<div dir="ltr">put keep at off but no change.<div><br></div><div>I don't think's that it's malware, it's not all time the same username</div><div><br></div><div>today, 5 new usernames with the same problems between 13:20 and 16:15 </div><div><br></div><div>i don't understand the problems :<</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-03-30 12:56 GMT+02:00 Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 30/03/2016 9:40 p.m., Olivier CALVANO wrote:<br>
> Hi<br>
><br>
> I use:<br>
><br>
> ## negotiate kerberos and ntlm authentication<br>
> auth_param negotiate program /usr/local/bin/negotiate_wrapper --ntlm<br>
> /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp<br>
> --kerberos /usr/lib64/squid/squid_kerb_auth -d -s GSS_C_NO_NAME<br>
> auth_param negotiate children 100 startup=10 idle=1<br>
> auth_param negotiate keep_alive on<br>
><br>
> ## Module d'authentification NTLM<br>
> auth_param ntlm program /usr/bin/ntlm_auth --diagnostics<br>
> --helper-protocol=squid-2.5-ntlmssp<br>
> auth_param ntlm children 100 startup=10 idle=1<br>
> auth_param ntlm keep_alive on<br>
<br>
<br>
</span>Try with "keep_alive off" on both of those auth methods. This does not<br>
conflict with connection keep-alive in genral, just closes the<br>
connection at a very specific time in the auth handshake. Without that<br>
certain IE and Firefox can have problems authenticating properly.<br>
<br>
Given that the client waited 20 minutes for those WU requests to happen<br>
I doubt it is an actual user. Probably an automated WU background<br>
process doing its thing while they happen to be logged in. Which means<br>
the IE behaviour is relevant.<br>
<br>
The <a href="http://yahoo.fr" rel="noreferrer" target="_blank">yahoo.fr</a> request being 1 hr long is very odd though. That is<br>
something I'd expect to see from a real person user. But not waiting an<br>
hour for. Could they be infected with some toolbar malware?<br>
<span class="HOEnZb"><font color="#888888"><br>
Amos<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div></div></blockquote></div><br></div>