LINUX.ORG.RU
ФорумAdmin

керберос авторизация в squid 3.4.7

 


0

1

Добрый день! есть сквид версии 3.4.7 с керберос авторизацией пользователей. все работает замечательно, но заметил такую вещь: Сквид пишет в логи учетные данные пользователя лишь при попытке коннекта по https, а если идет запрос на обычный http, то сквид в access.log пишет только айпи.

вот кусок кода с acl и http_access, подскажи пожалуйста, где ошибка:

acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
#acl password proxy_auth REQUIRED
#acl ntlm     proxy_auth REQUIRED
#acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain domain.com

http_access allow CONNECT !SSL_ports
#http_access allow CONNECT SSL
#http_access allow CONNECT AuthorizedUsers
#http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow DHCP
#http_access allow manager
#http_access allow manager localhost
http_access allow Safe_ports
http_access deny all

может стоить убрать строчки

acl DHCP src 172.18.1.0/24 # ip adresses 
http_access allow DHCP

и расскоментировать строчки

#acl AuthorizedUsers proxy_auth REQUIRED
#http_access allow CONNECT AuthorizedUsers



Последнее исправление: Ninjatrasher (всего исправлений: 2)

посмотрел в acces.log пишется ip, дальше TCP/MISS 200 GET далее url, а после url стоит - если кто то ломиться на Https, то вместо знака "-" пишется username@DOMAIN.COM из за чего может быть такая штука?

Ninjatrasher
() автор топика

Потому что если ты пропустил кого-то по ip, то прокси даже не запрашивал у него авторизацию.

selivan ★★★
()
Ответ на: комментарий от selivan

привет! то есть следует убрать:

acl intranet dst 172.18.2.0/24
acl DHCP src 172.18.1.0/24 # ip adresses
http_access allow DHCP

Ninjatrasher
() автор топика
Ответ на: комментарий от Ninjatrasher

Ещё

http_access allow Safe_ports

и

http_access allow CONNECT !SSL_ports

замени на

http_access allow CONNECT AuthorizedUsers SSL_ports

и

acl AuthorizedUsers proxy_auth REQUIRED

обратно включи. Вобщем, внимательно читай конфиг

selivan ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.