The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid ntlm аутентификация"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Учет трафика, статистика / Linux)
Изначальное сообщение [ Отслеживать ]

"squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 16-Дек-10, 17:39 
у меня squid + AD (ntlm)
пользователей 100 чел
иногда браузер запрашивает логин/пароль
такое впечатление , что отваливается связь с контроллером домена
есть под зрение что это ограничение количества подключений
тыкаешься раз по 5 , а потом пускает в Инет
Вопрос
как можно увеличить количество подключений (это или samba или kerberos или winbind )
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid ntlm аутентификация"  +/
Сообщение от koblin (ok) on 17-Дек-10, 09:14 
> такое впечатление , что отваливается связь с контроллером домена
> есть под зрение что это ограничение количества подключений

ну почему никто не читает логи, зачем гадать?! там наверняка указана точная причина и погуглив ошибку - найдете решение

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 17-Дек-10, 12:21 
Логи действительно надо посмотреть.  А скорее всего надо увеличить число
auth_param ntlm children


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 27-Дек-10, 12:10 
> Логи действительно надо посмотреть.  А скорее всего надо увеличить число
> auth_param ntlm children

auth_param ntlm children = 150

ошибка 407
Причем возникает моментально при поытки отправить файл через почту Например зашел пользователь на Yuandex и пытается пристегнуть файл Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной.
Сто может такое происходить . Очень нужна помошь .

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 27-Дек-10, 12:11 
> Логи действительно надо посмотреть.  А скорее всего надо увеличить число
> auth_param ntlm children

auth_param ntlm children = 150

ошибка 407
Причем возникает моментально при попытке отправить файл через почту. Например зашел пользователь на Yandex и пытается пристегнуть файл. Squid выдает запрос на авторизацию и инет отваливатеся . Если закрыть браузер и открыть снова , то операция по отправке файла будет успешной. Барузер IE 7 по умолчанию
Сто может такое происходить . Очень нужна помошь .

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 06:25 
squid.conf неплохо бы было показать обществу.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 06:28 
> squid.conf неплохо бы было показать обществу.

и версию squid тоже.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 28-Дек-10, 09:19 
>> squid.conf неплохо бы было показать обществу.
> и версию squid тоже.

squid 3.0
squid.conf почти весь закоментирован  
вынес настройки по файлам
Вот наиболее важные параметры

include /etc/squid/includes/auth.conf
include /etc/squid/includes/acl.conf
include /etc/squid/includes/http_access.conf
icp_access allow localnet
icp_access deny all
http_port 8080
cache_mem 2048 MB
maximum_object_size_in_memory 4096 KB
memory_replacement_policy lru
cache_dir ufs /var/cache/squid 10960 36 256
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
pid_filename /var/run/squid.pid

вот auth.conf

auth_param ntlm children 150
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 150
auth_param basic realm Domain Squid Proxy Server One
auth_param basic credentialsttl 6 hours

В день не менее 500 человек ломится в инет

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 09:29 
Это вообще всё под какой ОС работает?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 28-Дек-10, 09:37 
> Это вообще всё под какой ОС работает?

Вообще под RHEL 4
4 ГБ RAM

Все работает прекрасно . Просто иногда запрашивает аутентификацию . Именно иногда , не постоянно

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 12:16 
У меня Squid версии 2.x работает под FreeBSD 6.х Различия в синтаксисе squid.conf для версии 2.х и 3.х наверняка имеются, но общий смысл думаю одинаков. В squid.conf авторизация у меня  прописана так:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 8
auth_param ntlm keep_alive on
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 2
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 30 minutes
auth_param basic casesensitive off

Для Samba в smb.conf секция [global]

winbind offline logon = true
winbind cache time = 900

Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 28-Дек-10, 13:05 
>[оверквотинг удален]
> auth_param ntlm keep_alive on
> auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> auth_param basic children 2
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 30 minutes
> auth_param basic casesensitive off
> Для Samba в smb.conf секция [global]
> winbind offline logon = true
> winbind cache time = 900
> Пользователей около 100, авторизацию бывает запрашивает, но крайне редко.

Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С чем связяно

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 13:19 

> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
> чем связяно

Меня это не "напрягает", так как это происходит очень редко. Пользователи не жалуются.
А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 28-Дек-10, 13:42 
>> Вот и у меня запрашивает авторизацию крайне редко Вопрос почему ? С
>> чем связяно
> Меня это не "напрягает", так как это происходит очень редко. Пользователи не
> жалуются.
> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html

Ссылку посмоерел . Спасибо
Тока вот что странно как у него без password server работает ntlm авторизация
У меня 2 контроллера AD и я в Password server указваю имена обоих (для отказоустойчивости)

естественно имена DNS в resolv.conf

а в smb.conf

winbind use default domain = true
winbind offline logon = false

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "squid ntlm аутентификация"  +/
Сообщение от zandyg email(ok) on 28-Дек-10, 14:02 

>  winbind use default domain = true
>  winbind offline logon = false

А надо бы
winbind use default domain = no
winbind offline logon = true
Этот параметр определяет можно ли осуществлять подключение с модулем pam_winbind используя Cached Credentials. Если позволено, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кеше в зашифрованном виде.

и увеличить(по умолчанию 300 сек)
winbind cache time =

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 28-Дек-10, 14:06 
>[оверквотинг удален]
>> А почему? - вот похожая тема _https://www.opennet.ru/openforum/vsluhforumID12/6515.html
> Ссылку посмоерел . Спасибо
> Тока вот что странно как у него без password server работает ntlm
> авторизация
> У меня 2 контроллера AD и я в Password server указваю имена
> обоих (для отказоустойчивости)
> естественно имена DNS в resolv.conf
> а в smb.conf
>  winbind use default domain = true
>  winbind offline logon = false

Да и кстати winbind cache time = 600 вообще вытер за ненадобностью Никакие пароли winbind кэшировать не будет . И не надо .... А то как то раз рухнул кэш winbind . это был фильм


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "squid ntlm аутентификация"  +/
Сообщение от Moomintroll (ok) on 29-Дек-10, 19:39 
> у меня squid + AD (ntlm)
> пользователей 100 чел
> иногда браузер запрашивает логин/пароль

И всё мимо...

На самом деле копать надо совсем в другую сторону - убери "auth_param ntlm keep_alive on", ибо:

# "keep_alive" on|off
# Whether to keep the connection open after the initial response where
# Squid tells the browser which schemes are supported by the proxy.
# Some browsers are known to present many login popups or to corrupt
# POST/PUT requests transfer if the connection is not closed.
# The default is currently OFF to avoid this, but may change.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 30-Дек-10, 12:12 
>[оверквотинг удален]
> # "keep_alive" on|off
>  # Whether to keep the connection open after the initial response
> where
>  # Squid tells the browser which schemes are supported by the
> proxy.
>  # Some browsers are known to present many login popups or
> to corrupt
>  # POST/PUT requests transfer if the connection is not closed.
>  # The default is currently OFF to avoid this, but may
> change.

Я скорее всего ошибаюсь но мне кажется что если поставить в off то вообще как то терятся будет смысл авторизации Наверное всетаки придется прикрутить Openldap и синхрить его с АД

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 30-Дек-10, 12:38 
>[оверквотинг удален]
>>  # Squid tells the browser which schemes are supported by the
>> proxy.
>>  # Some browsers are known to present many login popups or
>> to corrupt
>>  # POST/PUT requests transfer if the connection is not closed.
>>  # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АД

Хотя я тут покрутился и... Низкое человеческое спасибо за ценный совет

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "squid ntlm аутентификация"  +/
Сообщение от ALex_hha (ok) on 01-Янв-11, 15:47 
>[оверквотинг удален]
>>  # Squid tells the browser which schemes are supported by the
>> proxy.
>>  # Some browsers are known to present many login popups or
>> to corrupt
>>  # POST/PUT requests transfer if the connection is not closed.
>>  # The default is currently OFF to avoid this, but may
>> change.
> Я скорее всего ошибаюсь но мне кажется что если поставить в off
> то вообще как то терятся будет смысл авторизации Наверное всетаки придется
> прикрутить Openldap и синхрить его с АД

о ло ло, ты хоть представляешь насколько это сложно и геморно?! :)


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "squid ntlm аутентификация"  +/
Сообщение от merfi (ok) on 18-Янв-11, 14:35 
>[оверквотинг удален]
> # "keep_alive" on|off
>  # Whether to keep the connection open after the initial response
> where
>  # Squid tells the browser which schemes are supported by the
> proxy.
>  # Some browsers are known to present many login popups or
> to corrupt
>  # POST/PUT requests transfer if the connection is not closed.
>  # The default is currently OFF to avoid this, but may
> change.

Вот так и сделал Уже 3 недели нет проблем тьфу-тьфу

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру