Squid + Windows 2008

[flyer]

Добрый день.

Есть вопрос, настроен прозрачный прокси через ntlm авторизацию.. работает вроде справно, но если залогиниваешься под пользователем, то сразу инета не появляется, для того что бы пользовтель получал интернет, нужно изначально запустить IE (Internet Explorer) после этого уже начинают работать и другие программы, может кто сталкивался с подобной проблемой? уже даже не знаю куда копать 

[endru]

squid и шлюз в сети один адрес имеют?

[flyer]

Да

[endru]

Выложи конфиг squid
посмотри логи squid в момент когда интернет не доступен. (tail -f  в помощь)

[flyer]

Смотрел, обращение к проксе не идут вообще.. как бы просто сама виннда не видит прокси пока не откроешь ИЕ (

Код Выделить Развернуть


# Squid config for Optima Pharm be flyer 3.11.2014
debug_options ALL,1 33,2 28,9
http_port 3128
http_port 3129 transparent
dns_nameservers 192.168.100.5

error_directory /usr/share/squid3/errors/ru
coredump_dir /var/cache/squid3

#coredump_dir /var/spool/squid
half_closed_clients off
cache_store_log none
#no_cache deny no_cache_list
#cache_dir ufs /var/spool/squid3 10240 16 256
#maximum_object_size 5120 KB
emulate_httpd_log on


### negotiate kerberos and ntlm authentication
auth_param negotiate program  /usr/local/bin/negotiate_wrapper -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/squid_kerb_auth -d -s  GSS_C_NO_NAME
#auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/proxy1.optima2k.local
#auth_param negotiate program /usr/local/bin/negotiate_wrapper -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=OPTIMA2K  --kerberos /usr/lib/squid3/squid_kerb_auth -d -s GSS_C_NO_NAME
auth_param negotiate children 100
auth_param negotiate keep_alive on

### pure ntlm authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
#--domain=OPTIMA2K
auth_param ntlm children 100
auth_param ntlm keep_alive on

### provide basic authentication via ldap for clients not authenticated via kerberos/ntlm
#auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=optima2k,dc=local" -D squid@optima2k.local -w "pass" -f sAMAccountName=%s -h 192.168.100.5
#auth_param basic children 10
#auth_param basic realm Optima Pharm Auth
#auth_param basic credentialsttl 1 minute


# Allow squid to update log
#external_acl_type mysql_log %LOGIN %SRC %PROTO %URI php /etc/squid3/code/bd.php
#acl ex_log external mysql_log
#http_access allow ex_log



### acl for proxy auth and ldap authorizations
acl auth proxy_auth REQUIRED




#external_acl_type ldap_search %LOGIN            /usr/lib/squid3/squid_ldap_group -R -b "dc=optima2k,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,OU=Services,OU=Optima Pharm,DC=optima2k,DC=local))" -D squid@optima2k.local -w Super_Proxy -h 192.168.100.3
external_acl_type grpAllowFULL_INET  %LOGIN     /usr/lib/squid3/squid_ldap_group -R -b "dc=optima2k,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,OU=Groups,OU=Optima Pharm,DC=optima2k,DC=local))" -D squid@optima2k.local -w Super_Proxy -h 192.168.100.5
external_acl_type grpAllowINET_USERS %LOGIN     /usr/lib/squid3/squid_ldap_group -R -b "dc=optima2k,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,OU=Groups,OU=Optima Pharm,DC=optima2k,DC=local))" -D squid@optima2k.local -w Super_Proxy -h 192.168.100.5


## acl aclname acltype external_aclname groupe_name_in_AD
acl aclAllowFULL external grpAllowFULL_INET InetAccess
acl aclAllowUSERS external grpAllowINET_USERS CustomAccess

#My own ACL
#acl kontur dstdomain "/etc/squid3/db/kontur_extern.txt"
#url_regex -i

acl gamez dstdomain "/etc/squid3/db/gamez.txt"
acl porno dstdomain "/etc/squid3/db/porno.txt"


acl corp url_regex -i "/etc/squid3/db/corp.txt"
acl without_auth url_regex -i "/etc/squid3/db/microsoft.txt"
#acl without_auth dstdomain "/etc/squid3/db/microsoft.txt"

acl mail dstdomain "/etc/squid3/db/mail.txt"
acl allow_mail src "/etc/squid3/db/mail_users.txt"

acl ot_person proxy_auth "/etc/squid3/db/ot_person"
acl rabota dstdomain "/etc/squid3/db/rabota"

#For Tests
acl test1 src 192.168.100.72
acl test2 src 192.168.100.71

acl my src 192.168.202.63
acl my2 src 192.168.202.219
acl wiki src 192.168.100.12
acl rostyk src 192.168.202.64
acl pyga src 192.168.202.169
acl wsus src 192.168.100.107
acl mailgw src 192.168.100.19
acl vasya src 192.168.206.12
acl belmega src 192.168.202.107
acl den src 192.168.100.153
acl slysarch src 192.168.202.80
acl my2 src 192.168.100.60
acl mbx1 src 192.168.100.65
acl mbx2 src 192.168.100.66
acl nagios src 192.168.100.16
acl win_act src 192.168.202.232

#Заявка 1549, 2379
acl na_gmail proxy_auth suprun okomar
acl gmail dstdom_regex gmail.com

#3247
acl zolotnik proxy_auth dzlotnik
acl bigmir dstdom_regex bigmir.net

#http_access allow all

http_access allow win_act

#Для Антивируса
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Authenticated-User
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all





# Allow for sites for work
http_access allow without_auth

# Server of Wsus updates
http_access allow wsus

#For Tests
http_access allow test1
http_access allow test2

#http_access allow upd
http_access allow my
http_access allow my2
#http_access allow nach
http_access allow rostyk
http_access allow mbx1
http_access allow mbx2
http_access allow my2
http_access allow pyga
http_access allow mailgw
http_access allow vasya
http_access allow belmega
http_access allow den
http_access allow slysarch
http_access allow wiki
http_access allow nagios


http_access allow na_gmail gmail
http_access allow zolotnik bigmir


http_access allow slysarch !porno !gamez !rabota





#Юзера которым можно ходить на мыло
http_access allow allow_mail mail

#Юзера которые ходят на rabota.ua
http_access allow ot_person rabota




#deny_info http://192.168.100.233/index.php !auth
#http_access deny !auth

#http_access allow sh1 sh

#Allow for group
#deny_info http://192.168.100.233/index2.php !aclAllowFULL

http_access allow aclAllowFULL !porno !gamez !rabota
http_access allow aclAllowUSERS corp !porno !gamez !rabota

http_access deny all


#daemon:/ squid
#logformat common2 %>a %un %{%Y-%m-%d %H:%M:%S}tl %ru  %Hs %<st %Ss
access_log /var/log/squid3/access.log
#common2
cache_log /dev/null
#cache_log /var/log/squid3/cache.log


[ihammers]

Есть вопрос, настроен прозрачный прокси через ntlm авторизацию.. работает вроде справно, но если залогиниваешься под пользователем, то сразу инета не появляется, для того что бы пользовтель получал интернет, нужно изначально запустить IE (Internet Explorer) после этого уже начинают работать и другие программы, может кто сталкивался с подобной проблемой? уже даже не знаю куда копать 

Как по мне, так это проблема не прокси сервера, а настройки AD, который не передаёт клиенту информацию о ntlm. После запуска IE клиент эту информацию получает.

[flyer]

Ок, тогда посоветуйте плиз де глянуть??? Сами настройки? Админ права имеются

[endru]

Вопросы не на том форуме.

Закрыто