Squid + NTLM

[Belin]

Bonjour,

Je souhaite mettre en place un squid en tant que cache seuelement. Pour accéder à internet, il doit passer par le proxy (IIS) de la société, qui nécessite une authentifiaction NTLM (l'auth claire est refusée) avec un login spécifique.
Après divers essais, squid ne s'authentifie toujours pas. Lorsqu'un client effectue une requete, j'ai seulement un timeout avec une erreur 407 (authentification requise) et un message d'erreur (accès refusé) de la part du proxy IIS.

Dans mon fichier de config j'ai paramétré :
peer_cache proxy_parent parent 8080 3130 default --http-user=login-specifique --http-passwd=******
auth_param ntlm ... ( testé à la main : OK )
auth_param basic ... ( testé à la main : OK )

Aurais-je oublié un paramètre ?

Merci.

[Franck78]

oui, dans la doc de mon squid (v2) c'est

cache_peer serveur type .....


et pas peer_cache !

Sinon place l'ip de ton IIS ou son nom complet, ca ira peut être mieux.

[Belin]

Pour le cache_peer c bon c moi qui ai inversé en écrivant
Sinon pour le proxy, que je le designe par son ip ou son nom (complet ou non) ne règle pas le problème.

[rodolphedj]

http://forums.fr.ixus.net/viewtopic.php ... ight=squid

[Franck78]

Tu dois bien avoir des logs sur le linux et des traces dans le gestionnaires d'evt du windows... ?

To enable selective debugging (e.g. for one source file only), you need to edit squid.conf and add to the debug_options line. Every Squid source file is assigned a different debugging section. The debugging section assignments can be found by looking at the top of individual source files, or by reading the file doc/debug-levels.txt (correctly renamed to debug-sections.txt for Squid-2). You also specify the debugging level to control the amount of debugging. Higher levels result in more debugging messages. For example, to enable full debugging of Access Control functions, you would use

debug_options ALL,1 28,9

Then you have to restart or reconfigure Squid.

Once you have the debugging captured to cache.log, take a look at it yourself and see if you can make sense of the behaviour which you see. If not, please feel free to send your debugging output to the squid-users or squid-bugs lists.

Recherche le bon niveau de debug dans le fichier doc/debug-level....


Tu es sur de ta config IIS ?

[Belin]

rodolphedj:

merci, je n'avait pas vu les derniers posts, mais mon cas est différent du tient. Ton squid relaie simplement l'auth NTLM fourni par les clients, alors que moi c squid qui doit s'authentifier auprès du proxy IIS à la place des clients.

Frank78:

Pour le debug, je vais voir ca.
Je ne touches à la config du proxy IIS, il est en place depuis plusieurs années et fonctionne, le problème vient donc bien de mon squid.

[Franck78]

C'est pas parcequ'il existe depuis X année qu'il accepte un cache peer. C'est pas le même protocole que le HTTP. Ils s'échangent leurs infos avec ICP. Même pas sur que ton IIS sache reconnaitre ça.

[fraedhrim]

Salut !

Ton SQUID ne s'authentifiera jamais en NTLM auprès de ton IIS. A ma connaissance il en est incapable.

Tu peux authentifier tes users en NTLM sur SQUID de manière transparente si tu as intégré ton SQUID (enfin la machine avec SQUID) au domaine AD via Samba (et que tes postes clients le sont aussi), de manière basique sinon mais SQUID ne passera pas d'authentification NTLM à IIS.

Tout ce que tu peux faire (et essaie de faire vu ta conf) c'est de t'authentifier en basique (user/passwd).
Et tant que tu ne pourras pas le faire sur le IIS (

proxy (IIS) de la société, qui nécessite une authentifiaction NTLM (l'auth claire est refusée)

) tu seras bloqué.

Enfin à ma connaissance ... (Mais je me suis vraiment pas mal plongé dans le problème cette année comme en témoigne les posts sur lesquels tu as du tomber ici)

A+