Уважаемые, помогите разобраться вот в каком вопросе.

Есть домен, в который входит корпоративная сеть головной конторы.
Есть локальная сеть моего филиала, в которой домена нет.
В домене головной конторы созданы учётные записи для наших пользователей.
Имена:пароли локалки и домена не совпадают.

В корпоративной сети есть:
— ресурсы, на которые можно заходить с помощью IE, вводя имя:пароль:домен (т.е. окно авторизации содержит три поля).
— прокси, через который можно ходить в интернет. Авторизация аналогичная.

Есть SquidNT ( http://www.serassio.it/SquidNT.htm , CompileOptions.txt с Delay Pool), в конце этой темы приведён мой conf-файл.

С такой настройкой можно спокойно выходить на внешний прокси и авторизоваться на нём в виде имя:пароль (т.е. окно авторизации содержит два поля).
А вот на ресурсы домена выйти уже нельзя, родительский прокси не даёт такой возможности.

Можно ли средствами SquidNT организовать выход на ресурсы домена не через родительский прокси, но с обязательным запросом авторизации в домене? Другими словами, нужен аналог команды login=PASS и возможность обрабатывать адреса из C:/Squid/Etc/corp_url.txt не через родительский прокси.
Это возможно или я слишком многого хочу?...

Ещё вопрос — может ли Squid брать login:pass из текстового файла в соответствии с внутренним IP (или внутренней авторизацией) пользователя и авторизоваться по нему на внешнем сервере? Т.е. чтобы авторизовавшись (с помощью Nt_auth.exe) в моей локалке юзер Vasya:pass мог не вводить имя доменного аккаунта Pupkin:pass2 (заранее внесённое в текстовый файл C:/Squid/Etc/domain_pass.txt).

И кстати, подскажите утилитку для удобного кодирования паролей в MD5, base64 и т.д. в стиле htpasswd (кроме её самой ).

Код:

visible_hostname my-proxy
cache_mgr postmaster@mymail.ru

cache_log C:/Squid/Var/Logs/Cache.log
cache_store_log none

http_port 8080
http_port 127.0.0.1:8081

icp_port 0
htcp_port 0

half_closed_clients off

cache_peer 1.1.1.1 parent 3128 0 login=PASS default no-query
cache_peer 2.2.2.2 parent 3129 0 login=PASS default no-query
dns_nameservers 10.10.10.10 20.20.20.20 30.30.30.30

acl Safe_ports port 21 80 443

acl adm src "C:/Squid/Etc/adm_url.txt"
acl usr src "C:/Squid/Etc/usr_url.txt"
acl corp_url dst "C:/Squid/Etc/corp_url.txt"
acl proxy_url dst "C:/Squid/Etc/proxy_url.txt" 
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0

delay_pools 2
delay_class 1 2
delay_parameters 1 64000/64000 16000/64000
delay_access 1 allow adm
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 32000/64000 8000/8000
delay_access 2 allow usr
delay_access 2 deny all

http_access allow adm
http_access allow localhost
http_access deny !Safe_ports
http_access deny !corp_url
http_access deny proxy_url
http_access allow usr
http_access deny all

deny_info 404 corp_url
deny_info ERR_ACCESS_DENIED proxy_url

ArtLonger
писать имя пользователя в виде NB_DOMAIN_NAME\Username
или user@full.domain.name пробовал ?
Или не работает ?


С конфигом прокси, увы, не помогу. Я такие проблемы решал переконфигурированием IIS чтобы домен не тренбовался, но тогда и пароль в нешифрованном виде передаётся (basic autentification)

Dimka
DOMAIN\Username или user@full.domain.name
Оба способа работают, но только на тех ресурсах, которые отдаёт родительский прокси. А на основной ресурс домена, с которого ссылки идут на все прочие, таким образом попасть нельзя.

Я такие проблемы решал переконфигурированием IIS
Я сейчас пытаюсь наладить не требующие капиталовложений решения. Конечно Linux/Unix в таком случае предпочтительнее, но на его нормальное освоение просто нет времени ...

ArtLonger

Боюсь, что не поддерживает твой SquidNT Integrated windows autentification (смотри в доккументации)

Никаких средств не надо.
Надо или отказаться от прокси для доступа к основному рессурсу или разрешить анонимный доступ к нему или разрешить простую (basic) авторизацию на этом ресурсе (второе и третье делается на сервере на уровне виртуальной директории, иногда файла)

Dimka
не поддерживает твой SquidNT Integrated windows autentification
Cо стороны клиентов поддерживает (посредством дополнительных модулей). А вот наружу...

разрешить анонимный доступ к нему или разрешить простую (basic) авторизацию
К настройкам ресурсов головной конторы меня не подпустят даже теоретически.

или отказаться от прокси для доступа к основному рессурсу
Не хочется. На squid'e достаточно легко организовать контроль и ограничения начального уровня.

В продолжение темы. Задал аналогичный вопрос на iXBT: http://forum.ixbt.com/topic.cgi?id=7:3280
Осталось впечатление, что мне было достаточно чётко сказано, что делать для локализации проблемы, но я этого не понял. Админ из меня тот ещё...

Поставлю вопрос немного иначе.
Могут ли рабочие станции из сети БЕЗ домена получать доступ к ресурсам сети С доменом через Squid? Ресурсы представляют собой корпоративные веб-сайты с обязательной (для моей сети) авторизацией.
Платформа в данном случае неважна, важен принцип.

Прошерстил довольно много сайтов (http://opennet.ru/ и т.п.), но ответа не нашёл — он или слишком прост, или ситуация нетипична...

ArtLonger
Могут ли рабочие станции из сети БЕЗ домена получать доступ к ресурсам сети С доменом через Squid? Ресурсы представляют собой корпоративные веб-сайты с обязательной (для моей сети) авторизацией.
По идее, могут только если пользователи сети БЕЗ домена будут указывать при аутентификации доменный эккаунт целевого домена типа: mydomain.com/username и пароль. Опять таки по идее, можно создать в том домене 1 общий эккаунт для всех и через него ходить... Но это как раз и невозможно, если я правильно понял...

abSystem
Вот этого самого запроса mydomain.com\username:пароль я и не могу добиться... А общий аккаунт как раз не нужен, в домене есть аккаунты для всех пользователей.

Ребят... срочно надо состряпать конфиг такого вида:

IP у сервера динамический, имя zod_server именно через землю.

порт на клиентах забит 3128

подсеть 192.168.3.*

интерфейс сетевой у сервера один.

есть три файла:

C:\squid\etc\ba
C:\squid\etc\por
C:\squid\etc\my

в которых соответственно списки хостов баннеров, порно и выборка запрещённых сайтов по боажи начальников отделов и пр...

Надо для сквид 2.5 под NT нарисовать конфиг чтоб работал: пускал всех из данной подсети на прокси, резал баннеры, порнуху и добавку. Надо чтоб работали хттп, фтп и наверное всё. Кэша гиг, "авторизация" по принадлежности к подсети. Если есть надёжный способ прибить аську, то его тож можно. очень надеюсь на помощь... сделал бы сам (может быть) но щас в больнице без некоторых инструментов...