The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"И снова и снова и без конца. squid, ntlm и ICQ"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от BlackFalcon on 13-Июл-09, 15:47 
Всё опять же, одно и тоже, вновь и вновь. Может у кого были подобные затруднения.

Рассматриваемая связка - winbind, squid, sams и треклятая ICQ в качестве клиента.

squid завязан с sams, где ведутся списки пользователей.

Авторизация через ntlm_auth хелпер для юзеров домена. winbind для получения списка пользователей домена.

ВСЁ работает. Авторизация IE - на ура, ни одной ошибки.


А вот QIP Infium (галочка ауетнтификация и NTLM соответственно)...

Короче, вот кусок access.log

Для пользователя kovalchuykey (подключение НЕУСПЕШНОЕ)

1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- text/html
1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443 POB227\kovalchukey DIRECT/205.188.251.43 -

Для пользователя sosunovaja (подключение УСПЕШНОЕ)

1247485533.814      0 10.0.6.102 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- text/html
1247485535.062   1246 10.0.6.102 TCP_MISS/200 357 CONNECT login.icq.com:443 POB227\sosunovaja DIRECT/64.12.161.153 -
1247485535.064      0 10.0.6.102 TCP_DENIED/407 2412 CONNECT 64.12.25.41:443 - NONE/- text/html  

Вот такая вот история. Кленты, настройки, ВСЁ ОДИНАКОВОЕ.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от callback (ok) on 16-Июл-09, 00:46 
>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -

Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от BlackFalcon on 21-Июл-09, 12:50 
>>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -
>
>Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой
>к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....
>

То же самое с принудительной привязкой, только теперь уже с другим клиентом. Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось бы несколько некультурнее...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от callback (ok) on 21-Июл-09, 13:11 
>>>1247485070.518      0 10.0.6.119 TCP_DENIED/407 2420 CONNECT login.icq.com:443 - NONE/- >text/html
>>>1247485071.058    519 10.0.6.119 TCP_MISS/200 0 CONNECT login.icq.com:443  >POB227\kovalchukey DIRECT/205.188.251.43 -
>>
>>Как минимум IP разные,  попробуйте выполнить то-же самое с принудительной привязкой
>>к серверу 64.12.161.153, далее будет видно куда смотреть как по мне.....
>>
>
>То же самое с принудительной привязкой, только теперь уже с другим клиентом.
>Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось
>бы несколько некультурнее...

Я бы сказал с большей уверенностью что ACL тут явно при делах...

Прксирование прозрачно настроено? У пользователей прописан адрес или настройки выданы иным путем?

Можно начальный ACL взглянуть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от BlackFalcon on 21-Июл-09, 18:14 
>[оверквотинг удален]
>>Выборочное подбривание юзера, вот бы я как выразился, а вообще хотелось
>>бы несколько некультурнее...
>
>Я бы сказал с большей уверенностью что ACL тут явно при делах...
>
>
>Прксирование прозрачно настроено? У пользователей прописан адрес или настройки выданы иным путем?
>
>
>Можно начальный ACL взглянуть?

Проксирование непрозрачно, настройки клиенту выдаются через GPO (нафик геморрой в гетерогенных сетях?), клиент ICQ настраивается "ручками".

ACL конечно можно взглянуть, не секрет.

Вот все настройки squid.conf

acl _sams_48d21626b8c7e proxy_auth "/etc/squid3/48d21626b8c7e.sams"
acl _sams_48d21626b8c7e_time time MTWHFAS 00:00-23:59
acl _sams_48d281057cbf5 proxy_auth "/etc/squid3/48d281057cbf5.sams"
acl _sams_48d281057cbf5_time time MTWHFAS 00:00-23:59
acl _sams_48d2149f494f8 proxy_auth "/etc/squid3/48d2149f494f8.sams"
acl _sams_48d2149f494f8_time time MTWHFAS 00:00-23:59
acl _sams_48d216bf6913d proxy_auth "/etc/squid3/48d216bf6913d.sams"
acl _sams_48d216bf6913d_time time MTWHFAS 00:00-23:59
acl _sams_48f33d476dd93 proxy_auth "/etc/squid3/48f33d476dd93.sams"
acl _sams_48f33d476dd93_time time MTWHFAS 00:00-23:59
acl _sams_48d3e37e563e3 url_regex "/etc/squid3/48d3e37e563e3.sams"
acl _sams_49c790b333c5b url_regex "/etc/squid3/49c790b333c5b.sams"
acl _sams_49dae582b1e72 url_regex "/etc/squid3/49dae582b1e72.sams"
acl _sams_49daea4aa1e7f url_regex "/etc/squid3/49daea4aa1e7f.sams"
acl _sams_disabled_id proxy_auth "/etc/squid3/disabled_id.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_48d21626b8c7e  !_sams_48d3e37e563e3 _sams_48d21626b8c7e_time
http_access allow _sams_48d281057cbf5  !_sams_48d3e37e563e3 _sams_48d281057cbf5_time
http_access allow _sams_48d2149f494f8  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d2149f494f8_time
http_access allow _sams_48d216bf6913d  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d216bf6913d_time
http_access deny _sams_48f33d476dd93  _sams_48f33d476dd93_time
http_access deny _sams_disabled_id
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl ICQ_users src 10.0.6.101-10.0.6.200
acl MSGenuine_domain dstdomain .one.microsoft.com
acl ICQ_domain          dstdomain .icq.com .aol.com
acl ICQ_addr            dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_port            port 5190 443
acl ICQ_proto           proto HTTPS
acl ICQ_url             url_regex ^http://.*/cb/
http_access allow       ICQ_users ICQ_addr ICQ_port CONNECT
http_access allow       ICQ_users ICQ_addr ICQ_URL
always_direct allow     ICQ_domain
always_direct allow     ICQ_addr
http_access deny MSGenuine_domain
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
delay_pools 5
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_access 1 allow _sams_48d2149f494f8
delay_access 1 deny all
delay_parameters 1 64000/64000 64000/64000
delay_access 2 allow _sams_48d21626b8c7e
delay_access 2 deny all
delay_parameters 2 64000/64000 64000/64000
delay_access 3 allow _sams_48d216bf6913d
delay_access 3 deny all
delay_parameters 3 524288/524288 524288/524288
delay_access 4 allow _sams_48d281057cbf5
delay_access 4 deny all
delay_parameters 4 64000/64000 64000/64000
delay_access 5 allow _sams_48f33d476dd93
delay_access 5 deny all
delay_parameters 5 524288/524288 524288/524288
coredump_dir /var/spool/squid3


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "И снова и снова и без конца. squid, ntlm и ICQ"  +/
Сообщение от BlackFalcon on 21-Июл-09, 18:15 
>Можно начальный ACL взглянуть?

Извиняйте, не всё скопировал, нет ntlm_auth

http_port 10.0.6.1:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
maximum_object_size_in_memory 128 KB
cache_dir ufs /var/spool/squid3 4096 16 256
access_log /var/log/squid3/access.log squid
dns_nameservers 10.0.6.200
hosts_file /etc/hosts
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl _sams_48d21626b8c7e proxy_auth "/etc/squid3/48d21626b8c7e.sams"
acl _sams_48d21626b8c7e_time time MTWHFAS 00:00-23:59
acl _sams_48d281057cbf5 proxy_auth "/etc/squid3/48d281057cbf5.sams"
acl _sams_48d281057cbf5_time time MTWHFAS 00:00-23:59
acl _sams_48d2149f494f8 proxy_auth "/etc/squid3/48d2149f494f8.sams"
acl _sams_48d2149f494f8_time time MTWHFAS 00:00-23:59
acl _sams_48d216bf6913d proxy_auth "/etc/squid3/48d216bf6913d.sams"
acl _sams_48d216bf6913d_time time MTWHFAS 00:00-23:59
acl _sams_48f33d476dd93 proxy_auth "/etc/squid3/48f33d476dd93.sams"
acl _sams_48f33d476dd93_time time MTWHFAS 00:00-23:59
acl _sams_48d3e37e563e3 url_regex "/etc/squid3/48d3e37e563e3.sams"
acl _sams_49c790b333c5b url_regex "/etc/squid3/49c790b333c5b.sams"
acl _sams_49dae582b1e72 url_regex "/etc/squid3/49dae582b1e72.sams"
acl _sams_49daea4aa1e7f url_regex "/etc/squid3/49daea4aa1e7f.sams"
acl _sams_disabled_id proxy_auth "/etc/squid3/disabled_id.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_48d21626b8c7e  !_sams_48d3e37e563e3 _sams_48d21626b8c7e_time
http_access allow _sams_48d281057cbf5  !_sams_48d3e37e563e3 _sams_48d281057cbf5_time
http_access allow _sams_48d2149f494f8  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d2149f494f8_time
http_access allow _sams_48d216bf6913d  !_sams_48d3e37e563e3 !_sams_49c790b333c5b _sams_48d216bf6913d_time
http_access deny _sams_48f33d476dd93  _sams_48f33d476dd93_time
http_access deny _sams_disabled_id
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl ICQ_users src 10.0.6.101-10.0.6.200
acl MSGenuine_domain dstdomain .one.microsoft.com
acl ICQ_domain          dstdomain .icq.com .aol.com
acl ICQ_addr            dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_port            port 5190 443
acl ICQ_proto           proto HTTPS
acl ICQ_url             url_regex ^http://.*/cb/
http_access allow       ICQ_users ICQ_addr ICQ_port CONNECT
http_access allow       ICQ_users ICQ_addr ICQ_URL
always_direct allow     ICQ_domain
always_direct allow     ICQ_addr
http_access deny MSGenuine_domain
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
delay_pools 5
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_access 1 allow _sams_48d2149f494f8
delay_access 1 deny all
delay_parameters 1 64000/64000 64000/64000
delay_access 2 allow _sams_48d21626b8c7e
delay_access 2 deny all
delay_parameters 2 64000/64000 64000/64000
delay_access 3 allow _sams_48d216bf6913d
delay_access 3 deny all
delay_parameters 3 524288/524288 524288/524288
delay_access 4 allow _sams_48d281057cbf5
delay_access 4 deny all
delay_parameters 4 64000/64000 64000/64000
delay_access 5 allow _sams_48f33d476dd93
delay_access 5 deny all
delay_parameters 5 524288/524288 524288/524288
coredump_dir /var/spool/squid3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру