Назад | Перейти на главную страницу

Squid Kerberos / LDAP Active Directory работает только в IE, а не в Firefox и Chrome

Я установил прокси с использованием squid с аутентификацией kerberos / ldap. Я использовал эту статью как ссылку: http://www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter

Я пробовал использовать прокси в IE, и он работает. Но это не будет работать в Chrome и Firefox. (Я не уверен, что это не работает в Chrome, хотя на самом деле Chrome имеет такие же сетевые настройки в IE). После того, как я ввожу данные своей учетной записи в IE, он работает, но в Chrome и Firefox он не принимает мое имя пользователя и пароль.

В firefox URL автоматической настройки прокси-сервера - http: // wpad. пример . com /wpad.dat (я просто использовал пробелы, чтобы он не распознавался как ссылка)

network.negotiate-auth.trusted-uris указывает на http: // example. com

Вот логи на cache.log

2011/08/16 00:45:41| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40).
2011/08/16 00:45:41| squid_kerb_auth: WARNING: received type 1 NTLM token
2011/08/16 00:45:41| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

Access.log

1313469925.993      0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site)- NONE/- text/html
1313469941.280      0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site)  - NONE/- text/html

Вы не заинтересованы в устранении неполадок, если и почему не использовался Kerberos? Я не любитель Squid, но похоже, что клиенту не удалось получить билет Kerberos для доступа к Squid.

Вы можете использовать klist.exe на клиенте, чтобы узнать, действительно ли он получает билет для прокси. Возможно, IE получает билет Kerberos, а firefox / chrome - нет?

Выполните «очистку klist» на клиенте (или выйдите из системы / войдите в систему), прежде чем пытаться использовать IE (с включенным прокси). Проверьте "klist билеты" после, чтобы увидеть, есть ли у вас билет для прокси. Если вы возьмете одновременную трассировку сети, вы сможете увидеть, удалось ли использовать этот билет для аутентификации на прокси, поскольку мы хотим убедиться, что squid его декодировал. В противном случае вы можете проверить журналы squid, чтобы узнать, показывает ли он, какую авторизацию использовал клиент.

Повторите для firefox / chrome.

Я бы также увеличил netlogon.log на контроллерах домена (nltest / dbflag: 2080ffff), чтобы увидеть, сообщают ли они о получении запроса / ответа NTLM от squid. Вы получаете запрос пароля при использовании IE (с прокси)? Потому что, если вы этого не сделаете, это означает, что использовался Kerberos. Согласно http://blog.rafelo.com/2008/06/firefox-and-integrated-authentication.html похоже, что в браузере могут быть другие настройки, которые вы могли не выполнить, связанные с Firefox / Chrome? отказ от ответственности: я никогда не настраивал firefox / chrome для встроенной проверки подлинности Windows.