<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>
<div>Dear Amos,</div>

<div> </div>

<div>i found the problem.</div>

<div>It was a samba issue caused by badlock patch implementation.</div>

<div>Thanks for your assistance and sorry for my wrong mailing-list post, i should have check better the samba logs.</div>

<div> </div>

<div>Giulius.</div>

<div> 
<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="margin:0 0 10px 0;"><b>Sent:</b> Saturday, September 03, 2016 at 4:43 AM<br/>
<b>From:</b> "Amos Jeffries" <squid3@treenet.co.nz><br/>
<b>To:</b> "akn ab" <drcimino@mail.com>, squid-users@lists.squid-cache.org<br/>
<b>Subject:</b> Re: [squid-users] Debugging NTLM problem</div>

<div name="quoted-content">On 3/09/2016 3:06 a.m., akn ab wrote:<br/>
> Hello Amos,<br/>
> auth_param ntlm keep_alive off<br/>
> unfortunately does not solve the problem.<br/>
> I did more investigation about the problem and i found informations.<br/>
> Every time a user get the browser popup requesting credentials, i found on squid<br/>
> log this event:<br/>
> Login for user [DOMAIN]\[user]@[PC_XXXX] failed due to [Access denied]<br/>
> NTLMSSP BH: NT_STATUS_ACCESS_DENIED<br/>
> 2016/09/02 16:56:13 kid1| ERROR: NTLM Authentication validating user. Result:<br/>
> {result=BH, notes={message: NT_STATUS_ACCESS_DENIED; }}<br/>
<br/>
That is ntlm_auth (on behalf of AD) telling Squid the user credentials<br/>
are not correct. There is no NTLM protocol problem.<br/>
<br/>
Consider this NT_STATUS_ACCESS_DENIED as if a user entered the wrong<br/>
password. Why do you want to allow them access in that case?<br/>
<br/>
<br/>
> It's not easy to do more debug because i have 9000 concurrent connections, but<br/>
> if you think that can help me, i try to set debug_option to something like 29,5<br/>
> Sometimes users left the office letting the browser open.<br/>
> After 1 hour (more or less), they return to the pc and popup show as soos as<br/>
> mouse point to a new link on the open browser.<br/>
> It's probably because something cached expire, but i cannot demostrate it so<br/>
> easily beceuse, as you said, ntlm never cache.<br/>
> On my samba/winbind logs i see many<br/>
> rpccli_netlogon_sam_network_logon: credentials chain check failed<br/>
> So it's very strange to understand if some problem occur beetween squid and<br/>
> browser or samba and Active Directory.<br/>
> What do you think about?<br/>
> Thanks.<br/>
> Giulius.<br/>
><br/>
> On 1/09/2016 12:37 a.m., akn ab wrote:<br/>
> > Dear all,<br/>
> > i'm facing a strange problem using squid 3.5.20 with ntlm transparent<br/>
> > authentication.<br/>
> > I cannot use kerberos auth because i need to pass DOMAIN\user to my parent proxy<br/>
> > with x-authenticated-user header, and the form USERNAME@DOMAIN is not supported.<br/>
<br/>
I suggest you use an external_acl_type helper that takes the %LOGIN<br/>
format parameter and sends 'OK upstream_user_="..." ' back to Squid. Use<br/>
the %note{upstream_user_} in your request_header_add directive to send<br/>
the right header value upstream.<br/>
<br/>
That will allow you to at least keep your part of the proxy chain using<br/>
secure Negotiate authentication even though the parent proxy allows<br/>
anyone to inject traffic spoofing your user accounts.<br/>
<br/>
Amos<br/>
 </div>
</div>
</div>
</div></div></body></html>