aclAuthenticated: authentication not applicable on accelerated requests (Прозрачный прокси)

[VelloRibbo]

Прокси серевер на squid его конфиг:

Код: Выделить всё

http_port 10.12.0.12:3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 100 MB
#cache_dir ufs /var/cache/squid 3000 16 256
quick_abort_pct 80

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl users external NT_global_group InetUser

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222 5223
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports
http_access allow localhost
http_access allow users
http_access deny all
icp_access allow all
coredump_dir /var/spool/squid

в логи сыпеться:

Код: Выделить всё

2007/01/30 14:24:20| aclAuthenticated: authentication not applicable on accelerated requests.
2007/01/30 14:24:20| aclAuthenticated: authentication not applicable on accelerated requests.
2007/01/30 14:24:25| aclAuthenticated: authentication not applicable on accelerated requests.
2007/01/30 14:25:05| aclAuthenticated: authentication not applicable on accelerated requests.
2007/01/30 14:25:05| aclAuthenticated: authentication not applicable on accelerated requests.
2007/01/30 14:25:07| aclAuthenticated: authentication not applicable on accelerated requests.

wbinfo -t
checking the trust secret via RPC calls succeeded

wbinfo -u
список пользователей

маршрутизация
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

больше на фаир ничего не закрывет.
У пользователей пише что доступ закрыт.
в чем дело не понятно...
Подскажите плиззз

[serzh-z]

Перехватывающий прокси не будет работать с авторизацией. Собственно, это в логе и написано.

Авторизация на прокси и перехватывающий (как его чаще обзывают - "прозрачный") прокси вещи взаимно несовместимые, что уже и так понятно по названию этих двух механизмов.

[VelloRibbo]

Перехватывающий прокси не будет работать с авторизацией. Собственно, это в логе и написано.

Авторизация на прокси и перехватывающий (как его чаще обзывают - "прозрачный") прокси вещи взаимно несовместимые, что уже и так понятно по названию этих двух механизмов.

Я так и подумал но не хотел верить
А как сделать так что бы squid запоминал сесию? Типа как керио и уже по этим параметрам писал логи?

[VelloRibbo]

И еще почему wb_auth -d отвечает:
/wb_auth[3814](wb_basic_auth.c:183): basic winbindd auth helper build Jan 19 2007, 11:11:37 starting up...
/wb_auth[3814](wb_basic_auth.c:160): Can't contact winbindd. Dying

может здесь собака порылась?

[serzh-z]

Нет. Собака не в этом - чтобы клиент мог авторизоваться - ему нужно знать, что есть прокси-сервер и знать адрес этого сервера. Перехватывающее проксирование подразумевает, что клиент ничего не знает про прокси и не шлет данные для авторизации.

Что касается wb_auth - winbindd запущен?

Относительно сессии - ничего не скажу. Я так понимаю, что это какая-то фишка NTLM.

[VelloRibbo]

Нет. Собака не в этом - чтобы клиент мог авторизоваться - ему нужно знать, что есть прокси-сервер и знать адрес этого сервера. Перехватывающее проксирование подразумевает, что клиент ничего не знает про прокси и не шлет данные для авторизации.

Что касается wb_auth - winbindd запущен?

Относительно сессии - ничего не скажу. Я так понимаю, что это какая-то фишка NTLM.

Winbind запущен. Сделал по другому, настроил на авторизацию по доменному аккаунту, через
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp , думаю мне этого хватит, эдинственное что придеться делать, писать в каждом браузере прокси и порт. Всем спасибо за внимание.