<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>Hello Amos,</div>

<div> </div>

<div>auth_param ntlm keep_alive off</div>

<div> </div>

<div>unfortunately does not solve the problem.</div>

<div>I did more investigation about the problem and i found informations.</div>

<div>Every time a user get the browser popup requesting credentials, i found on squid log this event:</div>

<div> </div>

<div>
<div>Login for user [DOMAIN]\[user]@[PC_XXXX] failed due to [Access denied]<br/>
NTLMSSP BH: NT_STATUS_ACCESS_DENIED<br/>
2016/09/02 16:56:13 kid1| ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_ACCESS_DENIED; }}</div>

<div> </div>

<div>It's not easy to do more debug because i have 9000 concurrent connections, but if you think that can help me, i try to set debug_option to something like 29,5</div>

<div>Sometimes users left the office letting the browser open.</div>

<div>After 1 hour (more or less), they return to the pc and popup show as soos as mouse point to a new link on the open browser.</div>

<div>It's probably because something cached expire, but i cannot demostrate it so easily beceuse, as you said, ntlm never cache.</div>

<div>On my samba/winbind logs i see many</div>

<div>rpccli_netlogon_sam_network_logon: credentials chain check failed</div>

<div> </div>

<div>So it's very strange to understand if some problem occur beetween squid and browser or samba and Active Directory.</div>

<div> </div>

<div>What do you think about?</div>
</div>

<div>Thanks.</div>

<div> </div>

<div>Giulius.<br/>
<br/>
On 1/09/2016 12:37 a.m., akn ab wrote:<br/>
> Dear all,<br/>
> i'm facing a strange problem using squid 3.5.20 with ntlm transparent<br/>
> authentication.<br/>
> I cannot use kerberos auth because i need to pass DOMAIN\user to my parent proxy<br/>
> with x-authenticated-user header, and the form USERNAME@DOMAIN is not supported.<br/>
> Users can surf the web without problems but, sometimes, they receive request<br/>
> credential popup from browser (explorer, edge, mozilla and chrome it does not<br/>
> matter).<br/>
> auth_param ntlm program /usr/local/samba/bin/ntlm_auth<br/>
> --helper-protocol=squid-2.5-ntlmssp<br/>
> auth_param ntlm children 300 startup=200 idle=10 concurrency=0<br/>
> auth_param ntlm keep_alive on<br/>
> auth_param basic program /usr/local/samba/bin/ntlm_auth<br/>
> --helper-protocol=squid-2.5-basic<br/>
> auth_param basic children 25 startup=15 idle=5 concurrency=0<br/>
> auth_param basic realm PROXY AUTHORIZATION REQUIRED<br/>
> auth_param basic credentialsttl 30 minutes<br/>
> authenticate_cache_garbage_interval 1 hours<br/>
> authenticate_ttl 30 minutes<br/>
> authenticate_ip_ttl 30 minutes<br/>
><br/>
> I migrated from squid 2.6.x and, with similar configuration, the required<br/>
> credentials was displayed only when the password was expired.<br/>
> In this situation, users must click on abort button many times to restore a<br/>
> good situation, but i cannot understand why the request popup suddenly.<br/>
> Is this a credentials cache timeout problm (authenticate_ttl 30 minutes)?<br/>
<br/>
Maybe. If so its not an NTLM problem since NTLM credentials are "cached"<br/>
by being tied to the TCP connection state, not stored in a regular cache<br/>
like Basic auth credentials.<br/>
<br/>
I suggest trying:<br/>
auth_param ntlm keep_alive off<br/>
<br/>
Squid-3 is now HTTP/1.1 which behaves a bit differently with persistent<br/>
connectiosn than HTTP/1.0 did. Which affects the pile of nasty hacks<br/>
needed to make NTLM work over HTTP.<br/>
<br/>
> Is this a problem in the browser?<br/>
<br/>
Yes, at least partially. The popup only occurs when the browser thinks<br/>
none of its credentials are valid to send to the proxy. Why it thinks<br/>
that might be a browser bug or a Squid bug. Or just the way NTLM behaves<br/>
in some HTTP message circumstances.<br/>
<br/>
> Is this a comunication problem with squind and Active Directory?<br/>
<br/>
Unlikely. It's more probably between Squid and browser. Squid only<br/>
interacts with AD at the start of a new TCP connection, or when NTLM is<br/>
started on an existing connection.<br/>
<br/>
It could be browser sending unacceptible credentials (eg. the users<br/>
machine's account instead of the users own account) then deciding NTLM<br/>
is unusable.<br/>
<br/>
It could be the browser failing to send the right NTLM token for Squid<br/>
to check against the existing known credentials tied to the connection.<br/>
<br/>
<br/>
> I would like to undestrand why, so i need advices to start debug and find a<br/>
> solution.<br/>
<br/>
<<a href="https://deref-mail.com/mail/client/c6_H0i188Ps/dereferrer/?redirectUrl=http%3A%2F%2Fwiki.squid-cache.org%2FKnowledgeBase%2FDebugSections" target="_blank">http://wiki.squid-cache.org/KnowledgeBase/DebugSections</a>><br/>
<br/>
Section 29 is the various authenticators. You will also need the ACL<br/>
processing section and results.<br/>
<br/>
Amos</div></div></body></html>