O Squid Kerberos / LDAP Active Directory funciona apenas no IE, não no Firefox e no Chrome

Question

O Squid Kerberos / LDAP Active Directory funciona apenas no IE, não no Firefox e no Chrome

#1 resposta do (1 votos)

2

Eu configurei um proxy usando o squid, com o kerberos / ldap como autenticação. Eu usei este artigo como referência: link

Eu tentei usar o proxy no IE e funciona. Mas não funcionará no Chrome e no Firefox. (Não sei se não funciona no Chrome quando, na verdade, o Chrome tem as mesmas configurações de rede no IE). Depois de inserir os detalhes da minha conta no IE, funciona, mas no Chrome e no Firefox ele não aceita meu nome de usuário e senha.

No firefox, o URL de configuração automática de proxy é http: // wpad. exemplo. com /wpad.dat (Eu usei apenas espaços para que não seja reconhecido como um link)

network.negotiate-auth.trusted-uris é apontado para http: // example. com

Aqui estão os logs em cache.log

2011/08/16 00:45:41| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40).
2011/08/16 00:45:41| squid_kerb_auth: WARNING: received type 1 NTLM token
2011/08/16 00:45:41| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

Access.log

1313469925.993      0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site)- NONE/- text/html
1313469941.280      0 10.101.204.82 TCP_DENIED/407 4163 GET (I removed the site)  - NONE/- text/html

firefox active-directory kerberos squid

por Sam 16.08.2011 / 06:59

1 resposta

Tags firefox active-directory kerberos squid

SCCM'07 - OSD - Seqüência de tarefas - Instale o software que não armazena em cache o programa no disco rígido Atribuir número de porta diferente para apenas 1 site no servidor Linux com multisite em um único IP

score 1 · Answer 1

Você não está interessado em solucionar problemas se e por que o Kerberos não foi usado? Eu não sou um cara de lula, mas parece que o cliente não conseguiu um ticket do kerberos para acessar o squid.

Você pode usar o klist.exe no cliente para ver se ele realmente recebe um ticket para o proxy. Talvez o IE receba o ticket do kerberos, mas o firefox / chrome não o fez?

Faça um "klist purge" no cliente (ou logoff / logon) antes de tentar usar o IE (com proxy ativado). Verifique "klist tickets" depois para ver se você tem um ticket para o proxy. Se você pegar um rastreamento de rede simultâneo, poderá ver se conseguiu usar esse ticket para autenticar no proxy, pois queremos garantir que o squid o decodifique. Senão você pode verificar logs do squid para ver se ele revela qual auth o cliente usou.

Repita para o firefox / chrome.

Eu também coloco o netlogon.log em DCs (nltest / dbflag: 2080ffff) para ver se eles reportam o recebimento / resposta do NTLM do squid. Você recebe uma solicitação de senha quando usa o IE (com proxy)? Porque se você não entender isso, o Kerberos foi usado. De acordo com o link , parece que pode haver outras configurações no navegador que você pode ter não conseguiu fazer o firefox / chrome relacionado? aviso de isenção de responsabilidade: Eu nunca configurei o firefox / chrome para fazer a autenticação integrada do Windows.