squid

Veres Sándor veresh at kossuthzs-szeged.sulinet.hu
2010. Ápr. 8., Cs, 16:25:20 CEST 

2010.04.08. 8:26 keltezéssel, Folberth László írta:
> 2010.04.07. 12:13 keltezéssel, Folberth László írta:
>> Helo!
>>
>> Van két szerver X és Y. Mindkettőn squid ntlm autentikációval. Valami 
>> változhatott, de nem tudok rájönni mi, mert X-en működik a squid, 
>> Y-ra irányítva nem, pedig eddig ott is működött. Felhasználót jelszót 
>> kér. Ugyanazok a beállítások. Centos 5.4
>>
>> FL
>
> Kivettem a password autentikációt így működik az Y-on a squid. Miért 
> nem tudja a elfogadni a jelszót? Az X-en elfogadja Y-ra küldve már nem.
Helo!

Sajnos a megoldást nem tudom, de én is hasonló problémától szenvedek. 
Részletezem, hátha valaki tudja a megoldást a problémámra, és így hátha 
a te problémád is megoldódik, ha átrágjuk a témát.

  - OS: Debian Linux 5.0
  - SaMBa verzió: 3.2.5
  - OpenLDAP verzió: 2.4.11
  - Squid verzió: # squid3 -v
Squid Cache: Version 3.0.STABLE8
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' 
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man' 
'--infodir=${prefix}/share/info' '--sysconfdir=/etc' 
'--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' 
'--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' 
'--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' 
'--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' 
'--enable-inline' '--enable-async-io=8' 
'--enable-storeio=ufs,aufs,coss,diskd,null' 
'--enable-removal-policies=lru,heap' '--enable-delay-pools' 
'--enable-cache-digests' '--enable-underscores' '--enable-icap-client' 
'--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm' 
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' 
'--enable-ntlm-auth-helpers=SMB' 
'--enable-digest-auth-helpers=ldap,password' 
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' 
'--with-filedescriptors=65536' '--with-default-user=proxy' 
'--enable-epoll' '--enable-linux-netfilter' 
'build_alias=x86_64-linux-gnu' 'CC=cc' 'CFLAGS=-g -O2 -g -Wall -O2' 
'LDFLAGS=' 'CPPFLAGS=' 'CXX=g++' 'CXXFLAGS=-g -O2 -g -Wall -O2' 
'FFLAGS=-g -O2'

PRÓBÁLKOZÁS 1:
---------------------

Az alábbi opciókkal próbálkozom:
# ...
auth_param ntlm program /usr/lib/squid3/ntlm_auth
auth_param ntlm children 5
auth_param ntlm keep_alive on
# ...
acl password proxy_auth REQUIRED
# ...
acl szertar1 src 10.1.32.15
acl szertar2 src 10.1.32.16
http_access allow szertar1 password
http_access allow szertar2
# ...

Ebben az esetben a következő hibaüzenetet kapom a böngészőben _mindkét 
PC-n_: "A proxykiszolgáló visszautasította a kapcsolatot. A Firefox 
proxykiszolgáló használatára lett beállítva, ám az visszautasítja a 
kapcsolatot. ..." A squid access.log állományában nem jelenik meg semmi.

PRÓBÁLKOZÁS 2:
---------------------

Ha módosítom a megfelelő sort az alábbira:
auth_param ntlm program /usr/lib/squid3/ntlm_auth TARTOMANY\\hostname
ahol a TARTOMANY a hostname nevű szerver által kezel tartomány (a squid 
és a PDC /ldap authentikációval/ ugyanaz a gép, történetese a "hostname" 
nevű). Ebben az esetben a szertar1-es gépen a "Hitelesítés szükséges" 
ablakban felhasználói nevet és jelszót kér a böngésző, a jelszót azonban 
nem fogadj el és újra kéri. A szertar2-es gépen pedig az előbbiektől 
eltérően most _tudok netezni_. A squid logjaiban az alábbihoz hasonló 
sorok láthatóak:

1270732831.446      2 10.1.32.15 TCP_DENIED/407 2908 GET http://hup.hu/ 
- NONE/- text/html
...
1270732894.362      0 10.1.32.16 TCP_HIT/200 1291 GET 
http://hup.hu/images/powered/hacker.png - NONE/- image/png

A logokból azt "olvasom ki", hogy a felhasználói név hiányzik...

Azt szeretném elérni, hogy a squid-et csak hitelesített felhasználók 
érhessék el, a felhasználó adatai (felhasználói név, jelszó) titkosítva 
utazzanak a hálózaton, és a felhasználó azonosítását a böngésző kezelje 
le, ne felugró ablakban, keljen megadni a felhasználónak.
Valahol olvastam, hogy a squid NTLM authentikációhoz winbind szükséges! 
Ez valóban igaz? Hogyan tudom ezt beállítani (ha tényleg ez kell), mit 
kell módosítanom az smb.conf-ban, illetve a /etc/pam.d/common-* 
állományokban?
Továbbá mit kell a squid.conf-ban az "auth_param ntlm program 
/usr/lib/squid3/ntlm_auth" után beírnom, ahhoz, hogy a helyi gép (PDC, 
ami a proxy is egyben) végezze el a hitelesítést; vagy milyen további 
opciókat kell még használnom?
Ha valakinek működik squid3-al az NTLM hitelesítés, kérem küldjön egy 
squid.conf részletet. Folberth kolléga ha elküldenéd (akár privátban) az 
X gép squid.conf fájlt azért nagyon hálás lennék.

PRÓBÁLKOZÁS 3:
---------------------
Az alábbi paraméterekkel működik a hitelesítés, de ebben az esetben a 
böngésző bekéri a felhasználói nevet és jelszót, továbbá titkosítatlanul 
utazik a jelszó a hálózaton, ezért ezt mellőzném.
auth_param basic program /usr/lib/squid3/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy szerver - kerem adja meg a 
felhasznaloi nevet es jelszavat
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off
authenticate_ip_ttl 60 second

MÁS:
------
Ha sikerül normálisan beüzemelni a squid3-at, akkor a naplóállományok 
elemzésére a "sarg" csomagot szeretném használni. Telepítettem is, de ha 
jól olvasom a config fájban, akkor ez a squid 2.x verzióhoz készült. 
Használja-e valaki a sarg-ot a squid3 elemzésére? Mit kell beállítanom, 
hogy megfelelően működjön?

Előre is köszönöm a segítséget, ötletet.

Üdvözlettel:
Veres Sándor

További információk a(z) Techinfo levelezőlistáról