Squid com AD problema para autenticar no navegador **Resolvido**

Caio Alencar Ribeiro · 25 de Maio de 2015, 14:05

Boa tarde pessoal,

Poderiam me ajudar com o proxy squid no ubuntu?

Eu configurei o Kerberos e o Winbind para se conectar pelo AD no servidor, segui o tutorial que achei na internet.

O proxy funciona normal a compilação pelo "squid -k", mas quando vou no navegador ele fica pedindo usuário e senha, eu coloco mas ele não conecta.

Já verifiquei os grupos do AD que estão liberados e está OK, já verifiquei o script também está OK... e não sei o que pode estar acontecendo, estou quebrando a cabeça a mais de 1 semana.

Peço ajuda de vocês...

Desde já agradeço.

CAIO.

zekkerj · 25 de Maio de 2015, 15:42

Qual tutorial vc está seguindo?

Caio Alencar Ribeiro · 25 de Maio de 2015, 15:47

Olá Zekkerj,

Eu segui esse turial:

http://penselinux.com.br/2014/07/15/integrando-o-squid-ao-ad/

Se quiser posso postar meu squid.conf.

Abrçs

zekkerj · 25 de Maio de 2015, 16:11

Por enquanto, quero que você confirme:

1. Que a hora do seu servidor squid está sincronizada com o DC ("ntpdate -q <ip.do.dc>").
2. Que seu servidor conseguiu unir-se corretamente ao domínio ("net ads testjoin" / "net ads info").
3. Que vc consegue ler os usuários de grupos do AD corretamente ("wbinfo -u" / "wbinfo -g").

Depois de confirmar os pontos acima (veja no próprio tuto as saídas esperadas pra cada comando), consulte o log de erro do squid (/var/log/squid3/squid.log) e veja se há alguma mensagem associada às tentativas de autenticação. Se for postar o conteúdo desse arquivo aqui, poste apenas as 20 últimas linhas.

Caio Alencar Ribeiro · 25 de Maio de 2015, 16:28

Olá, respondendo:

1. Que a hora do seu servidor squid está sincronizada com o DC ("ntpdate -q <ip.do.dc>").
ntpdate -q 10.1.0.12
server 10.1.0.12, stratum 2, offset -327.346835, delay 0.02608
25 May 16:23:41 ntpdate[14012]: step time server 10.1.0.12 offset -327.346835 sec

2. Que seu servidor conseguiu unir-se corretamente ao domínio ("net ads testjoin" / "net ads info").
net ads testjoin
Join is OK

net ads info
LDAP server: 10.1.0.1
LDAP server name: cpeaserver.sp.cpea.com.br
Realm: SP.CPEA.COM.BR
Bind Path: dc=SP,dc=CPEA,dc=COM,dc=BR
LDAP port: 389
Server time: Seg, 25 Mai 2015 16:18:55 BRT
KDC server: 10.1.0.1
Server time offset: -326

3. Que vc consegue ler os usuários de grupos do AD corretamente ("wbinfo -u" / "wbinfo -g").
os 2 comando me trazem as informações dos usuários e dos grupos. Estão OK.

consulte o log de erro do squid (/var/log/squid3/squid.log) e veja se há alguma mensagem associada às tentativas de autenticação. Se for postar o conteúdo desse arquivo aqui, poste apenas as 20 últimas linhas.

cd /var/log/squid3/
root@venezuela:/var/log/squid3# ls
access.log access.log.3 cache.log cache.log.1 cache.log.2.gz cache.log.4 store.log store.log.3
access.log.2 access.log.4 cache.log.0 cache.log.2 cache.log.3 netdb.state store.log.2 store.log.4

Não encontrei o log do squid.

Obrigado.

zekkerj · 25 de Maio de 2015, 17:19

CitarServer time offset: -326

isso é ruim, se eu vi direito vc está com 5min de diferença entre os servidores.

CitarNão encontrei o log do squid.

Foi erro meu, o arquivo é o "cache.log".

Caio Alencar Ribeiro · 25 de Maio de 2015, 17:45

Server time offset: -326

isso é ruim, se eu vi direito vc está com 5min de diferença entre os servidores.
Sério?? o que posso fazer?

segue "cache.log", acabei de testar e gerou o log abaixo:
2015/05/25 16:32:28| Set Current Directory to /var/spool/squid3
2015/05/25 16:32:28| Loaded Icons.
2015/05/25 16:32:28| HTCP Disabled.
2015/05/25 16:32:28| Pinger socket opened on FD 28
2015/05/25 16:32:28| Squid plugin modules loaded: 0
2015/05/25 16:32:28| Adaptation support is off.
2015/05/25 16:32:28| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 26 flags=9
2015/05/25 16:32:28| Done reading /var/spool/squid3 swaplog (0 entries)
2015/05/25 16:32:28| Store rebuilding is 0.00% complete
2015/05/25 16:32:28| Finished rebuilding storage from disk.
2015/05/25 16:32:28| 0 Entries scanned
2015/05/25 16:32:28| 0 Invalid entries.
2015/05/25 16:32:28| 0 With invalid flags.
2015/05/25 16:32:28| 0 Objects loaded.
2015/05/25 16:32:28| 0 Objects expired.
2015/05/25 16:32:28| 0 Objects cancelled.
2015/05/25 16:32:28| 0 Duplicate URLs purged.
2015/05/25 16:32:28| 0 Swapfile clashes avoided.
2015/05/25 16:32:28| Took 0.02 seconds ( 0.00 objects/sec).
2015/05/25 16:32:28| Beginning Validation Procedure
2015/05/25 16:32:28| Completed Validation Procedure
2015/05/25 16:32:28| Validated 0 Entries
2015/05/25 16:32:28| store_swap_size = 0.00 KB
2015/05/25 16:32:28| pinger: Initialising ICMP pinger ...
2015/05/25 16:32:28| pinger: ICMP socket opened.
2015/05/25 16:32:28| pinger: ICMPv6 socket opened
2015/05/25 16:32:29| storeLateRelease: released 0 objects
2015/05/25 17:12:28| Logfile: opening log stdio:/var/log/squid3/netdb.state
2015/05/25 17:12:28| Logfile: closing log stdio:/var/log/squid3/netdb.state
2015/05/25 17:12:28| NETDB state saved; 0 entries, 0 msec
2015/05/25 17:41:28| Starting new ntlmauthenticator helpers...
2015/05/25 17:41:28| helperOpenServers: Starting 1/30 'ntlm_auth' processes
2015/05/25 17:41:28| ERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'
2015/05/25 17:41:46| ERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'
2015/05/25 17:41:46| Starting new ntlmauthenticator helpers...
2015/05/25 17:41:46| helperOpenServers: Starting 1/30 'ntlm_auth' processes
2015/05/25 17:41:46| ERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'
2015/05/25 17:41:46| ERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'

zekkerj · 25 de Maio de 2015, 18:17

Citar
Citarisso é ruim, se eu vi direito vc está com 5min de diferença entre os servidores.
Sério?? o que posso fazer?

Uma forma é ativar o serviço NTP em todos os servidores, e configurá-los para usar a mesma referência de hora. Vc também pode colocar um comando "ntpdate" no seu crontab pra ser executado de hora em hora, mas não é tão preciso nem tão garantido de corrigir o problema, quanto usar o NTP.

CitarERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'

O erro está aqui. Agora é pesquisar sobre ele, e ver como resolver. Não posso te ajudar além disso.

Caio Alencar Ribeiro · 26 de Maio de 2015, 09:09

está certo! Obrigado, boa semana!

Caio Alencar Ribeiro · 26 de Maio de 2015, 11:02

Consegui solucionar o problema!

Pesquisei e descobri que o problema era permissão nesses 2 diretórios:

/run/samba/winbindd_privileged
/var/lib/samba/winbindd_privileged

Dando permissão neles para o usuário PROXY funcionou!

Atenciosamente.

zekkerj · 26 de Maio de 2015, 12:41

Que ótimo! Edite a primeira mensagem pra marcar o tópico como "Resolvido", pode ajudar outras pessoas.

Caio Alencar Ribeiro · 27 de Maio de 2015, 17:49

Citação de: Caio Alencar Ribeiro online 25 de Maio de 2015, 14:05
Boa tarde pessoal,

Poderiam me ajudar com o proxy squid no ubuntu?

Eu configurei o Kerberos e o Winbind para se conectar pelo AD no servidor, segui o tutorial que achei na internet.

O proxy funciona normal a compilação pelo "squid -k", mas quando vou no navegador ele fica pedindo usuário e senha, eu coloco mas ele não conecta.

Já verifiquei os grupos do AD que estão liberados e está OK, já verifiquei o script também está OK... e não sei o que pode estar acontecendo, estou quebrando a cabeça a mais de 1 semana.

Peço ajuda de vocês...

Desde já agradeço.

CAIO.