Ubuntu 16.04.3 64bit LTS squid代理服务器问题:
当某些 Windows 客户端启动 Chrome 并同时打开大量标签时,ntlm_auth 助手开始使用 SMB 身份验证请求无限期地冲击 Windows Server 2008R2 AD DC。同时,客户端的浏览器在打开网页时冻结。数据包转储未显示正常行为和身份验证请求风暴之间的任何差异(请求速率除外)。CPU 负载未显示任何异常。cache.log 中的调试未显示任何错误或与正常行为的差异(请求速率除外)。
killall ntlm_auth 有时会有所帮助,但更多的时候会帮助 systemctl 重启 squid。
会是什么呢?
Windows 客户端 - Windows 8.1 64 位,Chrome 版本 - 60,Squid 版本:3.5.12-1ubuntu7.4,Samba 服务器版本 - 2:4.3.11+dfsg-0ubuntu0.16.04.9。ubuntu 服务器上的所有更新均已安装。
root@proxy05:~# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.3 LTS
Release: 16.04
Codename: xenial
来自 squid.conf 的身份验证配置:
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth \
--kerberos /usr/lib/squid/negotiate_kerberos_auth -i -r -d \
-s "HTTP/[email protected]" \
-s GSS_C_NO_NAME \
--ntlm /usr/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp \
--domain=HQ \
-s GSS_C_NO_NAME
auth_param negotiate children 40 startup=5 idle=10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -P -R \
-b "dc=hq,dc=verita,dc=local" \
-D "[email protected]" \
-W /etc/squid/ldappass.conf \
-f "sAMAccountName=%s" -h dc01.hq.verita.local
auth_param basic children 30
auth_param basic realm "proxy05 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 8 hour
authenticate_ttl 4 hour