• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Squid proxy_auth mit fallback

Tiuz

Newbie
Hallo,

ich bin leider etwas am verzweifeln. Bei uns in der Firma werden mehrere Proxies mit squid eingesetzt. Die User sollten eig per ntlm+ldap authentifiziert werden, was auch wunderbar funktioniert. Per Gruppenrichtlinie bekommen alle Benutzer den Proxy eingetragen und können diesen nicht bearbeiten.
Das Problem ist das einige Programme diesen Proxy verwenden, aber mit der Authentifizierung nicht umgehen können (es kommt kommt kein Popup oder sonstiges).

Deswegen hatte ich an einen Fallback ohne Authentifizierung gedacht:
Code:
acl NTLMUsers proxy_auth REQUIRED
http_access allow NTLMUsers
http_access allow localnet

Sollte eig auch alle Benutzer zulassen, welche nicht authentifiziert sind. Für Testzwecke habe ich bei Firefox network.automatic-ntlm-auth.allow-proxies auf false gesetzt (geht natürlich nur als Domänen-Admin) und trotzdem bekomme ich das Popup mit der Benutzereingabe.

Hat jemand vielleicht einen Rat für mich?

LG
 

spoensche

Moderator
Teammitglied
Mehr Infos bitte. Mit den drei Zeilen aus deiner squid.conf kann keiner was anfangen, weil z.B. die acl Definitionen fehlen. Was sagen die Logs des Squid?

Da ihr ja mehrere Proxys habt könntest du die Anwendungen über einen anderen Proxy laufen lassen, der keine Authentifizierung verwendet.
 
OP
T

Tiuz

Newbie
Wir haben pro Standort einen Proxy. Wäre nicht ideal wenn man einen Proxy ganz ohne auth macht und alles über den leitete. So schnelle Leitungen haben wir leider nicht.

Code:
acl localnet src 192.168.32.0/24 # RFC1918 possible internal network

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 200

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 200
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours

In den logs ist nicht Auffälliges. Kein Error oder sonst irgendwas. Der User wird halt einfach aufgefordert seine Daten einzugeben.
 

spoensche

Moderator
Teammitglied
Tiuz schrieb:
In den logs ist nicht Auffälliges. Kein Error oder sonst irgendwas. Der User wird halt einfach aufgefordert seine Daten einzugeben.

Für dich ist in den Logs vielleicht nichts auffälliges vorhanden, allerdings sind sie für die Fehlersuche, das eingrenzen des Fehlers und Problemlösung sehr hilfreich und hier hat niemand eine Glaskugel. Wenn wir dir helfen sollen, dann musst du schon ein paar Infos mehr bringen als: Der User wird halt aufgefordert...

Die Ursache kann alles mögliche sein.

Also mehr Infos sind nötig.

PS:
Das squid-2.5-basic Protokoll solltest du nicht verwenden, weil es Passwörter etc. im Klartext überträgt.
 
OP
T

Tiuz

Newbie
Hier die letzten Zeilen vom cache.log aus dem Verzeichnis /var/log/squid

Code:
[2012/09/10 12:53:47.380828,  1] param/loadparm.c:6519(map_parameter)
  Unknown parameter encountered: "encrypt password"
[2012/09/10 12:53:47.381051,  0] param/loadparm.c:7619(lp_do_parameter)
  Ignoring unknown parameter "encrypt password"
2012/09/10 12:53:47| Accepting  HTTP connections at [::]:8080, FD 945.
2012/09/10 12:53:47| HTCP Disabled.
[2012/09/10 12:53:47.400818,  1] param/loadparm.c:6519(map_parameter)
  Unknown parameter encountered: "encrypt password"
[2012/09/10 12:53:47.407065,  0] param/loadparm.c:7619(lp_do_parameter)
  Ignoring unknown parameter "encrypt password"
2012/09/10 12:53:47| Loaded Icons.
2012/09/10 12:53:47| Ready to serve requests.
[2012/09/10 12:53:47.418853,  1] param/loadparm.c:6519(map_parameter)
  Unknown parameter encountered: "encrypt password"
[2012/09/10 12:53:47.419044,  0] param/loadparm.c:7619(lp_do_parameter)
  Ignoring unknown parameter "encrypt password"

Welches Protokoll sollte ich denn verwenden? Reicht wenn ich nur ntlmssp verwende?
 

drcux

Hacker
Tiuz schrieb:
Das Problem ist das einige Programme diesen Proxy verwenden, aber mit der Authentifizierung nicht umgehen können (es kommt kommt kein Popup oder sonstiges).

Dann trage die Domains ein, die ohne Auth erlaubt sein sollen, zB meine Liste für Updates, die eigentlich im Hintergrund laufen:

Code:
acl NTLMUsers proxy_auth REQUIRED
acl update dstdomain .microsoft.com .windowsupdate.com .sun.com .mozilla.org .hp.com .oracle.com .macromedia.com
...
http_access allow update
http_access allow NTLMUsers
...

Bei "http_access allow" ist übrigens die Reihenfolge sehr wichtig, deine Reihenfolge kann so nicht stimmen: "http_access allow NTLMUsers" ist "REQUIRED", muss also sein, alles was danach kommt, wirkt sich nur noch auf authentifizierte User aus.
 
Oben