Problema autenticação kerberos

[mmartinssantos]

olá,

primeiramente gostaria de agradece-lo pelo excelente script que foi desenvolvido.
estou tentando implementar o pf2ad no pfsense 2.4.1 porém não obtive sucesso. habilitei o debug_options ALL,1 no squid e o esse erro permanece.

Code: Select all

kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Request ticket server HTTP/heimdall.emaq.ind.br@EMAQ.IND.BR not found in keytab (ticket kvno 4); }}

tentei modificar a permissao do krb5.keytab, também inseri a linha default_keytab_name = /etc/krb5.keytab em krb5.conf e mesmo assim não obtive sucesso.

outra coisa que eu tive problema foi em relação a autenticação ntlm mesmo setando children em 120 parece q ele só inicia um processo de autenticação por vez gerando uma enorme quantidade de deny e tornando o squid mais lento. não sei se é por isso mas o SSO do ntlm parece q não está funcionando para chrome/edge/ie, porém no firefox ele autentica SSO.

Code: Select all

2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:08 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:08 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes
2017/11/03 01:51:09 kid1| storeLateRelease: released 0 objects
2017/11/03 01:51:41 kid1| Starting new ntlmauthenticator helpers...
2017/11/03 01:51:41 kid1| helperOpenServers: Starting 1/120 'ntlm_auth' processes

meu AD é um 2012 R2

me desculpem se não ficou claro ou faltou informação. se puderem me ajudar agradeço.

obrigado.

[lgcosta]

Acho que esse post pode lhe ajudar:

viewtopic.php?f=7&t=3

Abraço !

[mmartinssantos]

obrigado por sua resposta @lgcosta,

mas eu já havia visto esse tópico e eu já tinha instalado através do script com a correção, segue as linhas referentes a autenticação do meu squid.conf:
(removi a senha para postar).
eu já dei permissão de delegação kerberos no ad para o pfsense. será que eu teria q criar outra keytab?

Code: Select all

# Custom options before auth


auth_param negotiate program /usr/local/libexec/squid/negotiate_wrapper_auth --ntlm /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME
auth_param negotiate children 120
auth_param negotiate keep_alive off
# Pure NTLM
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 120
auth_param ntlm keep_alive off
auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -b "dc=emaq,dc=ind,dc=br" -D "Administrador@emaq.ind.br" -w "SENHA" -f sAMAccountName=%s -h loki.emaq.ind.br
auth_param basic children 120
auth_param basic credentialsttl 1 minute
auth_param basic realm Please enter your credentials to access the proxy
acl password proxy_auth REQUIRED
# Custom options after auth

o PURE NTLM dar spawn em apenas um processo de autenticação e não nos 120 como está setado ali no children não seria também um outro problema?

[Vijaysis]

That was really helpful and for clearing viruses, you can Download SD Maid Pro it will make your pc fast.