16.04 LTS 代理服务器 - 当 Win 客户端同时打开多个 Chrome 标签页时,Squid 3.5.12-1ubuntu7.4 ntlm 身份验证会挂起

16.04 LTS 代理服务器 - 当 Win 客户端同时打开多个 Chrome 标签页时,Squid 3.5.12-1ubuntu7.4 ntlm 身份验证会挂起

Ubuntu 16.04.3 64bit LTS squid代理服务器问题:

当某些 Windows 客户端启动 Chrome 并同时打开大量标签时,ntlm_auth 助手开始使用 SMB 身份验证请求无限期地冲击 Windows Server 2008R2 AD DC。同时,客户端的浏览器在打开网页时冻结。数据包转储未显示正常行为和身份验证请求风暴之间的任何差异(请求速率除外)。CPU 负载未显示任何异常。cache.log 中的调试未显示任何错误或与正常行为的差异(请求速率除外)。

killall ntlm_auth 有时会有所帮助,但更多的时候会帮助 systemctl 重启 squid。

会是什么呢?

Windows 客户端 - Windows 8.1 64 位,Chrome 版本 - 60,Squid 版本:3.5.12-1ubuntu7.4,Samba 服务器版本 - 2:4.3.11+dfsg-0ubuntu0.16.04.9。ubuntu 服务器上的所有更新均已安装。

root@proxy05:~# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04.3 LTS
Release:        16.04
Codename:       xenial

来自 squid.conf 的身份验证配置:

auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth \
        --kerberos /usr/lib/squid/negotiate_kerberos_auth -i -r -d \
        -s "HTTP/[email protected]" \
        -s GSS_C_NO_NAME \
        --ntlm /usr/bin/ntlm_auth \
        --helper-protocol=squid-2.5-ntlmssp \
        --domain=HQ \
        -s GSS_C_NO_NAME
auth_param negotiate children 40 startup=5 idle=10
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -P -R \
        -b "dc=hq,dc=verita,dc=local" \
        -D "[email protected]" \
        -W /etc/squid/ldappass.conf \
        -f "sAMAccountName=%s" -h dc01.hq.verita.local
auth_param basic children 30
auth_param basic realm "proxy05 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours

authenticate_cache_garbage_interval 8 hour
authenticate_ttl 4 hour

相关内容