LINUX.ORG.RU
ФорумAdmin

SQUID одновременная работа Kerberos и Basic, ftp

 , , ,


0

1

Добрый день. После установки и настройки squid наткнулся на несколько проблем,

1. В IE, Хроме и Опере на не доменном компьютере появляется окно авторизации и по Basic авторизации не пускает, хотя в мозилле всё нормально работает. Но надо чтобы во всех браузерах работало, как это можно сделать?

2. Наблюдается проблема с ФТП с Хромом и Оперой, т.е. при попытке зайти на ftp, браузер ругается The following error was encountered while trying to retrieve the URL: ftp://ftp.xxx.ru/

Cache Access Denied.

Sorry, you are not currently allowed to request ftp://ftp.xxx.ru from this cache until you have authenticated yourself.

Please contact the cache administrator if you have difficulties authenticating yourself.

----------------------------------------------------------------

Необходимо чтобы во всех браузерах работал FTP

Squid 3.3-8 установлен на Centos 7

Конфиг след:

_______________________________________________________________

acl localnet src 10.0.0.0/8 network

acl SSL_ports port 443

acl Safe_ports port 80

acl Safe_ports port 21

acl Safe_ports port 443

acl Safe_ports port 70

acl Safe_ports port 210

acl Safe_ports port 1025-65535

acl Safe_ports port 280

acl Safe_ports port 488

acl Safe_ports port 591

acl Safe_ports port 777

acl CONNECT method CONNECT

acl itunes browser iTunes

http_access allow itunes

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

#прозрачная авторизация

auth_param negotiate program /usr/lib64/squid /negotiate_kerberos_auth -s HTTP/proxy.loc.domain@LOC.DOMAIN

auth_param negotiate children 100

auth_param negotiate keep_alive on

#авторизация ldap

auth_param basic program /usr/lib64/squid/basic_ldap_auth -R -b «dc=loc,dc=domain» -D squid@loc.domain -W /etc/squid/loc.domain.passwd -f "(|(userprincipalname=%s)(sAMAccountName=%s))" -h loc.domain

auth_param basic children 5

auth_param basic realm proxy

auth_param basic credentialsttl 1 minute

external_acl_type ldap_group %LOGIN /usr/lib64/squid/ext_ldap_group_acl -b dc=loc,dc=domain -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=cn=%a,ou=Прокси,ou=Группы,dc=loc,dc=domain))" -D squid@loc.domain -W /etc/squid/loc.domain.passwd -R -K -h loc.domain

acl block_users external ldap_group Block

acl restricted_users external ldap_group Restricted_Access

acl unrestricted_users external ldap_group Full_Access

acl restricted_domain dstdomain -i «/etc/squid/restricted_access_domain»

acl restricted_url url_regex -i «/etc/squid/restricted_access»

http_access deny restricted_users restricted_domain

deny_info http://google.com restricted_domain

http_access deny restricted_users restricted_url

http_access deny block_users all

http_access allow unrestricted_users

http_access deny all

http_port 10.50.20.14:3128

cache_dir ufs /var/spool/squid 2048 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

dns_v4_first on



Последнее исправление: serggg83 (всего исправлений: 3)
scrot - или рабочий аналог
Пропала беспроводная сеть

это какой-то Mac 2010 edition

??? Чтоль?

anonymous
()

0. Переоформи сообщение. man LORCODE.

1. Разреши протокол FTP.

2. п.1 не поможет против FTP требующих авторизацию, ставь FTP прокси, например, frox. Squid не умеет в проксирование FTP авторизации.

3. Basic в случае Kerberos/NTLM появляется тогда, когда squid не может авторизовать пользователя (HTTP 407), однако эти хелперы не понимают ее. Возможно, поможет обработка правил с помощью хелпера Basic авторизации.

pztrn ★★★★
()
Последнее исправление: pztrn (всего исправлений: 1)
Ответ на: комментарий от nwrfequodcqflggo

Можете пояснить, что значит обработка правил с помощью хелпера Basic авторизации??? или показать какой-нить пример из конфига, не понимаю как это реализуется

serggg83
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
scrot - или рабочий аналог
Admin
Пропала беспроводная сеть