<div dir="ltr">Hello Amos,<div><br></div><div>Thank you for the idea to write a wrapper script.</div><div><br></div><div>As NTLM-helper returns "NA NT_STATUS_LOGON_FAILURE" during authentication failed, I think it is also required to patch the squid sources to copy the value of the user attribute, returned by the wrapper,  to auth_user_request->user()->username().</div><div>As I see, I need to modify the following functions:</div><div>Helper::Reply::finalize()  - add parsing of additional attributes in the case when returned value is "NA  " ,</div><div>Auth::Ntlm/Negotiate::UserRequest::HandleReply() - add finding the "user" attribute and copping it to the username: auth_user_request->user()->username(userLabel) in the case of returned Helper::Error;<br></div><div><br></div><div>By the way, what are these acronyms for (YR, KK, TT, AF, BH, NA, LD)?</div><div><br></div><div>Kind regards,</div><div>     Ankor.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 31 янв. 2023 г. в 08:54, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 31/01/2023 6:13 pm, Andrey K wrote:<br>
> Amos,<br>
><br>
> I understood: the helper.cc does not parse the KK-request and does not <br>
> know about the username. He can only get the username information from <br>
> the reply of the external helper. But since the external helper <br>
> returns only an error without a username, this information is missing <br>
> from the logs.<br>
><br>
> Is there any other possibility to log username and source IP address <br>
> in such NTLM-failed authentication attempts?<br>
<br>
You could make a wrapper script that decodes the KK request and returns <br>
user=name along with the real helpers result.<br>
The problem is tat the credentials are known to be invalid at that <br>
point, so it may just be garbage instead of a username.<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>