squid & ntlm_auth [Archiv] - linuxforen.de -- User helfen Usern

weev

12.10.04, 09:11

hi forum,
ich möchte meinen squid gegen eine win2k domain mit ntlm authentifizieren lassen. folgende konfiguration hab ich erstellt:

samba:
[global]
workgroup = MEINEDOM
security = domain
password server = bdc01
wins support = no
#wins server = 10.65.100.4
max log size = 10000
local master = no
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/false

squid:
external_acl_type NT_global_group children=10 ttl=900 %LOGIN /usr/lib/squid/wb_group
auth_param basic program /usr/lib/squid/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic credentialsttl 2 hour
auth_param basic realm Squid - Internet Zugang öffnen
auth_param ntlm program /usr/lib/squid/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 80
auth_param ntlm max_challenge_reuses 1
auth_param ntlm max_challenge_lifetime 5 minute
acl all src 0.0.0.0-0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl ProxyUsers external NT_global_group internet
acl AuthorizedUsers proxy_auth REQUIRED
acl MEINE_networks src 192.9.200.0/24
http_access allow ProxyUsers AuthorizedUsers
http_access allow MEINE_networks
http_access deny all

ich hab die authentifizerung getestet und die hat den status OK:
/usr/lib/squid/ntlm_auth --helper-protocol=squid-2.5-basic

Tja, und leider kann ich nicht einloggen in die domain, anbei ein auszug aus meinen access.log mit dem user inet:
1097567914.795 8 192.9.200.100 TCP_DENIED/407 1860 GET http://www.microsoft.com/isapi/redir.dll? inet NONE/- text/html
1097567914.804 6 192.9.200.100 TCP_DENIED/407 1860 GET http://www.microsoft.com/isapi/redir.dll? inet NONE/- text/html

was läuft da blos falsch????

rthill

07.04.05, 18:57

Hast du dies gelöst? Ich habe das gleiche Fehlerbild bei mir.

LX1

03.05.05, 17:04

Hallo an die Runde...

Gruss

Jochen

EDIT: Sorry, hab das Thema verfehlt/verwechselt

cane

28.06.05, 16:59

Wo genau liegt denn da der Fehler und was meinst Du mit Einloggen?

Das TCPDeny sagt meines Wissens lediglich aus das er die Seiten nicht im Cache hat...

Diese Anleitung ist sehr gut um NTLM_AUTH zu realisieren:
http://mkeadle.org/index.php?p=13

mfg
cane