Múltiplos autenticadores (schemes)

removido
(usa Nenhuma)

Enviado em 19/11/2013 - 15:18h

Problema hein amigo... rsrsrs.

legal sua colocação guilherme, mas mesmo assim... o problema na minha visão não é o browser e sim alguma incompatibilidade entre os serviços de rede que o proxy squid usa e o protocolo ntlmv2 que as estações usando o windows 7 e windows 8 usam. nas diretivas de segurança do windows o sistema esta configurado para o usar por padrão o ntlmv2.

POr isso que tem tantos how-tos na net mostrando como alterar a configurar de negociação de protocolo de ntlmv2 para ntlm/ntlmv2 no windows 7 e 8 e tantos e tantos dizem que funciona quando alteram, pois ai ele negocia o ntlm e ntlmv2, como ntlm mais antigo roda de boa no servidor proxy ai a autenticação acontece.

removido
(usa Nenhuma)

Enviado em 19/11/2013 - 15:27h

Bom... se quer realmente fazer uma autenticação via kerberos, pode tentar o link do próprio site do squid, onde ele negocia a autenticação entre kerberos e ntlm. segue o link.

http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

Mas veja só isso sobre autenticação ntlm e kerberos em um domínio active directory.

NTLM and Kerberos



Microsoft adopted Kerberos as the preferred authentication protocol for Windows 2000 and subsequent Active Directory domains.[5] Kerberos is typically used when a server belongs to a Windows Server domain, or if a trust relationship with a Windows Server Domain is established in some other way (such as Linux to Windows AD authentication).[citation needed]



NTLM is still used in the following situations:



    The client is authenticating to a server using an IP address

    The client is authenticating to a server that belongs to a different Active Directory forest that has a legacy NTLM trust instead of a transitive inter-forest trust

    The client is authenticating to a server that doesn't belong to a domain

    No Active Directory domain exists (commonly referred to as "workgroup" or "peer-to-peer")

    Where a firewall would otherwise restrict the ports required by Kerberos (typically TCP 88)



In Windows Vista and above, neither LM nor NTLM are used by default[citation needed]. NTLM is still supported for inbound authentication, but for outbound authentication NTLMv2 is sent by default instead. Prior versions of Windows (back as far as Windows NT 4.0 Service Pack 4) could be configured to behave this way, but it was not the default.

 

Fonte: http://en.wikipedia.org/wiki/NTLM

GuilhermeBR
(usa CentOS)

Enviado em 19/11/2013 - 15:29h

Eu não desisto fácil.. rsrs.

"Diretiva de segurança local" do Win7, diz o seguinte:



O que teoricamente, se eu forçar NTLM v2, acho que as estações WinXP não vão rodar.

Mas segundo aquele artigo que postei do google, diz que pelo menos o Chrome, vai sempre utilizar o esquema mais seguro. Então, caso eu faça uma negociação NTLM e NTLMv2, ele sempre vai tentar NTLMv2, impedindo as máquinas WinXP de se autenticar.

Vou dar mais uma pesquisada, sobre autenticação NTLMv2 no squid.

Buckminster
(usa Debian)

Enviado em 19/11/2013 - 17:25h

"squid_kerb_auth: gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information. No principal in keytab matches desired name"

A razão pela qual você está recebendo esta mensagem acima é porque o mod_auth_kerb
não conseguiu encontrar a entrada que coincide com o nome do servidor no keytab.
Você tem que configurá-lo usando a diretiva KrbServiceName assim:

KrbServiceName service (HTTP é o default; service é o nome do serviço)

ou use

KrbServiceName Any (para habilitar todos)

Pergunta básica: quando você instalou ou compilou o Squid habilitou o suporte para as autenticações que você está pretendendo usar?

GuilhermeBR
(usa CentOS)

Enviado em 19/11/2013 - 20:06h

No caso, o servidor Kerberos é o AD, certo? Basta rodar esse comando no prompt e boa? Não é possível... rsrsrs.

Em relação à pergunta, não foi preciso habilitar suporte, pois os programas (ntlm_auth e squid_ldap) já estavam nas pastas. Sendo assim, deduzi que já estava habilitado o suporte. E ambos os autenticadores, de forma isolada funcionam. O problema é qdo usam os 2 juntos.. o browser sempre tenta, somente o de segurança mais forte, como postei no link do Chrome.

Buckminster
(usa Debian)

Enviado em 19/11/2013 - 21:14h

A diretiva KrbServiceName é uma diretiva, não é um comando, geralmente ela vai dentro do arquivo .htaccess para o Apache.
Não tinha lido todo o tópico, mas vi agora que você não tem o Apache.
Vou dar uma lida em todo o tópico.
Depois retorno.

GuilhermeBR
(usa CentOS)

Enviado em 21/11/2013 - 15:40h

Oi eabreu,

Recebi e-mail de notificação de resposta, mas a sua resposta sumiu do tópico.. rs.

Enfim, estou tentando autenticar, via kerberos de novo.

Gerei a chave, pelo Linux ao invés do Windows. Todos os testes correram bem, só falta fazer o teste real agora. Mas só vou conseguir fazer isso no fim de semana.

Posto se houver progresso.

removido
(usa Nenhuma)

Enviado em 21/11/2013 - 16:24h

Postei apenas para dá um UP no tópico, rsrsrs.

Mas vai tentar autenticar as máquinas usando somente kerberos no servidor squid, certo ?

GuilhermeBR
(usa CentOS)

Enviado em 23/11/2013 - 11:59h

eabreu,

Consegui, fazer a autenticação kerberos, funcionar.

A minha configuração estava toda certa, a única coisa que estava fazendo errado, era na hora de entrar com o login/senha. Pra se logar com o kerberos, é necessário colocar @DOMINIO, depois do usuário:

USER.: guilherme@DOMINIO.COM

SENHA: 123

 

Brincadeira heim? xD

Só que, com a autenticação kerberos, não se autentica de forma transparente, ou seja, abre a janela de usuário e senha diferente do NTLM, que se autentica de forma transparente.

Fiz algo errado, ou o kerberos não se autentica de forma transparente mesmo?

removido
(usa Nenhuma)

Enviado em 23/11/2013 - 14:54h

os computadores dentro do domínio se autenticam de forma transparente e autenticação está sendo feita somente com kerberos ?

GuilhermeBR
(usa CentOS)

Enviado em 23/11/2013 - 15:32h

Sim, somente com kerberos. Comentei as linhas NTLM e LDAP do Squid.

Estou fazendo os testes, de forma remota, acessando o servidor AD. O servidor AD, vai autenticar de forma transparente também, ou somente as máquinas ingressadas nele?

removido
(usa Nenhuma)

Enviado em 23/11/2013 - 15:46h

É para as máquinas ingressadas no domínio se autenticarem d forma transparente. pode postar a parte da configuração do squid que faz autenticação ?