Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Linux и FreeBSD (http://forum.oszone.net/forumdisplay.php?f=11)
-   -   Авторизация NTLM и squidNT (http://forum.oszone.net/showthread.php?t=17037)

Alexandra 11-08-2003 13:03 92402
Заранее прошу прощения, если офтопик.
Ситуация такая. Домен с контроллером win2000. Недавно установила
прокси-сервер squidNT.  Squid использует NTLM авторизацию.
Есть доверенный домен, пользователи которого ходят в интернет через нас. У
них контроллер домена win2003.
Есть домен, который создавался для проверки того, как будет работать
авторизация в доверенном домене. Контроллер домена win2000.
Так вот. В первом домене есть локальная доменная группа пользователей,
которая используется squid'ом  при авторизации. В нее входят группы Domain
Users всех трех доменов. Так вот, в родном домене и в тестовом авторизация
проходит "на ура". В домене, где win2003 - ни в какую. Сквид пишет, что
пользователь не входит в группу InetUsers, которой разрешено входить в инет.
Который день бьюсь - все никак... Буду благодарна за любые подсказки.
Да, еще...Все домены функционируют в режиме win2000 native.

Gorza 11-08-2003 15:46 92403
а почему бы не использовать вместо NTML авторизации
авторизацию посредством winbind?
А?

Alexandra 11-08-2003 16:49 92404
Для того, чтобы использовать авторизацию winbind, должен стоять linux и samba на нем. Правильно? А у меня, к сожалению, только windows.

Barracuda 11-08-2003 17:35 92405
Alexandra
Хм, то бишь не желает squid распознавать юзверя. А логи squid ведёт под NT или так же краток, как и сама Винда?

Alexandra 12-08-2003 09:32 92406
Ведет. Когда пытается зайти пользователь из доверенного домена (radix-tools), имеем:
---------------------
access.log
192.92.92.30 TCP_DENIED/407 1736 GET http://www.yandex.ru/ - NONE/- text/html
После чего появляется окошко запроса логина и пароля (хотя не должно). Если вводишь имя и пароль - окошко появляется снова и т.д. В логе, соответственно, строка повторяется.
----------------------
cache.log
ntlm-auth[2440]: Got 'KK TlRMTVNTUAADAAAAGAAYAFQAAAAYABgAbAAAAAsACwBAAAAAAgACAEsAAAAHAAcATQAAAAAAAACEAAAABoIAAFJBRElYLVRPT0xT SVNWTV9BTEVYGnQOL9pFeZusxCLIJkTgxRYbq8si4091Y9/UPiSVS4Xf6bIhLrZuHmgc1BOs5x3k' from Squid

ntlm-auth[2440]: Empty LM pass detection: user: 'IS', ours:'', his: 't/ЪEy›¬Д"И&DаЕ«Л"гOucЯФ>$•K…ЯйІ!.¶nhФ¬зд'(length: 24)

ntlm-auth[2440]: Empty NT pass detection: user: 'IS', ours:'', his: 'cЯФ>$•K…ЯйІ!.¶nhФ¬зд'(length: 24)

ntlm-auth[2440]: checking domain: 'RADIX-TOOLS', user: 'IS', pass='t/ЪEy›¬Д"И&DаЕ«Л"гOuѓ'

ntlm-auth[2440]: Login attempt had result 1

ntlm-auth[2440]: User RADIX-TOOLS\IS not in allowed Group InetUsers

ntlm-auth[2440]: sending 'NA Incorrect Group Membership' to squid
------------------------
Вот так. Надо ли говорить, что пользователь IS входит в группу InetUsers.

Barracuda 12-08-2003 10:18 92407
Alexandra
Не давече, как сегодня ночью колупал squid и обнаружил там (к моему стыду) разнообразные модули авторизации. В том числе был там и модуль multi-domain-NTLM. Написано, что модуль крайне недокументирован. Но один крендель сказал, что работает на Винде очень даже не плохо. Только под него Perl нужен.
В Вашем случае, по какой-то непонятной причине идёт передача (или идёт ответ) пустого пароля (хотя тут же он указывается). Попробуйте поиграться с этими модулями. Если squid ставился из исходников, то модули находятся в auth-modules.

Alexandra 12-08-2003 13:41 92408
Нет, у меня такого нет...

Gorza 12-08-2003 14:35 92409
Черт! ведь речь идет о сквиде  под винду, а я то думаю чего она извиняется за оффтопик 8-)


Время: 13:34.

Время: 13:34.
© OSzone.net 2001-