День добрый.Есть проблема Wsus не проходит basic авторизацию чеез Squid 3.1.018, при включенной ntlm авторизации.
Конфиг Squid:
auth_param ntlm program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive onauth_param basic program /usr/local/bin/ntlm_auth --require-membership-of=S-1-5-21-3641801735-2324897664-3321826745-1236 --helper-protocol=squid-2.5-basic
# Количество процессов авторизации запросов
auth_param basic children 30
# Надпись на окне аутентификации
auth_param basic realm Squid proxy-caching web server
# Указываем время хранения авторизации, в данном случае 2 часа.
# credentialsttl 2 minutes 2 hours
auth_param basic credentialsttl 2 hours
# указываем, что регистр введенных данных роли не играет
auth_param basic casesensitive on
# Логин, только с одного IP адреса
# authenticate_ip_ttl 0
# Samba хранит группу пользователя из AD как указано в конфиге, Squid хранит около 1 часа
# Что б после смены группы пользователя в AD не ждать 1 час нужно установить ttl=0
# тогда при следующем логине в Squid пользователь будет отработан по нужной группе
external_acl_type win_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_all external win_group access_full
acl inet_32 external win_group speed_32
acl inet_64 external win_group speed_64
acl inet_96 external win_group speed_96
acl inet_unlim external win_group speed_unlim
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl squidusers proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet squidusers inet_all inet_32
http_access deny localnet squidusers inet_all inet_32
http_access allow localnet squidusers inet_all inet_64
http_access deny localnet squidusers inet_all inet_64
http_access allow localnet squidusers inet_all inet_96
http_access deny localnet squidusers inet_all inet_96
http_access allow localnet squidusers inet_all inet_unlim
http_access deny all
# Разрешено все.
# http_access allow all
На сервере Wsus указано ходить через basic авторизацию.
Если в squid выключаю ntlm авторизицию wsus нормально конектится и работает без вопросов.
При включенной ntlm пробовал логинится под локальным пользователем и выйти в инет через прокси, при авторизации пользователя (т.к. он не доменный) система выкидывает окно для ntlm авторизации, а по идее должно выпадать окно basic авторизации (окна ntlm и basic авторизации, для ввода логина и пароля, внешне отличаются).
Из этого делаю для себя вывод, что если в моем конфиге включена ntlm, то любой пользователь ломится в инет только через ntlm, не доходя до basic авторизации.
Хотя если я выключаю basic а ntlm включена, то ICQ, в которой прописан логин и пароль, матерится что пароль не верен. Т.е. вроде как ICQ использует basic авторизацию при включенной ntlm.
Samba и winbind работают без вопросов.
Доступ пользователям в инет реализован так:
- пользователь должен прийти с локальной подсети
- должен входить в группу AD internet_access
- в группу по доступу inet_all
- в группу по скорости инета (inet_32 или inet_64 или inet_96 или inet_unlim)
Если пользователь не входит в какую либо группу инет закрыт.
Пользователь для wsus находится в локальной подсети и в группах internet_access, inet_all, inet_64.
Помогите пожалуйста разобраться и докрутить конфиг.
Дать ходить Wsus напрямую возможности нет, нужно через squid как-то пропихнуть.