Problemas com autenticação NTLM

1. Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 12/07/2013 - 17:30h

Boa tarde,

Tenho um servidor Ubuntu Server 12.4 instalado, Squid3 e Dansguardian.

O meu cenário é o seguinte:

O papel do Squid3, é fazer autenticação em 2 grupos no AD e os filtros de conteúdo estão sendo administrados pelo Dansguardian.

A princípio tudo funciona perfeitamente. Porém de vez em quando, um problema de certa forma intermitente, as vezes esta navegando na internet e do nada ele perde a navegação. Ou se estiver em uma página e você apertar F5 para atualizar, ele não vai.

O acesso a internet só volta quando fecha o navegador e abre novamente. O que pode ser isso?? Pode ser alguma configuração?

Abs.


  


2. Re: Problemas com autenticação NTLM

Buckminster
Buckminster

(usa Debian)

Enviado em 12/07/2013 - 18:31h

Verifique se isso acontece em todos os sites ou somente em alguns.

Verifique os bloqueios de palavras que você fez. Alguns sites pegam imagens e arquivos de outros sites, sendo assim você precisa liberar eles também.

Faça assim, supondo que o site1 pegue imagens do site2, procure nos logs no momento do acesso:

# tail -f /var/log/squid3/access.log | grep ip_da_estacao_que_esta_acessando_o_site | grep -i denied


3. Re: Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 12/07/2013 - 18:42h

Mas então... no início pensei isso, que era somente em alguns sites. Mas por exemplo, sites como Globo.com, Uol, Terra que são sites que sempre passam. Se eu me ausentar e daqui a 15 mins voltar, e tentar acessar alguma page ali dentro ou dar F5 ele não acessa a internet.

Mas ai, se ele pegasse alguma palavra caracterizada pelo dansguardian, ele daria a página de erros do Dansguardian, correto? e não dizer que não é possível conectar a internet. AI eu fecho o navegador, reabro ai volta.

Agora não sei se é problema na autenticação, no squid, no cache, na rede, enfim .....

O problema é intermitente.


4. Re: Problemas com autenticação NTLM

Buckminster
Buckminster

(usa Debian)

Enviado em 12/07/2013 - 18:46h

Bom, nesse caso verifique o arquivo dos logs do Squid. Somente eles poderão te ajudar... além do Chapolin Colorado!


5. Re: Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 13/07/2013 - 08:45h

Buckminster escreveu:

Bom, nesse caso verifique o arquivo dos logs do Squid. Somente eles poderão te ajudar... além do Chapolin Colorado!


Eu não tenho acesso ao servidor agora, mas se me lembro a requisição parece que não chega.... ai ao fechar/abrir o browser a internet volta.

Eu não sei se seria problema de autenticação, se tem algum leasing, n sei.

se alguém souber...


6. Re: Problemas com autenticação NTLM

Buckminster
Buckminster

(usa Debian)

Enviado em 13/07/2013 - 19:40h

Verifique o Iptables e o DNS.


7. Re: Problemas com autenticação NTLM

euteste da silva
foxbit3r

(usa Solaris)

Enviado em 13/07/2013 - 21:26h

Na realizado o Squid ele faz cache de página e filtro de URL.
Que realiza a autenticação com o seu AD é NTLM do Kereberos que vc configurou no squid.


Sugiro que vc valide o seu winbind,ntp para expiração dos tickets e até mesmo a integração que foi feita.




8. Re: Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 13/07/2013 - 22:27h

iptables tá default, assim como veio o servidor. o DNS vc diz aonde?

segue squid.conf, krb5 e smb abaixo:
Por favor se alguém tiver bom conhecimento nos arquivos abaixo e puder dar uma analisada, diante esse problema, agradeço.


http_port 3128
visible_hostname set
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
#
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 5
#auth_param basic realm Proxy Squid - Digite suas credenciais
#auth_param basic credentialsttl 5 hours
#auth_param basic casesensitive off
#external_acl_type ldap_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=network,dc=local" -D cn=mimeweb,ou=Usuarios_de_sistemas_e_correio_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local -w mi88kx2 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local))" -h vulcano.network.local
#
dns_nameservers 10.1.200.23

#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localdomain dstdomain vulcano.local

#

acl localnet1 src 172.16.0.0/12
acl localnet2 src 10.1.0.0/16
acl localnet3 src 10.21.0.0/16

# ACLs Personalizadas

acl autentication proxy_auth REQUIRED
acl internet external ldap_group internetrj
acl dqx external ldap_group internetdqx
#acl donwload external ldap_group downloadrj
#acl libera_webmail external ldap_group libera_webmail
#acl executaveis external ldap_group libera_download_executaveis
acl extension url_regex -i .exe .msi
acl blacklist_webmail dstdomain "/etc/squid3/ACLs/blacklist_webmail"
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl QUERY urlpath_regex cgi-bin \?
no_cache deny localdomain
no_cache deny QUERY



#Default:
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
#http_access deny extension !executaveis
#http_access deny blacklist_webmail !libera_webmail
http_access allow autentication internet
http_access allow autentication dqx
#*#LIBERADO TEMPORARIAMENTE
http_access allow localnet1
http_access allow localnet2
http_access allow localnet3
http_access allow localhost

icp_access allow localnet1
icp_access allow localnet2
icp_access allow localnet3
icp_access deny all

hierarchy_stoplist cgi-bin ?

#Default:
cache_mem 512 MB

#Default:
maximum_object_size_in_memory 64 KB

#Default:
memory_replacement_policy heap GDSF

#Default:
cache_replacement_policy heap LFUDA

#Default:
cache_dir diskd /var/spool/squid3 65536 64 256 Q1=64 Q2=72

#Default:
minimum_object_size 0 KB

#Default:
maximum_object_size 128 MB

#Default:
cache_swap_low 50
cache_swap_high 90

access_log /var/log/squid3/access.log squid

#Default:
pid_filename /var/run/squid3.pid

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
# example line deb packages
#refresh_pattern (\.deb|\.udeb)$ 129600 100% 129600
refresh_pattern . 0 20% 4320

#Default:
# request_header_max_size 20 KB
request_header_max_size 128 KB

#Default:
# reply_header_max_size 20 KB
reply_header_max_size 128 KB

#Default:
cache_effective_user squid

#Default:
cache_effective_group squid

#visible_hostname "set"

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

#hosts_file /etc/hosts



[libdefaults]
ticket_lifetime = 24000
default_realm = NETWORK.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
NETWORK.LOCAL = {
kdc = 10.1.200.23
admin_server = 10.1.200.23:749
default_domain = 10.1.200.23
}

[domain_realm]
.network.local = NETWORK.LOCAL
network.local = NETWORK.LOCAL

[login]
krb4_convert = true
krb4_get_tickets = false

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log



[global]
workgroup = NETWORK
map to guest = Bad User
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = No
idmap gid = 10000-20000
idmap uid = 10000-20000
realm = NETWORK.LOCAL
security = ads
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind use default domain = yes
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
log level = 3 passdb:5 winbind:3

[homes]
comment = Home Directories
valid users = %s, %D%W%S]
browseable = no
read only = no
inherit acls = yes



9. Re: Problemas com autenticação NTLM

Buckminster
Buckminster

(usa Debian)

Enviado em 14/07/2013 - 13:55h

dns_nameservers 10.1.200.23

Essa linha acima no squid.conf seta o IP 10.1.200.23 como DNS.

As duas linhas abaixo no Kerberos, o DNS é o teu domínio?

admin_server = 10.1.200.23:749
default_domain = 10.1.200.23

Mesmo que seja o DNS, não é uma boa prática setar IPs de DNSs no Squid. Comente a linha dns_nameservers 10.1.200.23 no squid.conf, reinicie o Squid e teste.

E como assim o Iptables está default?
O Iptables por padrão vem somente instalado. Você precisa configurá-lo para coloca-lo em funcionamento.


10. Re: Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 14/07/2013 - 21:15h

Buckminster escreveu:

dns_nameservers 10.1.200.23

Essa linha acima no squid.conf seta o IP 10.1.200.23 como DNS.

As duas linhas abaixo no Kerberos, o DNS é o teu domínio?

admin_server = 10.1.200.23:749
default_domain = 10.1.200.23

Mesmo que seja o DNS, não é uma boa prática setar IPs de DNSs no Squid. Comente a linha dns_nameservers 10.1.200.23 no squid.conf, reinicie o Squid e teste.

E como assim o Iptables está default?
O Iptables por padrão vem somente instalado. Você precisa configurá-lo para coloca-lo em funcionamento.


As 2 linhas do Kerberos são o meu domínio sim. Eu fiz até um teste, arranquei os ips e coloquei o nome do domínio.

Vou comentar o dns_nameservers no squid.conf e farei o teste. Quanto ao Iptables, eu não configurei nada nele. Instalei o Ubuntu Server, Squid, Dansguardian, Kerberos, Samba, Winbind...

Mas o iptables eu não adicionei nenhuma regra...

Para autenticação no AD, é necessário configurar algo no Iptables? Pq na verdade hoje a autenticação funciona, porém tem esse problema de as vezes perder conexão com a net e ser necessário fechar o browser.

Agradeço a atenção ae. Irei comentar a linha no squid. Agora quanto ao Iptables, é preciso fazer algo?

Abs.



11. Re: Problemas com autenticação NTLM

Buckminster
Buckminster

(usa Debian)

Enviado em 15/07/2013 - 01:44h

Por enquanto não faça nada em relação ao Iptables. Primeiro comente a linha dns_nameserves no squid.conf e teste.


12. Re: Problemas com autenticação NTLM

Thiago
thi

(usa Ubuntu)

Enviado em 15/07/2013 - 09:22h

Buckminster escreveu:

Por enquanto não faça nada em relação ao Iptables. Primeiro comente a linha dns_nameserves no squid.conf e teste.


Comentei o dns_nameserver. Pois bem, vinha navegando normalmente e observando o log em tempo real. No momento que não consegui acessar a internet, vi os logs:


1373890761.208 4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 510 GET http://s1.trrsf.com.br/atm/3/home/_css/viewport_tmp.css mjunior DIRECT/200.154.56.13 text/css
1373890761.208 4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 10199 GET http://s1.trrsf.com.br/atm/3/home/_css/context.css mjunior DIRECT/200.154.56.13 text/css
1373890761.210 4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 1075 GET http://s1.trrsf.com.br/atm/3/core/apps/carousel/_css/skin-default.css mjunior DIRECT/200.154.56.13 text/css
1373890761.291 78 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 629 GET http://s1.trrsf.com.br/metrics/js/br/capa.js mjunior DIRECT/200.154.56.13 application/x-javascript
1373890761.369 147 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 25010 GET http://s1.trrsf.com.br/atm/3/core/_js/jquery.js mjunior DIRECT/200.154.56.13 application/x-javascript
1373890761.377 84 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 3749 GET http://s1.trrsf.com.br/tagman/js/tagman.js mjunior DIRECT/200.154.56.13 application/x-javascript
1373890761.387 101 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 42822 GET http://s1.trrsf.com.br/atm/3/core/_js/core.modMan.js mjunior DIRECT/200.154.56.13 application/x-javascript
1373890761.444 72 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 8786 GET http://s1.trrsf.com.br/atm/3/core/_js/admanager.js mjunior DIRECT/200.154.56.13 application/x-javascript
1373890768.930 0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890768.972 1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890774.170 0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890774.173 1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890775.010 0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890775.012 1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html
1373890779.317 0 127.0.0.1 TCP_DENIED/407 4231 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html
1373890779.320 1 127.0.0.1 TCP_DENIED/407 4538 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html
1373890786.265 0 127.0.0.1 TCP_DENIED/407 5085 GET http://www.uol.com.br/ - NONE/- text/html
1373890786.269 1 127.0.0.1 TCP_DENIED/407 5392 GET http://www.uol.com.br/ - NONE/- text/html


Conforme acima, reparei que logo que surgiu o TCP_REFRESH_UNMODIFIED/200, em seguida começou a negar os sites.

O que pode ser?





01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts