Problema na Autenticação no Chrome via NTLM

Tudo sobre o script PF2AD (http://pf2ad.mundounix.com.br)
Post Reply
pramos
Posts: 3
Joined: Tue Oct 31, 2017 11:07 pm

Problema na Autenticação no Chrome via NTLM

Post by pramos » Tue Oct 31, 2017 11:36 pm

Meus caros, primeiramente gostaria de agradecer e parabenizá-los pelo excelente trabalho. Esse script possibilita termos um proxy plenamente funcional em muito pouco tempo, o que tem poupado um trabalho significativo da minha equipe. Utilizávamos uma infraestrutura muito parecida, porém com DansGuard rodando sobre CentOS, replicados via Puppet, mas já estamos planejando uma migração gradual para essa plataforma, que tem uma configuração bem mais intuitiva e agrega vários recursos que temos espalhado em várias soluções, como o sync, o load balancer e o próprio firewall. Se o pfSense já era bom, com este "upgrade" ele ficou perfeito.

Maaassss, como nem tudo são flores, ontem criamos uma máquina de teste para a realização de um laboratório, e tudo funcionou perfeitamente no Firefox. Porém, no Chrome e Internet Explorer (que utilizam a mesma configuração), não havia jeito de funcionar a autenticação transparente. O navegador sempre mostrava um popup pedindo as credenciais, o que também funcionava, porém não atendia às nossas necessidades.

Após muito debug, e com a ajuda de um especialista da minha equipe, verificamos que há uma opção "estranha" nas configurações de autenticação do squid, o que provavelmente estava gerando o erro em questão. A linha de configuração é esta abaixo:

auth_param negotiate program ". SQUID_LOCALBASE . "/libexec/squid/negotiate_wrapper_auth --ntlm ". SQUID_LOCALBASE ."/libexec/squid/ntlm_auth ". $domain_samba4 ."--helper-protocol=squid-2.5-ntlmssp --kerberos ". SQUID_LOCALBASE ."/libexec/squid/negotiate_kerberos_auth -s GSS_C_NOME

No caso, esse último parâmetro parece estar truncado, e na verdade deveria ser GSS_C_NO_NAME. Alterando essa configuração, tudo funcionou perfeitamente.

Se puderem verificar esta informação e corrigir o parâmetro no script publicado, agradeço mais uma vez. Esta configuração está no arquivo squid.inc, na linha 1917 (da versão referente ao pfSense 2.4.1).

Grande abraço a todos e parabéns pelo excelente trabalho.

lgcosta
Site Admin
Posts: 10
Joined: Sun Sep 17, 2017 1:31 am
Location: Faro, Portugal
Contact:

Re: Problema na Autenticação no Chrome via NTLM

Post by lgcosta » Wed Nov 01, 2017 12:32 pm

Muito obrigado pela a contribuição ! O projeto precisa disso :D

Eu fiz um request e commit:
https://github.com/pf2ad/pf2ad/pull/2

Abraço !

Vladimir Rodrigues
Posts: 1
Joined: Thu Nov 16, 2017 2:14 pm

Re: Problema na Autenticação no Chrome via NTLM

Post by Vladimir Rodrigues » Thu Nov 16, 2017 2:35 pm

Primeiramente gostaria de parabenizar pelo ótimo trabalho que fez com a autenticação do squid. O pf2ad funciona perfeitamente.
Mas na atualização do pfSense 2.4.1 a autenticação não está transparente. Em todas situações para entrar no site, pede autenticação.
Eu baixei após a correção mencionado neste fórum, e percebi que a autenticação transparente só está funcionando no browser do Firefox. No IE e no Chrome pede autenticação. Já houve a correção para estes browsers?

Post Reply