Squid3 x Office 2013 - Solicita autenticação, mas não vai... [RESOLVIDO]

peppermate
(usa Ubuntu)

Enviado em 08/11/2013 - 17:30h

Olá pessoal!

Alguém que use Squid3, com autenticação AD, já passou pela situação chata de ter seus usuários reclamando que o Office 2013 (todo pacote, excel, word, powerpoint) pede senha ao abrir, ao salvar, etc...

Eu sei que o Office vai a internet, ele tem um tradutor, por exemplo.

A pergunta é: Pq isso não se autentica no Squid?

Será que tem saida ou seria só um bypass.

Caso seja um bypass com iptables (que eu não tenho noção alguma), vcs poderiam me ajudar a fechar esse tema?

Abraços

peppermate
(usa Ubuntu)

Enviado em 08/11/2013 - 17:34h

Olá novamente pessoal.
Segue abaixo um link para a tela do erro

https://www.dropbox.com/s/hmycvhfsfxaqr76/erro_squid_office2013.png

andrecanhadas
(usa Debian)

Enviado em 08/11/2013 - 17:49h

O motivo também não sei mas e facil de contornar colocando ele em allow antes da autenticação:

acl office2013 url_regex -i odc.officeapps.live.com

http_access allow office2013

acl autenticados .......

http_access allow autenticados

 

Como o dominio é live.com pode ser que tenha alguma regra conflitando. O antigo Messenger tinha problemas com o Squid quando estavam setado para "obter automaticamente as configurações" nas configs de proxy do IE

Buckminster
(usa Debian)

Enviado em 08/11/2013 - 19:13h

Veja isto:

http://social.technet.microsoft.com/Forums/office/pt-BR/2ae0a2cb-6036-43a5-8344-f4a1288a40c9/office-...

O problema é com a APP do Office que vem configurada para se conectar nesse endereço: odc.officeapps.live.com

Além disso, o Microsoft Office vai pedir autenticação de proxy para vários domínios e não permitirá que você acesse qualquer um dos produtos do Office.
Ignore a autenticação para os seguintes domínios, além dos que estão no link:
• odc.officeapps.live.com
• officeimg.vo.msecnd.net

O Office está ativado?
É pirata?

Além disso tem um bugzinho no Squid, dependendo da versão da autenticação:
http://forge.univention.org/bugzilla/show_bug.cgi?id=32183

peppermate
(usa Ubuntu)

Enviado em 09/11/2013 - 13:26h

Opa!
Está ativado, é orginal sim :)
Eu vi este link, mas nao cheguei a conclusão de nada.
Será que o release do Squid de 3/11 isso está resolvido?

Buckminster
(usa Debian)

Enviado em 09/11/2013 - 16:51h

Se você não quiser recompilar ou reinstalar o Squid, faça os links do Office não passarem pelo proxy.
Você pode fazer isso no squi.conf ou no Iptable.

peppermate
(usa Ubuntu)

Enviado em 09/11/2013 - 17:33h

Poxa cara, vc poderia me ajudar com esse bypass?

Estou apanhando disso e não é de hoje.

Com relação a reinstalar, Como seria isso? É só instalar por cima, salvando o squid .conf?
Depois só voltar o aquis.conf que ta feito?

Buckminster
(usa Debian)

Enviado em 09/11/2013 - 17:56h

Crie uma ACL

acl office_liberados dstdomain "/etc/squid ou squid3/liberados.txt" << aqui vai o caminho para o arquivo, adapte para o teu squid.conf.

Dentro do arquivo liberados.txt coloque os seguintes domínios, um por linha, assim:

officeimg.vo.msecnd.net
office.microsoft.com
odc.officeapps.live.com

e junto com as ACLs de liberação acrescente essa linha:

http_access allow office_liberados

Mas veja bem, a posição dessa última regra é importante.
Provavelmente você tem no final do teu squid.conf assim:

http_access allow localnet (ou similar à tua rede local)
http_access allow localhost
http_access deny all

Coloque assim:

http_access allow office_liberados
http_access allow localnet (ou similar à tua rede local)
http_access allow localhost
http_access deny all


Mas como não sei do teu squid.conf talvez você tenha que colocar essas linhas juntas

acl office_liberados dstdomain "/etc/squid ou squid3/liberados.txt" << aqui vai o caminho para o arquivo, adapte para o teu squid.conf.
http_access allow office_liberados

ANTES das regras de autenticação.

Salve o squid.conf e reinice o Squid e teste.

Execute squid -v ou squid --version e poste aqui qual a versão do teu Squid.

peppermate
(usa Ubuntu)

Enviado em 10/11/2013 - 21:53h

Olá Buckminster!
Cara, parece que foi hein! Mas amanha vou testar melhor, acabei de aplicar a configuração e remotamente. Melhor aguardar até amanha para ver no que da, mas a principio não pediu mais autenticação.
Durante as minhas tentativas, eu usava url_regex ao inves de dstdomain, acho este tb é um dos motivos.

Abaixo está o meu squid.conf (em outro post vc me sugeriu algumas coisas que já apliquei. OUtras deram pau).


Obs.: coloquei as URLs mencionadas por vc aqui: http_access allow sites_bypass !sites_proibidos
Veja que não está no fim do arquivo e parece que tb resolveu.

Se quiser criticar o arquivo, por favor. Tenho certeza que tem *erda por ai :)

OBRIGADO NOVAMENTE!!!!




#[Portas padrao 3128
http_port 3128

#Habilitar debug
#debug_options 28,3

#Configuracoes de Cache
# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais, diretorios em cada diretorio
#cache_dir aufs /var/spool/squid3 8196 16 256
cache_dir aufs /var/spool/squid3 1400 16 256
# Tamanho da cache para obejtos
cache_mem 1400 MB
# Tamanho mámo dos objetos que serãsalvos em disco
maximum_object_size 131070 KB
# Tamanho minimo dos objetos que serãsalvos em disco
minimum_object_size 1 KB
# Nú de entradas na tabela de cache de conversãde IP para FQDN
ipcache_size 16384
# Percentagem de cache baixa - padrã90
ipcache_low 90
# Percentagem de cache baixa - padrã95
ipcache_high 95
# manter memó alocada e nãusada, para nãprecisar realocar quando for usar
memory_pools on
# Nú de entradas na tabela de cache de DNS
fqdncache_size 16384
# tamanho maximo dos objetos guardados na cache
maximum_object_size_in_memory 200 MB
#para melhorar o desempenho de requisiçs e fila, o Squid irárabalhar com 2reqequisicoes paralelamente
pipeline_prefetch on
#Quando o Squid recebe um SIGTERM ou um SIGHUP, o cache e' colocado em modo de"shutdown pendente" ate' que todos os sockets ativos sejam fechados. Qualquer clienteainda ativo depois desse periodo o ira receber uma mensagem de timeout. Default de 30segundos
shutdown_lifetime 15 seconds
# Gerar resumo de cache - Ãil somente quando existem squids parceiros deste squid
digest_generation off
# Aceleracao do cache
cache_effective_user proxy
cache_effective_group proxy

#Politicas de troca de cache

# Sao 4 politicas:
#lru: mantem em cache os arquivos abertos recentemente
#heap GDSF: otimiza o hit radio de objetos mantendo os arquivos menores e populares no cache
#heap LFUDA: mantem no cache arquivos populares, independe do tamanho, otimizando o Byte HIT
#heap LRU: mantem em cache arquivos abertos recentemente utilizando a politica heap
# proposta para e' utilizar um proxy que utilize menos o disco e mais a memoria RAM. Neste caso vou utilizar o heap GDSF para a memoria RAM "setada" no cache_mem, veja como ficou:
memory_replacement_policy heap GDSF

#E' muito importante tambem iminuir o consumo de banda, para isso aumentamos o Byte HIT com o LFUDA:
cache_replacement_policy heap LFUDA


# Configuraçs gerais
# Como tratar o X-Forwared-For no cabeçho HTTP
forwarded_for off
#logar parametros das URL's
strip_query_terms on
# ForçIE 5.5 ou anteior a buscar novas pánas do servido em caso de refresh
ie_refresh on
#Detecta respostas quebradas de conexõpersistnes e assuma que o reply foi enviado apos 10 segundos
detect_broken_pconn on
#Tenta executar até requisiçs em paralelo - Pode quebrar autenticaç NTLM/Kerberos
pipeline_prefetch off
# Continua baixando requisiçs abortadas
quick_abort_min -1 KB
# continua baixando requsiçs abortadas até limite de 16KB
quick_abort_max 16 KB
# Quanto tempo manter cache de DNS
positive_dns_ttl 5 minute
# Fechar conexõTCP imediatamente
half_closed_clients on
# timeout de leitura de dados
read_timeout 600 second
# timeout de conexõpersistentes
pconn_timeout 1200 second ## Customizaç Brasil - Gustavo Pimenta ######
############ Email do administrador
cache_mgr admin-brazil@empresa.com
# Host visíl
visible_hostname br-csp-prx-02.empresa.com
# Linguagem dos erros
error_directory /usr/share/squid3/errors/pt-br
# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 120
# Tempo para agaurdar o fechamento de conexçs durante encerramento do squid
shutdown_lifetime 1 second
# palavras que seráratadas diretamente por esse squid, ou seja, nãserãrepassadas para vizinhos
hierarchy_stoplist cgi-bin ?
# Dominio padrãde busca
#append_domain .empresa.com
append_domain .empresa.com


# Padrãde refresh de cache para alguns sites
# refresh_pattern [-i] regex min percent max [options]
# -i : regular expressiona case-insensitive
# regex: Expressãregular a buscar
# min: tempo (em minutos) que um objeto seráonsiderado novo
# percent: % da idade do objeto que éonsiderado novo
# max: limite mámo que os objetos sem tempo de expirar explicito serãconsiderados novos
refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
#refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Logs
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
access_log /var/log/squid3/access.log
# Log de cache
cache_log /var/log/squid3/cache.log
# pasta para arquivo de dump
coredump_dir /var/spool/squid3

# comportamente para espaçem branco nas URLs
uri_whitespace allow

# Servidores de DNS a serem utilizados - Se nãfor especificado, o valor de /etc/resol.conf serátilizado
#dns_nameservers 192.168.0.1

# Autenticaç no Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Squid - Digite suas credenciais
auth_param basic credentialsttl 8 hours

# ACLs
# acls de origem
# rede loopback
acl localhost src 127.0.0.1/32

# Rede local
acl rede_local src 10.201.0.0/16


# acls de destino
#acl allDest dst 0.0.0.0/0.0.0.0
#acl to_localhost dst 127.0.0.0/8

# portas seguras
acl SSL_ports port 443
acl SSL_ports port 8180
acl SSL_ports port 8443

# Demais serviç
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 20 # ftp estava 20-21
acl Safe_ports port 21
acl Safe_ports port 443 21 # seguro
acl Safe_ports port 70 # gopher
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial
acl Safe_ports port 3128 # Dropbox
acl Safe_ports port 5222 # Google Drive
acl Safe_ports port 55905 # MS Lync
acl Safe_ports port 8095 # Monitoramento Milu
acl Safe_ports port 8096 # Linksys HOme
acl Safe_ports port 5061 # w Softphone
acl Safe_ports port 5000 # w
acl Safe_ports port 5001 # w
acl Safe_ports port 9081 # AirDroid
acl Safe_ports port 1025-65535 # unregistered ports

# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST
acl FTP proto FTP

# acl para obter grupos do AD
external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl

# Grupos do AD
acl acesso_completo external grupo_AD BR_Internet_Acesso_Completo
acl acesso_padrao external grupo_AD BR_Internet_Acesso_Padrao
acl acesso_w external grupo_AD BR_Internet_w
acl acesso_bloqueado external grupo_AD BR_Internet_Acesso_Bloqueado


# acls de segurançproteç do cache
acl manager proto cache_object

# acls de URLS com bypass no CISCO ASA
acl sites_bypass dstdomain "/etc/squid3/acls/sites_bypass"

# acl de controle da operacao w
acl sites_w dstdomain "/etc/squid3/acls/sites_w"

# acl controlar sites (sites-proibidos)
acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos"
acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados"

# Sites liberados e SEM AUTENTICACAO NECESSARIA
acl sites_liberados_sem_auth dstdomain "/etc/squid3/acls/sites_liberados_sem_autenticacao"

# acl controlar palavras de sexo, baixo calã etc
acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas"
acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas"
#acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas"
#acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas"

acl itunes_browser browser iTunes.*
acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.*

# Sites que nao fazem cache
acl sites_no_cache dstdomain "/etc/squid3/acls/sites_no_cache"
cache deny sites_no_cache

always_direct allow FTP
always_direct allow sites_no_cache

# acl para bypass de sites da w
always_direct allow sites_bypass

# acl controlar horáo de expediente
#acl horario_allow url_regex -i "/etc/squid3/horario_allow"
#acl fora_expediente time MTWHFA 20:01-23:59
#acl fora_expediente2 time MTWHFA 00:00-05:59

# Mensagem de erros personalizados para alguimas ACLs
deny_info ARQ_SITES_PROIBIDOS sites_w
deny_info ARQ_SITES_PROIBIDOS sites_proibidos
deny_info ARQ_SITES_PROIBIDOS sites_liberados
deny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_auth
deny_info ARQ_SITES_PROIBIDOS palavras_proibidas
########################################################################################
# HTTP ACCESS
# regras das acls de origem - libera os administradores
# http_access allow admins
# POR ORDEM DE POSICIONAMENTO NA LISTA
########################################################################################

# Libera acesso FTP
http_access allow ftp

http_access allow purge localhost

# Libera acesso a sites sem autnticacao no Squid- exceto se um dos sites estiver na lista de sites_proibidos
http_access allow sites_liberados_sem_auth !sites_proibidos

# Libera acesso aos sites na lista de bypass - sites vao direto, nao passam pelo squid - exceto se um dos sites estiver na lista de sites_proibidos
http_access allow sites_bypass !sites_proibidos

# regra de acesso para acesso FULL a internet - somente os mais fodas, gerentes e diretores
http_access allow acesso_completo

# Libera Microsoft Crypto API
http_access allow rede_local ms_cryptoapi_browser

# Libera iTunes
http_access allow itunes_browser !acesso_padrao !acesso_bloqueado

# regras das acls de controle (bloqueio e politicas de rede)
http_access allow manager localhost
http_access deny manager

# Regra para acesso do grupo Brazil_Acesso_PADRAO, menos os sites proibidos da list
http_access allow acesso_padrao !sites_proibidos
http_access allow acesso_padrao !palavras_proibidas

# w Regra para acesso do grupo BR_Internet_w, menos as palavras e sites proibidos da lista
http_access allow acesso_w sites_w !sites_proibidos
http_access allow acesso_w sites_w !palavras_proibidas
http_access allow acesso_w sites_w !sites_liberados_sem_auth

# regras das acls de portas - bloqueia todas as portas nao listadas

# regras das acls de portas - bloqueia todas as portas nao listadas
http_access deny CONNECT !Safe_ports

# bloqueia conexao das portas seguras nao listadas
http_access deny CONNECT !SSL_ports

# Nega acesso aos sites proibidos, exceto os sites liberados pela lista
http_access deny sites_proibidos !sites_liberados

# Nega acesso a qualquer palavra inserida na lista das palavras proibidas, exceto as palavras liberadas.
http_access deny palavras_proibidas !palavras_liberadas

# Nega acesso ao grupo Brazil_Acesso_Bloqueado do AD. Quem estiver dentro deste grupo NAO tera acesso a internet
http_access deny acesso_bloqueado

# libera médo POST sem autenticaç. Para evitar problemas
http_access allow POST

http_access deny purge

# HTTP REPLY ACCESS
http_reply_access allow all
http_access deny all

# ICP ACCESS
icp_access deny all

# Safe Ports
#http_access allow Safe_ports

# MISS ACCESS
miss_access allow rede_local
miss_access deny all

# MODO DE FTP PASSIVO
ftp_passive on

# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
# negar cache de POST
acl POSTS method POST

cache deny POST


http_access allow localhost

# Regra de seguranca que nega acesso a tudo que passar pelas listas acima
http_access deny all

peppermate
(usa Ubuntu)

Enviado em 10/11/2013 - 22:04h

Ahhh esqueci....
A versao que estou rodando é a squid3-3.1.19

Atualizo para a ultima? O que vcs acham?

peppermate
(usa Ubuntu)

Enviado em 11/11/2013 - 09:51h

Não rolou, continua aparecendo...

Agora coloquei a linha

http_access allow sites_bypass


No final do squid.conf


# negar cache de POST
acl POSTS method POST
cache deny POST


http_access allow localhost
http_access allow sites_bypass
# Regra de seguranca que nega acesso a tudo que passar pelas listas acima
http_access deny all

Buckminster
(usa Debian)

Enviado em 11/11/2013 - 14:18h

Tanto o Office 2013 quanto o Office 365 tem dado problemas com a autenticação no Squid.
Tente acrescentar os domínios abaixo no arquivo de liberação:

live.com
lync.com
glbdns.microsoft.com
microsoft.com
microsoftonline.com
microsoftonline-p.net
microsoftonline-p.com
microsoftonlineimages.com
microsoftonlinesupport.net¹
msn.com
msn.co.jp
msn.co.uk
msecnd.net
msocdn.com
office.net
office365.com
officeapps.live.com
outlook.com
Sharepoint.com
Sharepointonline.com
activedirectory.windowsazure.com
phonefactor.net

E libere no Iptables as portas 80 e 443 para o domínio microsoft.com.

E acrescente -i nessa regra

acl sites_bypass dstdomain -i "/etc/squid3/acls/sites_bypass"

Isso tornará case insensitive, ou seja, não diferenciará maiúsculas de minúsculas nos domínios colocados dentro do arquivo.


A razão desse problema é o NAT que força o Office a passar pelo proxy. A melhor maneira de resolver isso, é usar WPAD/PAC ou uma VPN.
Mas tente acrescentar os dominios acima e veja se resolve. O problema é que se a Microsoft mudar algum domínio futuramente, você cairá no mesmo problema e deverá acrescentar o domínio na lista.

Lembre-se de colocar as regras de liberação antes das regras de autenticação no Squid.

Mas eu acredito que até isso ser solucionado, você deverá usar um WPAD/PAC.

Esse problema é análogo ao problema que se tinha para liberar ou bloquear o MSN. O cara tinha que ficar acrescentando os domínios na lista e a Maravilhosa Microsoft ficava mudando os domínios frequentemente.

A solução, além do WPAD/PAC, era criar um script que capturava os domínios usando a faixa de endereços de rede do MSN.

Você verificou os logs do Squid para ver os domínios que ele está bloqueando referente ao Office?

Eu pessoalmente ainda não tenho uma solução definitiva para isso além do WPAD/PAC, mas acrescente os domínios acima na lista do Squid e libere as portas 80 e 443 para o domínio microsoft.com no Iptables quem sabe você terá uma solução imediata pelo menos até resolver de vez esse problema.