[Comm] Проблемы с аутентификационными механизмами с squid`е

[Nick S. Grechukh]

On Fri, Mar 25, 2005 at 10:20:14AM +0300, Овечкин Влад wrote:
> >имхо это неправильно. низзя - значит низзя, и нефиг пароли перебирать.
> >с теми данными, которые получены по ntlm - юзер как минимум смог
> >залогиниться в систему. следовательно они корректны, просто доступ
> >запрещен.
    ^^^^^^^^^^^^^^ 
> >отрицательно смотрю. сквид можно настроить по всякому, окошко с паролем -
> >это схема basic, а какой *-auth для нее используется - вопрос отдельный.
> Не спорю, окошко - это basic, но: если не прошла ntlm-аутентификация, 

аутентификация - прошла. т.е. логин и пароль проверены сервером (то бишь
PDC) и получен положительный ответ. proxy_auth отработал. так случилось,
что был использован механизм ntlm.
теперь имя пользователя уже известно, и в игру вступают acl, которые
говорят что deny. все.
(btw, запрет где стоит, в http_acess или proxy_auth?)

> почему не выдаётся окно на другую - basic аутентификацию???

попробуйте оставить только basic и убедитесь, что вручную войдя как
rabotniki  с правильным паролем человек получит access denied. окошко не
появится второй раз.
а Вы хотите, чтобы найдя http_access deny сквид любезно переспрашивал имя
пользователя :-). несмотря на то что deny может быть по разным причинам,
например 
http_access allow some_porno_site boss
http_access deny some_porno_site 
http_access allow authenticated_users
должен ли здесь сквид предложить войти под логином босса?