Problema em integrar Dansguardian com squid 3 + NTLM.

falcomer
(usa Ubuntu)

Enviado em 09/03/2012 - 14:57h

Eu tenho um ambiente de rede (squid e dansguardian) que funciona sem NTLM, começamos a implementar NTLM e surgiu alguns problemas, detre eles um eu não consigui resolver. Quando acesso a conta do yahoo mail, após um minuto ou dois, aparece uma tela de login, acontece somente com windows XP, em maquina com windows 7 funciona perfeitamente. Descobri depois, que conectando apenas no squid também funciona normal. Logo acredito que o problema é como o Dans está passando as requisições pro Squid. Alguém já teve esse problema? ou algo parecido?



####################
dansguardian.com:
reportinglevel = 2

languagedir = '/etc/dansguardian/languages'

language = 'portuguese'

loglevel = 2

logexceptionhits = 2

logfileformat = 1

filterip =

filterport = 3128

proxyip = 127.0.0.1

proxyport = 8080

accessdeniedaddress = 'http://intranet/integraLegis2.asp'

nonstandarddelimiter = on

usecustombannedimage = on
custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif'


filtergroups = 1
filtergroupslist = '/etc/dansguardian/lists/filtergroupslist'



bannediplist = '/etc/dansguardian/lists/bannediplist'
exceptioniplist = '/etc/dansguardian/lists/exceptioniplist'



showweightedfound = on

weightedphrasemode = 2


urlcachenumber = 1000

urlcacheage = 900




scancleancache = on


phrasefiltermode = 2


preservecase = 0


hexdecodecontent = off



forcequicksearch = off



reverseaddresslookups = off


reverseclientiplookups = off


logclienthostnames = off


createlistcachefiles = on



maxuploadsize = -1



maxcontentfiltersize = 256



maxcontentramcachescansize = 2000



maxcontentfilecachescansize = 20000



filecachedir = '/tmp'



deletedownloadedtempfiles = on



initialtrickledelay = 20



trickledelay = 10



downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf'
downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf'


contentscannertimeout = 60



contentscanexceptions = off


authplugin = '/etc/dansguardian/authplugins/proxy-basic.conf'

authplugin = '/etc/dansguardian/authplugins/proxy-ntlm.conf'

recheckreplacedurls = off




forwardedfor = on


usexforwardedfor = on


logconnectionhandlingerrors = on




logchildprocesshandling = off

maxchildren = 1008


minchildren = 8


minsparechildren = 4


preforkchildren = 6


maxsparechildren = 32


maxagechildren = 500


maxips = 0

ipcfilename = '/tmp/.dguardianipc'

urlipcfilename = '/tmp/.dguardianurlipc'

ipipcfilename = '/tmp/.dguardianipipc'

nodaemon = off

nologger = off

logadblocks = off

loguseragent = off

softrestart = off

mailer = '/usr/sbin/sendmail -t'



######################
smb.conf:

[global]
workgroup = LOCAL
netbios name = VM-HOST
winbind use default domain = yes
obey pam restrictions = yes
security = domain
encrypt passwords = true
wins server = 10.0.0.1
winbind uid = 10000-20000
winbind gid = 10000-20000
template shell = /bin/bash
winbind separator = +
invalid users = root
password server = meudc.local
ntlm auth = no
client ntlmv2 auth = yes
lanman auth = no
client plaintext auth = no
client lanman auth = no
client ntlm auth = no
winbind cache time = 3600

falcomer
(usa Ubuntu)

Enviado em 12/03/2012 - 09:00h

Alguém?

pinguintux
(usa Debian)

Enviado em 01/04/2012 - 16:06h

Prezado companheiro!
Tente somente a título de teste liberar um endereço IP específico com acesso total no Danguardian, ou seja, dependendo da sua versão do Dansguardian, acesse /etc/dansguardian/exceptioniplist ou /etc/dansguardian/lists/exceptioniplist e adicione um endereço IP de uma estação da sua rede e realize os testes com o mail do yahoo por meio desta referida estação e depois nos informe o resultado!
Espero tê-lo ajudado!
Saudações!

falcomer
(usa Ubuntu)

Enviado em 02/04/2012 - 08:05h

Bom, resolvi o problema a algum tempo. Adicionei ao arquivo greysitelist e exceptioniplist os seguintes domínios:
.yahoo.com
.yahoo.net
.yimg.com (provavelmente esse era o problema quando o dansguardian fazia bloqueio de banner)

Depois, para garantiar, fiz a liberação e o bloqueio de páginas do yahoo no arquivo /etc/squid3/squid.conf, Agora eles saem sem autenticação ntlm, já que fiz o tratamento do site antes da configuração do NTLM.

Dessa maneira eu resolvi o problema.


Obrigado amigo! Pode fechar o tópico.

pinguintux
(usa Debian)

Enviado em 02/04/2012 - 19:05h

Prezado Falcomer!
Que bom que conseguistes resolver seu problema com o Dansguardian!
Eu estou tendo o mesmo problema aqui em minha rede. Eu uso Squid+Dansguardian no servidor proxy.
Eu não consigo entrar na área de login do Yahoo, ou seja, abre a página normalmente, mas não abre a tela de login para acessar o e-mail. Então, gostaria de lhe pedir que descreva passo a passo o que fizestes para resolver seu problema, pois tenho certeza que assim também conseguirei solucionar o meu. Eu não entendi, pois dissestes no tópico anterior que usou os arquivos: greysitelist e exceptioniplist (não seria exceptionsitelist?). Resumindo se puderes me passar detalhadamente os procedimentos que realizastes eu ficaria muito grato! Desde já agradeço a presteza no atendimento!
Saudações!

falcomer
(usa Ubuntu)

Enviado em 03/04/2012 - 08:32h

Então, pinguintux eu conseguir arrumando assim. Confere no arquivo /etc/dansguardianf1.conf se ele está apontando para os arquivos certos. Depois vai adicionar essas linhas no arquivo /etc/dansguardian/lists/greysitelist:


l.yimg.com
l1.yimg.com
.yahoo.com
.yahoo.net
.wordpress.com
.yimg.com
.mail.yimg.com

depois no arquivo greyurllist:

l.yimg.com
l1.ymig.com
mail.yimg.com

Depois adicionar no arquivo exceptionsitelist:

.l.yimg.com
.l1.yimg.com
.yahoo.com
.wordpress.com
.yimg.com

Depois no arquivo exceptionurllist:


mail.yimg.com


Blz, agora o dansguardian vai ignorar tudo q vier do yahoo.com.

Então o usuário vai ter acesso a alguns sites indesejados, nós vamos fazer o bloqueio agora no squid:

Edita o squid.conf:

#Wordpress - problema com NTLM ao inserir imagem.
acl WORDPRESS dstdomain -i .wordpress.com
http_access allow WORDPRESS

# ACL Yahoo - Bloqueio pois o dansguardian ignora os sites do yahoo
acl YAHOO2 dstdomain -i .yahoo.com .yimg.com .yahoo.net
acl YAHOO dstdomain -i .games.yahoo.net .parperfeito.com.br .messenger.yahoo.com .imusica.com.br
http_access deny YAHOO
http_access allow YAHOO2

# Autenticação no Windows 2008
#auth_param ntlm children 60
auth_param ntlm program /usr/bin/ntlm_auth MT/VM-DC01 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500

#continua squid.conf
############


Presta atenção que o tratamento do yahoo.com tá antes do NTLM, logo ele saí antes de autenticar.

Assim funcionou.

obs: adicionei o worpdress também pq ocorre o mesmo problema.

falcomer
(usa Ubuntu)

Enviado em 03/04/2012 - 08:32h

No log dos sites do yahoo, não vai aparecer o usuário autenticado.

pinguintux
(usa Debian)

Enviado em 03/04/2012 - 11:40h

Prezado Falcomer!
Gostaria de agradecer a presteza com atendestes minhas solicitações, mas ainda não consegui resolver os problemas com o yahoo. Fiz todas as configurações que sugeristes mas não obtive resultados. A título de curiosidade, eu consigo em alguns momentos acessar o mail do yahoo, principalmente se eu der um restart ou reload no squid ou no dansguardian, mas se eu reiniciar a estação de trabalho ou fechar o navegador e tentar acessar novamente não "funfa". Segue abaixo meu squid.conf, greysitelist, para que você possar dar uma analisada e ver se existe alguma configuração incorreta ou se está faltando algo!

http_port 3128 transparent
visible_hostname Gelol

cache_mem 2000 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 45000 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563 465 995
acl Safe_ports port 21 80 123 443 563 70 210 280 488 59 777 901 1025-65535 465 995
acl purge method PURGE
acl CONNECT method CONNECT
acl ebnet dst 192.0.0.0/32
acl redelocal src 192.168.0.1/24

#Wordpress - problema com NTLM ao inserir imagem.
acl WORDPRESS dstdomain -i .wordpress.com

# ACL Yahoo - Bloqueio pois o dansguardian ignora os sites do yahoo
acl YAHOO2 dstdomain -i .yahoo.com .yimg.com .yahoo.net
acl YAHOO dstdomain -i .games.yahoo.net .parperfeito.com.br .messenger.yahoo.com .imusica.com.br
http_access deny YAHOO
http_access allow YAHOO2


http_access allow WORDPRESS
http_access allow ebnet
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow redelocal
# Sites Liberados
# acl sites-liberados dstdomain "/etc/squid3/sites-liberados"
# http_access allow sites-liberados
http_access deny all

cache_peer 192.168.0.30 parent 3128 3130 no-query no-digest

dns_nameservers 192.168.0.40

never_direct allow all
#always_direct allow all

error_directory /usr/share/squid3/errors/Portuguese/


# /etc/dansguardian/lists/greysitelist
.l.yimg.com
.l1.yimg.com
.yahoo.com
.yahoo.net
.wordpress.com
.yimg.com
.mail.yimg.com


# /etc/dansguardian/lists/greyurllist
l.yimg.com
l1.ymig.com
mail.yimg.com

# /etc/dansguardian/lists/exceptionsitelist
.l.yimg.com
.l1.yimg.com
.yahoo.com
.wordpress.com
.yimg.com

# /etc/dansguardian/lists/exceptionurllist
mail.yimg.com

Mais uma vez, obrigado pela presteza no atendimento!

falcomer
(usa Ubuntu)

Enviado em 03/04/2012 - 11:45h

testa um negócio, existe um problema onde é pedido autenticação toda hora, veja se teu arquivo /etc/init.d/winbind:

dentro do arquivo vai ter uma linha assim: chgrp winbindd_priv $PIDDIR/winbindd_privileged/ || return 1


muda ela pra esse jeito: chmod 0750 $PIDDIR/winbindd_privileged/ || return 1


outra coisa. posta o seu smb.conf aqui também.

falcomer
(usa Ubuntu)

Enviado em 03/04/2012 - 11:46h

veja se no arquivo: /etc/dansguardian/dansguardian.conf essa linha está descomentada:


authplugin = '/etc/dansguardian/authplugins/proxy-ntlm.conf'

pinguintux
(usa Debian)

Enviado em 03/04/2012 - 13:12h

Falcomer, a questão é a seguinte:
Eu não estou usando squid com autenticação. Não existe o arquivo /etc/init.d/winbind, pois o mesmo não está instalado no meu servidor proxy. A linha authplugin = '/etc/dansguardian/authplugins/proxy-ntlm.conf' em /etc/dansguardian/dansguardian.conf está Comentada. Aí eu te pergunto era para estar ou não comentada?
Continuo aguardando sua valiosa ajuda!

falcomer
(usa Ubuntu)

Enviado em 03/04/2012 - 13:57h

Então, algo estranho aí, se o seu proxy não tem autenticação não deveria pedir de forma alguma, vamos lá. Primeiro verifica se realmente é o proxy q pede autenticação. Se é o proxy, logo é o squid, o dansguardian não faz autenticação. Sugiro que vc navegue pelo site do yahoo e habilite essa opção de debug do squid (dá uma lida nos links abaixo):

http://www.squid-cache.org/Doc/config/debug_options/
http://wiki.squid-cache.org/KnowledgeBase/DebugSections

sugiro isso: debug_options ALL,29 #opção de debug de autenticação.

ele vai jogar o debug no arquivo cache.log. recomendo utilizar o debug só quando realmente for testar, e retirar logo depois, com o risco do arquivo ficar gigante muito rápido.


depois posta aqui alguma parte que vc achou interessante do debug.