Ha egy user a squid proxynkon keresztül a cib bank honlapján a CIB internet bank-ba való "Belépés" gombra kattint, a böngészõje feldob neki egy "ntlm authentikáció" ablakot username, password, domain mezõkkel, amikbe bármit ír, nem fogadja el a proxy.
Lehet ennek az az oka, hogy a squid.conf-ban az "ntlm_auth ntlm program..." sort kikommenteztem? (Azzal a szándékkal, hogy csak a basic authentikáció maradjon meg.)
Tudom elég hülyén veszi ki magát, hogy itt kérdezgetek ahelyett hogy kipróbálnám, de az a helyzet, hogy már 100+ user használja folyamatosan a szervert, és szeretnék biztosra menni (azaz nem akarom õket azzal zavarni, hogy állandóan ûjrainditgatom a szervert, amig végre rá nem jövök mi a hiba.)
- 2290 megtekintés
Hozzászólások
Cégemnél gond nélkül megy a cib bankos oldal! Annyi a "probléma", hogy ncsa_auth és kétszer kell beírni a user+passwd párost!
1, böngésző
2, java is visszakérdez!
- A hozzászóláshoz be kell jelentkezni
Hiába irják be a böngészőben, a squid nem fogadja el. Már ezerféleképpen próbáltuk, de semmi. Másik squid-en, ahol nem használunk ntlm authentikációt simán megy a bank, de ezen az egyen, ahol van ntlm, nem. Itt még a java kisalkalmazás letöltéséig sem jutnak el.
Ti használtok ntlm authentikációt a proxyhoz, és benne van a squid.conf-ban az "ntlm_auth ntlm program..." kezdetű sor, vagy ki van kommentezve?
A https-nél az objektumok cache-elése tiltva van (no_cache deny sslsites), és újabban megpróbáltam az authentikációt teljesen megszüntetni:
acl sslsites proto HTTPS
http_access allow sslsites
Holnap kiderül, hogy bejött-e az utóbbi, de csak jobb lenne, ha maradna az authentikáció, és még a https is működne...
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
ntlm, hmm... A derék exploderrel volt már olyan tapasztalatom, hogy ha be van neki állítva proxy (azaz nem transzparens proxy-n keresztül beszél kifelé), akkor nem a szerverhez, hanem a proxyhoz akar authentikálni, azaz a fejlécben nem "WWW-Authenticate" megy, hanem "Proxy-Authenticate", stb. (tulajdonképpen érthető). Itt megtalálhatod a protokoll leírását, bár konkrétan itt sokra nem mégy vele, mert az ntlm az a mircosoft saját megoldása.
Közben találtam két hivatkozást, ami szerint a squid is képes kezelni ezt: itt és itt, szóval érdemes próbálkozni, bár az igazi megoldás az lenne, ha a lusereid inkább valami böngészőt használnának, és nem az explodert :)...
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy a "loosereknek" van összehasonlítási alapjuk: máig egy másik telephelyen lévő ISA szerveren át nyomultak a bankba, és ott nem volt semmi gondjuk :-(
Ráadásul az ie itt egyfajta "vállalati standard" (sajnos).
Egyébként az egyik linken amit adtál van egy érdekes mondat:
" MSIE will NOT switch to basic authentication
if NTLM is offered as a challenge. It will offer a user/password/domain
dialog box though."
Nálunk is az a bizonyos "user/password/domain dialog box" jelenik meg. Azt jelentené ez, hogy valaki (de ki? A proxy vagy a webszerver?) ntlm authentikációt kért az ie-től, és az sikertelen volt, ennek ellenére tovább erőlteti?
Ha ez az oka, akkor mi lenne a megoldás? Esetleg vissza kellene rakni a squid.conf-ba az "ntlm_auth program ntlm..." sort ? (Amit épp azért szedtem ki, hogy az ntlm ne kavarjon be).
Vagy épp ellenkezőleg: megoldani, hogy mindig csak basic auth legyel? Hogyan?
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
Nincs ntlm_auth ntlm
Viszont a https-re ez van:
acl SSL_ports port 443 563 #https, snews
.
.
.
acl Safe_ports port 443 563 #https, snews
.
.
.
http_access deny CONNECT !SSL_ports
müxik firefox-al és IE-vel is!
- A hozzászóláshoz be kell jelentkezni
Akkor nálatok a squid nincs ntlm user authentikációra (windows Active Directory integráció) beállítva, azaz nagyon más a konfigunk.
Arról kellene infó, hogy megy-e a bank ntlm-es squid mellett, és hogyan.
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
nekem sem ment, sztem java nem tudja az ntlm_authot.
ezert en kiszedtem:
acl Java browser Java/1.4 Java/1.5
http_access allow Java - ezt a http_access allow password ele kell.
- A hozzászóláshoz be kell jelentkezni
Igy se megy.
De ez valami squid+ie specifikus dolog lehet, mert Opera-val megy!
Viszont, minálunk sajnos ha az a kérdés, hogy squid vagy ie, akkor squid röpül :-(((
Szerkesztés:
Squid marad :-))). Az érintett user visszajelzett, hogy most már működik a bank, tehát a java engedélyezése lehetett a kulcs. Nekem meg csak azért nem ment most se, mert a rendszergazdák úgy látszik nem telepitettek nekem jre-t, k*rva ie meg nem üzent, hogy az hiányzik neki.
Köszi!
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
mar epp akartam irni, hogy ie-restart is segithet:) meg hogy vazze', nalunk jo, tobb ezer usernel :)
de tovabb olvastam:)
szivesen!
- A hozzászóláshoz be kell jelentkezni
Még három kérdésem volna:
a) A squid.conf-ban az ntlm helpert kikommenteztem, hogy csak a basic maradjon. Visszatehetem az ntlm-et anélkül, hogy a bankos probléma megint elõjönne?
b) Per pillanat a https-re nincs user authentikáció (http_access-el enélkül engedem ezt a forgalmat.) Van annak bármi haszna, ha ez igy marad? Úgy értem: találkoztál már olyan problémával, aminek a megoldásához ez kellett?
c) APEH online ügyintézési szolgáltatásai hogy mennek a squid-el? Nincs velük olyan gond, mint a cib bankkal?
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
a) visszateheted, ezzel el sem fog kerulni az authig.
b) sztem nyugodtan mehet ez is auth-al. SSL-el csak port problemam volt, de az mas teszta:)
c) ezt meg nem probaltam sajnos, de azt gondolom nem kene semmi probelamanak lennie, ha sima webes alkalmazas. (nem tudom milyen app) Ennek a kitesztelese rad marad :)
- A hozzászóláshoz be kell jelentkezni