log будет IP-адрес.
>
>Спасибо, это как вариант...
>Но как все же заставить ходить Wsus по basic авторизации ?
>Не красиво пускать на windows update, т.к. если есть юзвери с правами
>локального админа могут начать на прямую обновляться, а что б забанить
>нужно еще и PF крутить ....

ну сделай правило для него, WSUS единственного

acl wsus src IP.ADDR.OF.WSUS

...


http_access allow wsus windowsupdate
http_access deny all


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 13:47 
>[оверквотинг удален]
>
>ну сделай правило для него, WSUS единственного
>
>acl wsus src IP.ADDR.OF.WSUS
>
>...
>
>
>http_access allow wsus windowsupdate
>http_access deny all

Все же хочется раскурить нормально ntlm и basiс...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от Том Сойер on 01-Окт-09, 13:52 

>
>Все же хочется раскурить нормально ntlm и basiс...

Очередность. Сначала basic затем ntlm

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 01-Окт-09, 15:06 
>
>>
>>Все же хочется раскурить нормально ntlm и basiс...
>
>Очередность. Сначала basic затем ntlm

Пробовал, не влияет...
Если поставить basic перед ntlm и зайти не из доменного компа, то при авторизации в браузере, выдает окно ntlm а не basic авторизации ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 02-Окт-09, 08:37 
>>
>>>
>>>Все же хочется раскурить нормально ntlm и basiс...
>>
>>Очередность. Сначала basic затем ntlm
>
>Пробовал, не влияет...
>Если поставить basic перед ntlm и зайти не из доменного компа, то
>при авторизации в браузере, выдает окно ntlm а не basic авторизации
>...

Больше нет вариантов ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от daloman on 02-Окт-09, 11:00 
>[оверквотинг удален]
>>>
>>>Очередность. Сначала basic затем ntlm
>>
>>Пробовал, не влияет...
>>Если поставить basic перед ntlm и зайти не из доменного компа, то
>>при авторизации в браузере, выдает окно ntlm а не basic авторизации
>>...
>
>а разве после развертывания WSUS у тебя машины не перенастроены на него
>вместо windowsupdate?

Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка есть )))

>Больше нет вариантов ?

Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 02-Окт-09, 13:36 
>[оверквотинг удален]
>>
>>а разве после развертывания WSUS у тебя машины не перенастроены на него
>>вместо windowsupdate?
>
>Настроены, но локальный админ, может обновляться и с сервера microsoft, там ссылка
>есть )))
>
>>Больше нет вариантов ?
>
>Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.

Запрет в брандмауэре это отдельная песня...
Как заставит Wsus ломиться через squid по basic авторизации. Вот в чем вопрос!!!
Пускать напрямую не хочу ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от daloman on 02-Окт-09, 17:08 
>[оверквотинг удален]
>>есть )))
>>
>>>Больше нет вариантов ?
>>
>>Есть, запретите на брэндмауэре это безобразие, пускайте трафик однозначно через сквид.
>
>Запрет в брандмауэре это отдельная песня...
>Как заставит Wsus ломиться через squid по basic авторизации. Вот в чем
>вопрос!!!
>Пускать напрямую не хочу ...

А почему именно basic авторизация? У меня WSUS 3.0 SP1 использует ntlm_auth. Пользователь - член группы Backup Operators.

Насчет выбора схемы авторизации, я так понял, что схема выбирается в порядке представления в конфиге сквида.
По поводу IE - у него есть некоторая особенность: если первой представлена схема basic, но также за нех представлены более надежные схемы, он все-равно будет выбирать схему basic. И как я понял, единственный надежный вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/

Что касается WSUS 3.0 - в настройках соединения есть параметр

"Разрешить обычную проверку подлинности (пароль передается открытым текстом)"
. Если использовать ее?

И кстати, какой у Вас WSUS ??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от daloman on 02-Окт-09, 17:25 
>[оверквотинг удален]
>представления в конфиге сквида.
>По поводу IE - у него есть некоторая особенность: если первой представлена
>схема basic, но также за нех представлены более надежные схемы, он
>все-равно будет выбирать схему basic. И как я понял, единственный надежный
>вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/
>
>Что касается WSUS 3.0 - в настройках соединения есть параметр
"Разрешить обычную 
>проверку подлинности (пароль передается открытым текстом)"
. Если использовать ее?

>
>И кстати, какой у Вас WSUS ??

И еще, какая версия сквида у Вас стоит, и почему такой helper указан для схемы basic?

auth_param basic program /usr/local/bin/ntlm_auth

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от PJ (ok) on 02-Окт-09, 21:40 
>
>И еще, какая версия сквида у Вас стоит, и почему такой helper
>указан для схемы basic?
>
auth_param basic program /usr/local/bin/ntlm_auth

все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ

--helper-protocol=squid-2.5-basic

С разными хелперами squid не будет работать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 03-Окт-09, 08:46 
>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>
auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>
--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Вот это ближе к теме.
Буду смотреть, спасибо...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 03-Окт-09, 09:15 
>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>
auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>
--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Сразу же вопрос.
А как правильно прописать?
Уже обгуглился и руки опускаются...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 03-Окт-09, 09:56 
>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>
auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>
--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Тут https://www.opennet.ru/man.shtml?topic=ntlm_auth&category=1&r... говорят что будет работать...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 05-Окт-09, 10:48 
>>
>>И еще, какая версия сквида у Вас стоит, и почему такой helper
>>указан для схемы basic?
>>
auth_param basic program /usr/local/bin/ntlm_auth

>
>все правильно. хелпер один, но протоколы разные. Обратите внимание на ключ
>
>
--helper-protocol=squid-2.5-basic

>
>С разными хелперами squid не будет работать

Все же, подскажите пожалуйста как мне правильно поступить что б заработала basic авторизация вместе с ntlm?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 03-Окт-09, 08:44 
>[оверквотинг удален]
>представления в конфиге сквида.
>По поводу IE - у него есть некоторая особенность: если первой представлена
>схема basic, но также за нех представлены более надежные схемы, он
>все-равно будет выбирать схему basic. И как я понял, единственный надежный
>вариант - использовать только одну схему. http://www.squid-cache.org/Doc/config/auth_param/
>
>Что касается WSUS 3.0 - в настройках соединения есть параметр
"Разрешить обычную 
>проверку подлинности (пароль передается открытым текстом)"
. Если использовать ее?

>
>И кстати, какой у Вас WSUS ??

Wsus 3.2
Галки видел и ставил и 35 раз перегружал Wsus, не работает ни с галкой ни без нее.
Squid 3.1.0.13, тот что последний в портах.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Wsus не проходит авторизацию Squid 3.1.018"  +/
Сообщение от kharkov_max email(ok) on 06-Окт-09, 10:32 
>[оверквотинг удален]
>>
>>Что касается WSUS 3.0 - в настройках соединения есть параметр
"Разрешить обычную 
>>проверку подлинности (пароль передается открытым текстом)"
. Если использовать ее?

>>
>>И кстати, какой у Вас WSUS ??
>
>Wsus 3.2
>Галки видел и ставил и 35 раз перегружал Wsus, не работает ни
>с галкой ни без нее.
>Squid 3.1.0.13, тот что последний в портах.

Up

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру