Squid 3 を使用して MS Sharepoint にアクセスできない
Environment
- Red Hat Enterprise Linux 6
- Squid-3.1
Issue
Squid-3.1 プロキシーを使用して Microsoft Sharepoint にアクセスするのに問題があります。Sharepoint サイトにアクセスしようとすると、予期した通りにパスワード要求がブラウザーで表示されますが、正しいパスワードが動作しません。
以下のエラーは、Squid 'access.log' ログファイルのロガーです。
2012-12-12 10:11:25 <IP_Address> - TCP_DENIED/407 GET http://sharept.address.com/
2012-12-12 10:11:26 <IP_Address> person@INTRA.SERVER.COM TCP_MISS/401 GET http://sharept.address.com/
以下のログエントリーは、認証なしで Sharepoint サイトにアクセスしようとした結果です。
2012-12-12 13:50:46 <IP_Address> - TCP_MISS/401 GET http://sharept.address.com/
当該のユーザーは、Active Directory に登録され、問題は、squid サーバーがドメインの内外どちらにあるかには関係なく存在します。
また、RHEL5 における Squid の以前のメジャーバージョン squid-2.6.STABLE21-3.el5 は問題なく動作します。
Resolution
Squid-3.1 では、この問題に対する解決策はありません。コミュニティ開発者は、この問題は Squid-3.2 ですでに解決したため、Squid-3.1 で見つかった認証問題に対してバックポートのパッチを実行する必要はないと述べています。
Squid-3.1 については、Red Hat が提供するバージョンで複雑な変更が行われたため、この種の修正はバックポートとしては見なされず、コミュニティバージョンと同じものとして、これらの問題は RHEL7 に同梱される Squid-3.2 でのみ修正されます。
回避策
Squid-3.2 のコミュニティバージョンを使用するとこの問題を回避できます。このようなインストールに関してはこのパッケージに限って Red Hat サポートは提供されませんが、システムは通常通りサポートされます。Squid が関与していない質問や問題については、通常通り Red Hat がサポートします。
また、Windows クライアント (つまりブラウザー) では、プロキシーの自動設定ファイル (Windows Proxy Auto Discovery、WPAD) を使用した回避策を実装できるかもしれません。プロキシーを通さずに、すべてのクライアントが問題のある Sharepoint サーバーに直接接続するように設定する必要があります。以下に、この機能を実装するコードを抜粋しました。
function FindProxyForURL(url, host)
{
// NLTM authentication to MS SharePoint is broken in Squid 3.1.10
// so always use direct connection to SharePoint server
if ( dnsDomainIs(host, "www.sharepointserver.com"))
{
return "DIRECT";
}
// Otherwise use Squid proxy (with fallback to direct connection if proxy server is unavailable)
return "PROXY squidproxy.com:3128; DIRECT";
}
Root Cause
Microsoft Sharepoint サーバーに対する Squid-3.1 認証に問題があり、この問題に対して Red Hat Bugzilla (非公開) が作成されています。
また、コミュニティ Bugzilla にも関連のものがあります。
パッケージメンテナーによると、このパッケージ内の隔離された問題ではなく、認証に関する問題がいくつもあるため、バージョン 3.1 ではこのバグは修正されません。そして、Squid 3.2 ですでに修正されています。この問題はこのパッケージには存在しないため、このコミュニティバグは終了します。
Red Hat が提供するパッケージは、そのアップストリームの開発に従っているため、Red Hat でも同様な対応を行います。Red Hat とコミュニティの両方で、この問題はサーバーで送受信される要求をステーションが処理する方法に関したものであり、プロキシーサーバー自体には直接関連しないことが議論されていました。squid 3.2 ではこれらの要求に対処する準備ができていました。この問題については、当初は、要求を作成した側 (クライアント) にありました。
ただし、Squid 3.1 に対するバックポート修正は作成されません。その代わりにパッケージはメンテナンスされ、このような修正は将来のバージョンの Red Hat Enterprise Linux で導入されるバージョン 3.2 に対するパッケージアップグレードへの結果としてなされます。この問題に対しては多くの変更を要求されるソースで修正されることになり、パッケージのメインベースに影響するこの変更はバックポートとしては見なされません。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments