Problemas com autenticação NTLM

thi
(usa Ubuntu)

Enviado em 12/07/2013 - 17:30h

Boa tarde,

Tenho um servidor Ubuntu Server 12.4 instalado, Squid3 e Dansguardian.

O meu cenário é o seguinte:

O papel do Squid3, é fazer autenticação em 2 grupos no AD e os filtros de conteúdo estão sendo administrados pelo Dansguardian.

A princípio tudo funciona perfeitamente. Porém de vez em quando, um problema de certa forma intermitente, as vezes esta navegando na internet e do nada ele perde a navegação. Ou se estiver em uma página e você apertar F5 para atualizar, ele não vai.

O acesso a internet só volta quando fecha o navegador e abre novamente. O que pode ser isso?? Pode ser alguma configuração?

Abs.

Buckminster
(usa Debian)

Enviado em 12/07/2013 - 18:31h

Verifique se isso acontece em todos os sites ou somente em alguns.

Verifique os bloqueios de palavras que você fez. Alguns sites pegam imagens e arquivos de outros sites, sendo assim você precisa liberar eles também.

Faça assim, supondo que o site1 pegue imagens do site2, procure nos logs no momento do acesso:

# tail -f /var/log/squid3/access.log | grep ip_da_estacao_que_esta_acessando_o_site | grep -i denied

thi
(usa Ubuntu)

Enviado em 12/07/2013 - 18:42h

Mas então... no início pensei isso, que era somente em alguns sites. Mas por exemplo, sites como Globo.com, Uol, Terra que são sites que sempre passam. Se eu me ausentar e daqui a 15 mins voltar, e tentar acessar alguma page ali dentro ou dar F5 ele não acessa a internet.

Mas ai, se ele pegasse alguma palavra caracterizada pelo dansguardian, ele daria a página de erros do Dansguardian, correto? e não dizer que não é possível conectar a internet. AI eu fecho o navegador, reabro ai volta.

Agora não sei se é problema na autenticação, no squid, no cache, na rede, enfim .....

O problema é intermitente.

Buckminster
(usa Debian)

Enviado em 12/07/2013 - 18:46h

Bom, nesse caso verifique o arquivo dos logs do Squid. Somente eles poderão te ajudar... além do Chapolin Colorado!

thi
(usa Ubuntu)

Enviado em 13/07/2013 - 08:45h

Eu não tenho acesso ao servidor agora, mas se me lembro a requisição parece que não chega.... ai ao fechar/abrir o browser a internet volta.

Eu não sei se seria problema de autenticação, se tem algum leasing, n sei.

se alguém souber...

Buckminster
(usa Debian)

Enviado em 13/07/2013 - 19:40h

Verifique o Iptables e o DNS.

foxbit3r
(usa Solaris)

Enviado em 13/07/2013 - 21:26h

Na realizado o Squid ele faz cache de página e filtro de URL.
Que realiza a autenticação com o seu AD é NTLM do Kereberos que vc configurou no squid.


Sugiro que vc valide o seu winbind,ntp para expiração dos tickets e até mesmo a integração que foi feita.

thi
(usa Ubuntu)

Enviado em 13/07/2013 - 22:27h

iptables tá default, assim como veio o servidor. o DNS vc diz aonde?

segue squid.conf, krb5 e smb abaixo:
Por favor se alguém tiver bom conhecimento nos arquivos abaixo e puder dar uma analisada, diante esse problema, agradeço.

http_port 3128

visible_hostname set

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 30

auth_param ntlm keep_alive on

#

#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

#auth_param basic children 5

#auth_param basic realm Proxy Squid - Digite suas credenciais

#auth_param basic credentialsttl 5 hours

#auth_param basic casesensitive off

#external_acl_type ldap_group %LOGIN /usr/lib/squid3/wbinfo_group.pl

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=network,dc=local" -D cn=mimeweb,ou=Usuarios_de_sistemas_e_correio_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local -w mi88kx2 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local))" -h vulcano.network.local

#

dns_nameservers 10.1.200.23

  

#acl all src all

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localdomain dstdomain vulcano.local

  

#

  

acl localnet1 src 172.16.0.0/12

acl localnet2 src 10.1.0.0/16

acl localnet3 src 10.21.0.0/16

  

# ACLs Personalizadas

  

acl autentication proxy_auth REQUIRED

acl internet external ldap_group internetrj

acl dqx external ldap_group internetdqx

#acl donwload external ldap_group downloadrj

#acl libera_webmail external ldap_group libera_webmail

#acl executaveis external ldap_group libera_download_executaveis

acl extension url_regex -i .exe .msi

acl blacklist_webmail dstdomain "/etc/squid3/ACLs/blacklist_webmail"

#

acl SSL_ports port 443      # https

acl SSL_ports port 563      # snews

acl SSL_ports port 873      # rsync

acl Safe_ports port 80      # http

acl Safe_ports port 21      # ftp

acl Safe_ports port 443      # https

acl Safe_ports port 70      # gopher

acl Safe_ports port 210      # wais

acl Safe_ports port 1025-65535   # unregistered ports

acl Safe_ports port 280      # http-mgmt

acl Safe_ports port 488      # gss-http

acl Safe_ports port 591      # filemaker

acl Safe_ports port 777      # multiling http

acl Safe_ports port 631      # cups

acl Safe_ports port 873      # rsync

acl Safe_ports port 901      # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

acl QUERY urlpath_regex cgi-bin \?

no_cache deny localdomain

no_cache deny QUERY

  

  

  

#Default:

#

#Recommended minimum configuration:

#

# Only allow cachemgr access from localhost

http_access allow manager localhost

http_access deny manager

# Only allow purge requests from localhost

http_access allow purge localhost

http_access deny purge

# Deny requests to unknown ports

http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports

http_access deny CONNECT !SSL_ports

#

#http_access deny extension !executaveis

#http_access deny blacklist_webmail !libera_webmail

http_access allow autentication internet

http_access allow autentication dqx

#*#LIBERADO TEMPORARIAMENTE

http_access allow localnet1

http_access allow localnet2

http_access allow localnet3

http_access allow localhost

  

icp_access allow localnet1

icp_access allow localnet2

icp_access allow localnet3

icp_access deny all

  

hierarchy_stoplist cgi-bin ?

  

#Default:

cache_mem 512 MB

  

#Default:

maximum_object_size_in_memory 64 KB

  

#Default:

memory_replacement_policy heap GDSF

  

#Default:

cache_replacement_policy heap LFUDA

  

#Default:

cache_dir diskd /var/spool/squid3 65536 64 256 Q1=64 Q2=72

  

#Default:

minimum_object_size 0 KB

  

#Default:

maximum_object_size 128 MB

  

#Default:

cache_swap_low 50

cache_swap_high 90

  

access_log /var/log/squid3/access.log squid

  

#Default:

pid_filename /var/run/squid3.pid

  

#Suggested default:

refresh_pattern ^ftp:      1440   20%   10080

refresh_pattern ^gopher:   1440   0%   1440

refresh_pattern -i (/cgi-bin/|\?) 0   0%   0

refresh_pattern (Release|Packages(.gz)*)$   0   20%   2880

# example line deb packages

#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600

refresh_pattern .      0   20%   4320

  

#Default:

# request_header_max_size 20 KB

request_header_max_size 128 KB

  

#Default:

# reply_header_max_size 20 KB

reply_header_max_size 128 KB

  

#Default:

cache_effective_user squid

  

#Default:

cache_effective_group squid

  

#visible_hostname "set"

  

# Leave coredumps in the first cache dir

coredump_dir /var/spool/squid3

  

#hosts_file /etc/hosts

 

[libdefaults]

ticket_lifetime = 24000

default_realm = NETWORK.LOCAL

dns_lookup_realm = false

dns_lookup_kdc = false



[realms]

NETWORK.LOCAL = {

kdc = 10.1.200.23

admin_server = 10.1.200.23:749

default_domain = 10.1.200.23

}



[domain_realm]

.network.local = NETWORK.LOCAL

network.local = NETWORK.LOCAL



[login]

krb4_convert = true

krb4_get_tickets = false



[logging]

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmin.log

default = FILE:/var/log/krb5lib.log

 

[global]

workgroup = NETWORK

map to guest = Bad User

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

idmap gid = 10000-20000

idmap uid = 10000-20000

realm = NETWORK.LOCAL

security = ads

template homedir = /home/%D/%U

template shell = /bin/bash

winbind offline logon = yes

winbind refresh tickets = yes

winbind enum users = yes 

winbind enum groups = yes 

winbind nested groups = yes 

winbind use default domain = yes 

encrypt passwords = yes 

socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384 

log level = 3 passdb:5 winbind:3



[homes] 

comment = Home Directories 

valid users = %s, %D%W%S] 

browseable = no 

read only = no 

inherit acls = yes

 

Buckminster
(usa Debian)

Enviado em 14/07/2013 - 13:55h

dns_nameservers 10.1.200.23

Essa linha acima no squid.conf seta o IP 10.1.200.23 como DNS.

As duas linhas abaixo no Kerberos, o DNS é o teu domínio?

admin_server = 10.1.200.23:749
default_domain = 10.1.200.23

Mesmo que seja o DNS, não é uma boa prática setar IPs de DNSs no Squid. Comente a linha dns_nameservers 10.1.200.23 no squid.conf, reinicie o Squid e teste.

E como assim o Iptables está default?
O Iptables por padrão vem somente instalado. Você precisa configurá-lo para coloca-lo em funcionamento.

thi
(usa Ubuntu)

Enviado em 14/07/2013 - 21:15h

As 2 linhas do Kerberos são o meu domínio sim. Eu fiz até um teste, arranquei os ips e coloquei o nome do domínio.

Vou comentar o dns_nameservers no squid.conf e farei o teste. Quanto ao Iptables, eu não configurei nada nele. Instalei o Ubuntu Server, Squid, Dansguardian, Kerberos, Samba, Winbind...

Mas o iptables eu não adicionei nenhuma regra...

Para autenticação no AD, é necessário configurar algo no Iptables? Pq na verdade hoje a autenticação funciona, porém tem esse problema de as vezes perder conexão com a net e ser necessário fechar o browser.

Agradeço a atenção ae. Irei comentar a linha no squid. Agora quanto ao Iptables, é preciso fazer algo?

Abs.

Buckminster
(usa Debian)

Enviado em 15/07/2013 - 01:44h

Por enquanto não faça nada em relação ao Iptables. Primeiro comente a linha dns_nameserves no squid.conf e teste.

thi
(usa Ubuntu)

Enviado em 15/07/2013 - 09:22h

Comentei o dns_nameserver. Pois bem, vinha navegando normalmente e observando o log em tempo real. No momento que não consegui acessar a internet, vi os logs:

1373890761.208   4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 510 GET http://s1.trrsf.com.br/atm/3/home/_css/viewport_tmp.css mjunior DIRECT/200.154.56.13 text/css

1373890761.208   4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 10199 GET http://s1.trrsf.com.br/atm/3/home/_css/context.css mjunior DIRECT/200.154.56.13 text/css

1373890761.210   4155 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 1075 GET http://s1.trrsf.com.br/atm/3/core/apps/carousel/_css/skin-default.css mjunior DIRECT/200.154.56.13 text/css

1373890761.291     78 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 629 GET http://s1.trrsf.com.br/metrics/js/br/capa.js mjunior DIRECT/200.154.56.13 application/x-javascript

1373890761.369    147 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 25010 GET http://s1.trrsf.com.br/atm/3/core/_js/jquery.js mjunior DIRECT/200.154.56.13 application/x-javascript

1373890761.377     84 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 3749 GET http://s1.trrsf.com.br/tagman/js/tagman.js mjunior DIRECT/200.154.56.13 application/x-javascript

1373890761.387    101 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 42822 GET http://s1.trrsf.com.br/atm/3/core/_js/core.modMan.js mjunior DIRECT/200.154.56.13 application/x-javascript

1373890761.444     72 127.0.0.1 TCP_REFRESH_UNMODIFIED/200 8786 GET http://s1.trrsf.com.br/atm/3/core/_js/admanager.js mjunior DIRECT/200.154.56.13 application/x-javascript

1373890768.930      0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890768.972      1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890774.170      0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890774.173      1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890775.010      0 127.0.0.1 TCP_DENIED/407 4006 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890775.012      1 127.0.0.1 TCP_DENIED/407 4313 GET http://www.terra.com.br/portal/ - NONE/- text/html

1373890779.317      0 127.0.0.1 TCP_DENIED/407 4231 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html

1373890779.320      1 127.0.0.1 TCP_DENIED/407 4538 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html

1373890786.265      0 127.0.0.1 TCP_DENIED/407 5085 GET http://www.uol.com.br/ - NONE/- text/html

1373890786.269      1 127.0.0.1 TCP_DENIED/407 5392 GET http://www.uol.com.br/ - NONE/- text/html

 

Conforme acima, reparei que logo que surgiu o TCP_REFRESH_UNMODIFIED/200, em seguida começou a negar os sites.

O que pode ser?