Squid + ldap = множественные запросы логина-пароля



  • Доброго времени суток.
    Есть pfsense 2.3.4-RELEASE-p1, настраиваю squid с авторизацией ldap. В принципе работает. Пользователи авторизуются, в интернет ходят и т.п.
    Но! иногда некоторые случайные пользователи начинают получать множество последовательных запросов логина-пароля (до десятков), т.е. выскакивает окно ввода логина-пароля, вводится логин-пароль, окно закрывается и тут же выскакивает и так в цикле.

    С чем может быть связано такое поведение?
    Есть ли возможность включить какое-нибудь расширенное логирование, посмотреть что хоть в такие моменты происходит?

    п.с.: поиском провбовал, аналогичные моему вопросы нашел, а ответов нет, если если кто поможет правильным запросом для поисковика также буду благодарен!



  • Очень мало информации. squid.conf нужен. Гуглите "squid cache.log debug level" https://wiki.squid-cache.org/KnowledgeBase/DebugSections http://www.k-max.name/linux/squid-debug_options/, изучайте cache.log. Читайте тут http://break-people.ru/cmsmade/index.php?page=translate_squid_reference_tag_auth_param. Возможно поможет увеличение количества процессов аутентификации (по умолчанию 5, можно увеличить до 60). Читайте на официальном сайте про параметры хелпера, который используется для аутентификации, возможно там есть параметр количества дочерних процессов при старте сквида, максимальное количество дочерних процессов, время жизни и т.д..
    Аутентификация в домене kerberos или ntlm? Нужно помнить, что Opera не умеет прокси через kerberos. И еще куча всяких тонкостей. Сквид прозрачный или нет? Если прозрачный, то попробуйте на "проблемных" машинах прописать настройки прокси вручную, изменится ли поведение. Окно логина\пароля появлятся просто в процессе работы, без открытия браузера? Если да, то какие процессы выполняются? У MS Office некоторых версий (не помню каких) есть такая фишка, когда нужно настройки прокси прописывать вручную или явно указывать, что используется прокси, да и у многих других приложений (LibreOffice, ThunderBird и еще много кто) так же нужно явно указывать использование прокси.
    Также необходимо помнить, что в домене есть учетные записи "пользователи домена" и учетные записи "компьютеры домена". И если вы используете delay pool по группам, заведенным в домене, и в группу с доступом в интернет включили только "пользователей домена", то службы и сервисы, которые используют учетную запись "компьютеры домена", например телеметрия и т.д., не смогут выйти в интернет и передать микрософту сведения о вас и вашем компьютере, и каждый раз (возможно) будет появляться окно ввода логина\пароля.
    Еще можно wireshark'ом проанализировать трафик для понимания того что происходит.



  • Доброе.
    Сквид - транспарент ? SSL-траффик фильтруется? Какие браузеры пробовали? Кеш браузеров чистите?