auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MY_DOMAIN+My Proxy"

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Здесь «My Proxy» – группа, присутствие в которой дает право пользоваться прокси-сервером. На что следует обратить внимание – в значении параметра --require-membership-of задана запись «MY_DOMAIN+My Proxy». В этой записи «My Proxy» – название группы, а знак «+» – это значение параметра «winbind separator» из конфигурационного файла Samba smb.conf. В сервере, на котором проводилось тестирование, параметр задан следующим образом:

winbind separator = +

Если у вас используется другой символ, его следует указывать вместо знака «+» (в противном случае хелпер не сможет определить принадлежность к группе и пользователь не получит доступа к прокси в конечном итоге). Следует иметь в виду, что данное значение параметра winbind separator не является значением по умолчанию для самбы. По умолчанию значением является «» (обратная косая черта). Но использование этого символа в командах, передаваемых в shell, как правило, чревато необходимостью «защищать» его от того, чтобы shell не воспринял его как служебный, поэтому был выбран другой символ. Хотя, например, man smb.conf не рекомендует использовать именно «+» чтобы избежать возможных проблем с NIS.

Если какой-либо из приведенных способов не работает

Отнюдь не факт, что любой описанный здесь метод заработает с первого раза. Мне приходилось немало проверять, перепроверять и тестировать конфигурационные файлы, прежде чем начинал работать какой-либо из методов, хотя в конечном итоге работали все методы. Если какой-либо браузер (Mozilla, например, но не Internet Explorer) запрашивает пароль и не реагирует как положено на правильный, следует:

n  Убедиться, что пароль введен правильно.

n  Посмотреть лог cache.log в каталоге логов прокси-сервера – хелперы выводят сообщения об ошибках туда.

n  Проверить правильность написания путей в правилах задания хелперов.

n  Проверить наличие самих хелперов по указанным путям и достаточность прав на запуск хелперов из-под пользователя, от имени которого работает прокси-сервер (обычно это squid из группы squid).

n  Если хелперы запускаются, следует обратить внимание на моменты их запуска – если ntlm_auth, например, не может установить связь с контроллером домена, он сообщит об этом.

n  Если используются хелперы на базе winbindd, следует проверить работоспособность winbindd-демона (команды приводились выше).