Я установил прокси с использованием squid с аутентификацией kerberos / ldap. Я использовал эту статью как ссылку: http://www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter
Я пробовал использовать прокси в IE, и он работает. Но это не будет работать в Chrome и Firefox. (Я не уверен, что это не работает в Chrome, хотя на самом деле Chrome имеет такие же сетевые настройки в IE). После того, как я ввожу данные своей учетной записи в IE, он работает, но в Chrome и Firefox он не принимает мое имя пользователя и пароль.
В firefox URL автоматической настройки прокси-сервера - http: // wpad. пример . com /wpad.dat (я просто использовал пробелы, чтобы он не распознавался как ссылка)
network.negotiate-auth.trusted-uris указывает на http: // example. com
Вот логи на cache.log
2011/08/16 00:45:41| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40).
2011/08/16 00:45:41| squid_kerb_auth: WARNING: received type 1 NTLM token
2011/08/16 00:45:41| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Access.log
1313469925.993 0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site)- NONE/- text/html
1313469941.280 0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site) - NONE/- text/html
Вы не заинтересованы в устранении неполадок, если и почему не использовался Kerberos? Я не любитель Squid, но похоже, что клиенту не удалось получить билет Kerberos для доступа к Squid.
Вы можете использовать klist.exe на клиенте, чтобы узнать, действительно ли он получает билет для прокси. Возможно, IE получает билет Kerberos, а firefox / chrome - нет?
Выполните «очистку klist» на клиенте (или выйдите из системы / войдите в систему), прежде чем пытаться использовать IE (с включенным прокси). Проверьте "klist билеты" после, чтобы увидеть, есть ли у вас билет для прокси. Если вы возьмете одновременную трассировку сети, вы сможете увидеть, удалось ли использовать этот билет для аутентификации на прокси, поскольку мы хотим убедиться, что squid его декодировал. В противном случае вы можете проверить журналы squid, чтобы узнать, показывает ли он, какую авторизацию использовал клиент.
Повторите для firefox / chrome.
Я бы также увеличил netlogon.log на контроллерах домена (nltest / dbflag: 2080ffff), чтобы увидеть, сообщают ли они о получении запроса / ответа NTLM от squid. Вы получаете запрос пароля при использовании IE (с прокси)? Потому что, если вы этого не сделаете, это означает, что использовался Kerberos. Согласно http://blog.rafelo.com/2008/06/firefox-and-integrated-authentication.html похоже, что в браузере могут быть другие настройки, которые вы могли не выполнить, связанные с Firefox / Chrome? отказ от ответственности: я никогда не настраивал firefox / chrome для встроенной проверки подлинности Windows.