Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3008 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wierd proxy error after updating please help

dayvid
Hi,

I updated to the latest version 5.019 and since im having problems.

This is what i get int he proxy logs:
29:37 (none) squid[983]: authenticateDecodeAuth: Unsupported or unconfigured proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIoAcABwAmAAAABgAGACAAAABQQ0w3NjhNQUxZU1NF'

This is my setup:

I use a ISA server as the main proxy that routes all the requests to the upstream ASL proxy.

This setup has worked for over a year now without problems.
But after i upgraded sometimes my users get a popup that they should authenticate on the squid with the isa ip adress.

I searched for the error and only thing i find is that the clients are seding malformed requests to the proxy.

Anyone have any ideas?? Maybe i should just rollback [:(]


This thread was automatically locked due to age.
Parents
  • 0
    this means that your ISA server is sending the NTLM authentication to the squid on the ASL. This is not supported. Please reconfigure the ISA server to keep it's authentication to itself and you will have no problems.

    btw. is your proxy running in standard or userauth mode?
  • 0 in reply to Vukasin
    The asl is running in standard mode and i have th isa server in allowed networks.
    I dont use cobion, but a filter on the isa server.
    Il try to find where the ISA server is sending the NTLM trough.

    This configuration always worked prior to 5.019 tho.

    EDIT:
    In my routes to the upstream ASL proxy i dont give any authentication.
    Only intigrated authentication on the ISA server. None to the upstream ASL.
    Any idea where else to look?
  • 0 in reply to dayvid
    not sure how to help you with the ISA config but I can tell you that sending the NTLM auth to web servers outside of your network is not very secure. By doing this you are compromising the security of your network since the NTLM auth probably contains the NT domain logins.
  • 0 in reply to Vukasin
    Thats the whole point, im not.

    My users have the proxy ip of the ISA server. And i use the integrated windows security to authenticate.
    Then he routes all routes to a upstream proxy (the ASL)
    I have a rule to allow the http from the isa proxy to the asl and back. And only put the ip of the isa server in allowed networks.

    I dont see ntlm users in my asl box, i only see the ip of the isa server.

    like this :

    2004:08:20-13:15:42 (none) squid_access[1537]: 1093000542.856 823 ISA SERVER IP TCP_MISS/200 25931 GET http://URL - DIRECT/IP text/html
  • 0 in reply to dayvid
    yes, but your ISA is sending the login data out into the internet anyway. you need to reconfigure the ISA.
  • 0 in reply to Vukasin
    i converted back to 5.016 and everything works fine again.
    I have no idea what you mean aboutthe ISA server sending the login to the internet.
    The only rule that is in the ISA server is this:

    All http request from authenticated windows users rout to upstream proxy server.
    And the settings for that proxy server are a ip adres (the ASL box) and the port 8080.

    I never see nt users on my asl box, i just see a request from the ISA server box.

    The only reason im using the isa server is so that i can use (the cheaper) bt webfilter and to have decent logging (as asl doesnt support AD (yes i know about the ldap)

    EDIT:

    I found this in the ISA manual:
    If the routing rule does not specifiy to use an account , then the downstream ISA Server computer passes the client's authentication information to the upstream server. 

    Well i enterd a account in the upstream route (a user i defined under users)
    But im cant update the box cause my users would kill me now. Il keep you updated.
Reply
  • 0 in reply to Vukasin
    i converted back to 5.016 and everything works fine again.
    I have no idea what you mean aboutthe ISA server sending the login to the internet.
    The only rule that is in the ISA server is this:

    All http request from authenticated windows users rout to upstream proxy server.
    And the settings for that proxy server are a ip adres (the ASL box) and the port 8080.

    I never see nt users on my asl box, i just see a request from the ISA server box.

    The only reason im using the isa server is so that i can use (the cheaper) bt webfilter and to have decent logging (as asl doesnt support AD (yes i know about the ldap)

    EDIT:

    I found this in the ISA manual:
    If the routing rule does not specifiy to use an account , then the downstream ISA Server computer passes the client's authentication information to the upstream server. 

    Well i enterd a account in the upstream route (a user i defined under users)
    But im cant update the box cause my users would kill me now. Il keep you updated.
Children
No Data