
<font size=2 face="sans-serif">Hi Amos;</font>

<br><font size=2 face="sans-serif">Ok, we can discussed the issue in Two

part  1. For Windows AD Authentication & SSO and 2. Linux server

unable to access via squid proxy.</font>

<br>

<br><font size=2 face="sans-serif">For First point-</font>

<br><font size=2 face="sans-serif">Requirement to have SSO for accessing

internet via squid proxy and based on user's AD group membership allow

access to specific sites only. I believe current configuration of squid

is working as expected.</font>

<br>

<br><font size=2 face="sans-serif">For Second point -</font>

<br><font size=2 face="sans-serif">Point I would like to highlight here

is, the Linux server </font><tt><font size=2>IWCCP01</font></tt><font size=2 face="sans-serif">

is not part of domain at all. Hence the below error as squid configured

for AD_auth. So how can we allow Linux server or non domain machine to

access specific sites?</font>

<br>

<br><tt><font size=2>> Error 407 is "proxy auth required",

so the proxy is expecting authentication <br>

> for some reason.</font></tt>

<br><font size=2 face="sans-serif">====================================</font>

<br><font size=2 face="sans-serif"> </font><tt><font size=2>> Can

you confirm that the hostname vseries-test.bottomline.com is contained

in <br>

> your site file /etc/squid/sitelist/dbs_allowed_site ?</font></tt>

<br><tt><font size=2><br>

YES, we have entry as .bottomline.com , which work fine when access via

windows machine having proxy enabled for that user.</font></tt>

<br><tt><font size=2>==============================<br>

> Can you temporarily change the line "http_access allow IWCCP01

allowedsite" to <br>

> "http_access allow IWCCP01" and see whether the machine

then gets access?<br>

</font></tt>

<br><tt><font size=2> I will test this, and update the results.<br>

========================================<br>

If that works, please list the output of the command:<br>

  grep "bottomline.com" /etc/squid/sitelist/dbs_allowed_site</font></tt>

<br>

<br><tt><font size=2>o/p of above command as below -</font></tt>

<br>

<br><tt><font size=2>[root@Proxy02 ~]# grep "bottomline.com"

/etc/squid/sitelist/dbs_allowed_site</font></tt>

<br><tt><font size=2>.bottomline.com</font></tt>

<br><tt><font size=2>[root@Proxy02 ~]#</font></tt>

<br>

<br><tt><font size=2>=======================================</font></tt>

<br>

<br><font size=2 face="sans-serif">Thanks & Regards<br>

Nilesh Suresh Gavali<br>

</font>

<br>

<br>

<br>

<br><tt><font size=2>  <br>

Message: 2<br>

Date: Wed, 5 Oct 2016 00:11:08 +1300<br>

From: Amos Jeffries <squid3@treenet.co.nz><br>

To: squid-users@lists.squid-cache.org<br>

Subject: Re: [squid-users] Squid - AD kerberos auth and Linux Server<br>

                
proxy access not working<br>

Message-ID: <d35ad0ca-761d-60e3-c594-04697110afdc@treenet.co.nz><br>

Content-Type: text/plain; charset=utf-8<br>

<br>

On 4/10/2016 11:36 p.m., Antony Stone wrote:<br>

> On Tuesday 04 October 2016 at 12:28:44, Nilesh Gavali wrote:<br>

> <br>

>> Hello Antony;<br>

>> I have double checked the current working configuration of my

squid.conf<br>

>> and it has same settings which I posted earlier. somehow it is

working for<br>

>> us.<br>

> <br>

> I'm not saying the whole thing won't work; I'm saying there is no

point in <br>

> having a line "http_access allow ad_auth" following the

line "http_access deny <br>

> all".  The ad_auth line can never be invoked.<br>

<br>

Not knowing why authentication works is dangerous. You might have been<br>

allowing non-authenticated traffic and invalid user accounts through.<br>

<br>

The only reason it does "work" is that the ACL called "USERS"

is _not_<br>

actually checking user logins. It is a group checking ACL which requires<br>

authentication to happen before it can be checked.<br>

<br>

In this specific case invalid logins cannot be a member of the group. So<br>

they will not get through the proxy.<br>

<br>

However, people who accidentally type the user/password wrong, or whose<br>

machines automatically login with an account not a member of the group<br>

will not be allowed any way to try again short of shutting down their<br>

browser or maybe even logging out of the machine and trying from another<br>

one.<br>

<br>

That may or may not be a problem for you.<br>

<br>

> <br>

>> below is the error from access.log file.<br>

>><br>

>> 1475518342.279      0 10.xx.15.103 TCP_DENIED/407

3589 CONNECT<br>

>> vseries-test.bottomline.com:443 - NONE/- text/html<br>

> <br>

> Error 407 is "proxy auth required", so the proxy is expecting

authentication <br>

> for some reason.<br>

> <br>

> Can you confirm that the hostname vseries-test.bottomline.com is contained

in <br>

> your site file /etc/squid/sitelist/dbs_allowed_site ?<br>

> <br>

> Can you temporarily change the line "http_access allow IWCCP01

allowedsite" to <br>

> "http_access allow IWCCP01" and see whether the machine

then gets access?<br>

> <br>

<br>

If that works, please list the output of the command:<br>

  grep "bottomline.com" /etc/squid/sitelist/dbs_allowed_site<br>

<br>

Amos<br>

<br>

*******************************************<br>

</font></tt>

<br><p>=====-----=====-----=====<br>

Notice: The information contained in this e-mail<br>

message and/or attachments to it may contain <br>

confidential or privileged information. If you are <br>

not the intended recipient, any dissemination, use, <br>

review, distribution, printing or copying of the <br>

information contained in this e-mail message <br>

and/or attachments to it are strictly prohibited. If <br>

you have received this communication in error, <br>

please notify us by reply e-mail or telephone and <br>

immediately and permanently delete the message <br>

and any attachments. Thank you</p>


<p></p>