WSUS 3.0 не ходит через squid

Все ответы

• 

  

  0

  Нужно войти

  Вы можете отключить проверку подлинности на прокси для этого сервера?

  3 мая 2007 г. 9:30

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  В бета-версии была такая же проблема. В консоли WSUS зайдите на страницу настройки прокси сервера и перебейте заново информацию, особенно пароль. После этого должно заработать.

  3 мая 2007 г. 13:28

  Ответить

  |

  Цитировать

  Модератор
• 

  

  0

  Нужно войти

  Несколько раз уже перебивал паролль- не помогает. Думаю, как отключить авторизацию

  4 мая 2007 г. 5:45

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  По умолчанию WSUS 3.0 использует Integrated авторизацию. Но там есть галочка включения Basic авторизации - она то уж точно должна работать в SQUID, если вы в нем не настроили поддержку виндусовой авторизации.

  4 мая 2007 г. 6:02

  Ответить

  |

  Цитировать

  Модератор
• 

  

  0

  Нужно войти

  У меня настроена интеграция squid и AD, браузеры ходят нормально, а эта ерунда ну ни в какую

  4 мая 2007 г. 6:45

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  У меня идет через ISA с виндовс авторизацией без проблем. Смотрите логи SQUID.

  4 мая 2007 г. 8:11

  Ответить

  |

  Цитировать

  Модератор
• 

  

  0

  Нужно войти

  Проблема решилась? А то у меня ситуация один в один.. пока разобраться не могу
  

  4 мая 2007 г. 14:41

  Ответить

  |

  Цитировать
• 

  

  1

  Нужно войти

  Отвечу сам себе. На сквиде надо было использовать basic авторизацию. Для этого надо было поставить имя учетной записи на прокси, поле домена оставить пустым (иначе на прокси оно собирается в такое домен\имя учетной записи, что понятно для прокси только при NTLM авторизации), вводим пароль, и поставить галочку внизу о возможности передачи пароли в открытом виде. Вот такие настройки подошли мне.
  

  • Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37

  5 мая 2007 г. 6:26

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Не подошло

  Судя по логам squid'а wsus вообще не делает попыток авторизации на прокси

  1178514400.524      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.538      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.560      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.574      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.596      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.610      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.632      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.646      4 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514400.944    291 192.168.1.5 TCP_MISS/200 10226 GET http://download.windowsupdate.com/v7/wsus/redir/wsusredir.cab? <username> DIRECT/84.53.135.144 application/octet-stream
  1178514401.450      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.476      5 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.506      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.519      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.541      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.553      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.575      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  1178514401.588      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
  

  7 мая 2007 г. 5:08

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  А вы посмотрите ответ SQUID-а снифером. Это прояснит ситуацию в их взаимонепонимании.

  7 мая 2007 г. 10:49

  Ответить

  |

  Цитировать

  Модератор
• 

  

  0

  Нужно войти

  Сделайте ACL с авторизацией по IP-адресу в squid, что-то вроде

   

  acl wsus src 172.20.1.1

  и добавьте в начало правил

  http_access allow wsus

  10 мая 2007 г. 7:37

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Точно такая же проблема - можете расскажете как у Вас она решилась?=)

  15 мая 2007 г. 12:17

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

   Здраствуйте!

   А это не проблема BITS? Ведь именно эта служба не ходит через squid.  В wsus 3.0 я отключал ее утилитой wsusdebugtool.exe.

   

    С уважением.

  25 мая 2007 г. 11:15

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Все работает...

   

  использую squid/2.6.STABLE4 и auth  через Winbind 3.0.23c из AD 2003

  в конфиге Smb.conf использую сепаратор + (winbind separator = +)

   

  спокойно прописал

  Use proxy server when sync

  ip-addess, port... имя пользователя, ДОМЕН и пароль... BASIC auth -ОТКЛЮЧЕНО

   

  в логе сквида смотрите что не так ))))

   3607 10.0.14.7 TCP_MISS/206 123887 GET http://au.download.windowsupdate.com/msdownload/updat
  e/v3-19990518/cabpool/windows2000-kb935966-x86-rus_96dbb603d39a09413b613e5024fb780318477850.exe APRESS+twoboots DIRECT/213.155.151.153 application/octet-stream
  

  Формат имени и домена должен совпадать...  уменя например заработало только после того как прописал имя домена заглавными буквами...

   

  30 мая 2007 г. 8:07

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  А можно куски конфигов сквида и smb глянуть?

  Неделю уже бьемся, нифига не можем скрестить эти живности...

  8 июня 2007 г. 6:50

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  конечно...

   

  еще раз что стоит RHEL4

  Samba Version 3.0.23c-SerNet-RedHat

  smb.conf

   

  [global]
  workgroup = APRESS
  server string = Linux proxy
  log file = /var/log/samba/log.%m
  netbios name = server-proxy
  max log size = 50
  security = ads
  socket options = SO_KEEPALIVE SO_REUSEADDR SO_BROADCAST TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_SNDBUF=50000 SO_RCVBUF=50000
  local master = no
  os level = 0
  domain master = no
  preferred master = no
  realm = AB.RU
  dns proxy = no
  password server = 10.0.0.11
  encrypt passwords = yes
  smb passwd file = /etc/smbpasswd
  winbind enum users = yes
  winbind enum groups = yes
  winbind separator = +
  client signing = yes
  client use spnego = yes
  client schannel = auto
  winbind use default domain = no
  winbind uid = 10000-20000
  winbind gid = 10000-20000
  inherit acls = yes
  inherit permissions = yes
  null passwords = yes
  winbind nested groups = yes
  name resolve order = wins lmhosts bcast

  wins server = 10.0.0.4
  printcap name = /etc/printcap
  load printers = no
  cups options = raw

  [upload]
  path = /usr/upload
  valid users = +"APRESS+cs"
  writable = yes
  printable = no
  create mask = 0775
  browseable = yes
  
  конфига сквида v (squid/2.6.STABLE4): Он у меня сдоровенный, весь писать не буду...

   

  auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  auth_param ntlm children 35
  auth_param ntlm keep_alive on

  auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
  auth_param basic children 10
  auth_param basic realm Squid proxy-caching web server
  auth_param basic credentialsttl 2 hours

   

  ### DEALAY POOLS ##############################################
  delay_pools 2
  delay_class 1 2
  delay_class 2 2
  ############################ #########################

  
  ### ACL LIST ##########################################
  acl all src 0.0.0.0/0.0.0.0
  acl example src x.x.x.x/255.255.255.255
  acl localhost src 127.0.0.1/255.255.255.255
  acl abak src x.x.x.x/255.255.0.0
  
  ####### access by IP ####################################
  
  http_access allow localhost
  ### MANAGER WWW stats ###############################
  acl manager proto cache_object
  http_access allow manager twoboots
  http_access allow manager example
  http_access allow manager localhost
  ##### allow non auth users ################################
   Может вот это влияет кстати... у меня метод POST разрешен без аутентификации

   

  acl mpost method POST
    acl PURGE method PURGE
  

  http_access allow mpost abak
  http_access allow PURGE localhost
  

  ##### from DOMAIN group INET-STANDART ##########################
  acl sg_squid_access external nt_group inetusers_standart
  delay_access 1 allow sg_squid_access abak
  delay_parameters 1 384000/384000 64000/20000000  #file>20mb_download_limit_128kb
  http_access allow work_time sg_squid_access abak
  http_access allow holiday_time sg_squid_access abak
  http_access allow localhost
  http_access allow example
  ##### deny all other ###########################################
  http_access deny all
  
  
  

  13 июня 2007 г. 5:01

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Не похоже, что WSUS ходит из-за разрешенного без аутентификации метода POST. Судя по логам сквда, он сперва долбится CONNECT'ом, потом HEAD'ом, а потом ошибку выдает.
  Собственно, вопрос по конфигу сквида. Действительно ли происходит проверка учетных данных пользователей? Может быть, приведены не все строчки из списка контроля доступа? Я не увидел у Вас определения acl proxy_auth. Т.е., хэлперы для NTLM и Basic аутентификации Вы объявили, а вот правило, которое бы проверяло логин пользователя - нет.
  Хотелось бы еще увидеть строчку external_acl_type. В той, в которой Вы определяете хэлпер для правила acl sg_squid_access external nt_group inetusers_standart.
  Откуда сквид берет имя пользователя для проверки в этом правиле, если не было аутентификации пользователя?
  
  

  14 июня 2007 г. 10:17

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  external_acl_type nt_group ttl=120 children=20 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
  

  то есть у меня сквид пускает пользователей из определенной доменной группы...

  вообще конечно у меня несколько доменных групп с разными уровнями доступа на сквиде, но это к делу думаю мало отностится...

  что бы это работало недо конечно собирать сквид с параметром --with-external-acl-helpers=wbinfo_group

  21 июня 2007 г. 6:49

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Думаю, тема все еще актуальна, несмотря на дату.
  
  Эта проблема связана с WSUS 3.0 SP1. Возникает на разных прокси производства не Microsoft. Лечится
  http://support.microsoft.com/kb/928563
  Фикс можно скачать здесь (нужна регистрация).
  http://thehotfixshare.net/board/index.php?showtopic=3384
  

  • Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37

  16 апреля 2008 г. 7:25

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  The error returned was:

  Sorry, the link that brought you to this page seems to be out of date or broken.

   

  мдя, линк похоже умер...

  дайте другой! -)

  1 октября 2008 г. 8:57

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Сегодня, после обновления WSUS SP1 до SP2 возникла аналогичная ситуация - ошибка 407.
  
  Авторизация на SQUID по ip.
  Решилась следующим образом:
  
  ввод ручками настройки во WSUS прокси-сервера не помог.
  proxycfg показал, что в WinHTTP доступ в интернет - прямой
  proxycfg -u  взял настройки прокси из IE
  после этого WSUS успешно подключился к серверу обновлений Microsoft
  proxycfg -d вернул предыдущие настройки WinHTTP
  
  Дальше всё обновляется без проблем. Синхронизация с сервером обновлений Microsoft проходит успешно.

  • Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37

  30 сентября 2009 г. 8:43

  Ответить

  |

  Цитировать