Proxy + Windows Active Directory(NTLM) + Wpad = problemas com https(443) e java.

Home Comunidade Brasileira Endian Firewall Endian Firewall Endian Firewall – Suporte Proxy + Windows Active Directory(NTLM) + Wpad = problemas com https(443) e java.

Marcado: 

Visualizando 1 resposta da discussão
  • Autor
    Posts
    • maio 24, 2011 às 7:57 pm #1073
      david wall
      Participante

      Olá,

      estou usando o EFW 2.4

      Cenario atual:

      – Proxy, configurado é funcionando sem problema algum sem autenticação

      – wpad, funcionando corretamente

      – dansguardian, snort, clamv, estão funcionando corretamente

      foi configurado o NTLM, colocado o EFW no dominio do Windows sem ocorrer erros,

      efetuado teste de dns, acesso a rede local e internet, listando usuario e grupos do windows pelo EFW tudo ok.

      o problema ocorre quando ativo a autenticação em Access Policy

      o efw reconhece o usuarios já logado na estação de trabalho e autentica ele no AD sem solicitar USER/PASS, só que sites com java não funcionam. No access.log do squid aparece a seguinte menssagem diversas vezes

      … “10.0.0.x TCP_DENIED/407 3292 CONNECT secure.logmein.com:443 – NONE/- text/html”

      tentei diversas configurações encontradas na internet, todas que utilizei não funcionaram, na tentativa de resolver o problema, reconheci que configurando manualmente o proxy no browser desmarcando a opção “usar o mesmo servidor proxy para todos os protocolos” e deixando o item seguro(SSL) sem configurar e no firewall permitindo acesso direto sem passar pelo proxy, tudo funciona sem mensagem de erro, pois passa direto pelo firewall sem autenticar na porta 443.

      obs. tudo funciona corretamente sem fazer autenticação no AD, o problema só ocorre quando a autenticação esta ativada.

      acredito que conexões ssl deva ter algum mecanismo se segurança que esteja reconhecendo isso como um possivel “man in the middle”.

      mas pq sem autenticação no AD funciona?

      alguem saberia me diser como posso tentar resolver isto?

      obrigado


      Wireguard_webadmin

      Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.

      Principais funcionalidades:

      - Sistema de Firewall completo e flexível.
      - Encaminhamento de portas
      - Suporte a multi usuário com níveis diferentes de acesso
      - Múltiplas instâncias do Wireguard
      - Crypto key routing para configuração de VPN site-to-site

      O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin

    • junho 3, 2011 às 1:11 pm #8166
      david wall
      Participante

      um item resolvido,

      o problema com Java é que o mesmo não oferece suporte e esse tipo de autenticação “NTLM”

      devesse liberar o java antes da solicitação de autenticação para o funcionamento correto.

      adicionar uma acl no arquivo /etc/squid/squid.conf.tmpl

      acl java browser Java/1.4 Java/1.5 Java/1.6 ##adicionar

      http_access allow java ##adicionar

      acl for_auth_users proxy_auth REQUIRED ##solicitação de autenticação do ntlm

      assim o java funciona sem autenticar, se alguém tiver um solução melhor agradeço.

      o problema do TCP_DENIED continua ocorrendo, notei agora que isso ocorre em diversos sites, não só com requisição na porta 443, mas todos os sites estão entrando sem problemas aparente, o problema é o log que esta ficando gigante em questão de horas.

      obrigado

  • Autor
    Posts
Visualizando 1 resposta da discussão
  • O tópico ‘Proxy + Windows Active Directory(NTLM) + Wpad = problemas com https(443) e java.’ está fechado para novas respostas.