Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: wemersonrv on September 26, 2012, 02:21:38 pm
-
Salve galera...
Estou com um servidor Zentyal 3 em testes, com AD e proxy autenticado e está funcionando belezinha... porém nos clientes, após os usuários se logarem no domínio toda vez que abre o navegador tem que autenticar de novo...
Existe uma forma de forçar o browser a usar o usuário logado pra autenticar no proxy?
-
Sim
Embora eu ainda não tenha testado isso, você pode ativar a autenticação via Kerberos.
Outra opção é ativar o NTLM...
Dá uma pesquisada no google sobre o assunto...
Att
-
Realmente.. .jogo a toalha...
A opção do kerberos deve estar lá de decoração mesmo... não surte efeito nenhum... marcando ou desmarcando é a mesma coisa!
-
Olá Wemerson,
Você integrou com um AD Microsoft ou construiu o AD no próprio Zentyal? Fiz o teste usando a integração com o Windows 2008 e funcionou!
Abraços,
Jorge Quintão
-
Somente com Zentyal como AD master... sem integrar cou outro AD.
-
Olá Wemerson,
Ok! Este teste ainda não fiz, mas creio que irá funcionar também... Descobrimos alguns bugs no módulo de proxy, acabo de conversar com o pessoal da Zentyal e um novo módulo com os bugs corrigidos deve ser lançado amanhã...
Abraços,
Jorge Quintão
-
Olá Wemerson,
Ok! Este teste ainda não fiz, mas creio que irá funcionar também... Descobrimos alguns bugs no módulo de proxy, acabo de conversar com o pessoal da Zentyal e um novo módulo com os bugs corrigidos deve ser lançado amanhã...
Abraços,
Jorge Quintão
Tem alguma relação com o kerberos ou era outra coisa?!
Vai ver é isso que tava impedindo de rodar!
-
Olá Wemerson,
Tinha um problema relacionado a geração de linhas muito longas no squid.conf... Estão trabalhando nesta correção...
Abraços,
Jorge Quintão
-
Olá Wemerson,
Tinha um problema relacionado a geração de linhas muito longas no squid.conf... Estão trabalhando nesta correção...
Abraços,
Jorge Quintão
Ah ok... então não tem relação com o problema de autenticação... o jeito é esperar que no novo release após essas correções essa parte funcione!
-
Opa.... alguém sabe como anda essa atualização?
Gostei muito do Zentyal, mas o firewall ficou intermitente e agora a interface do Squid não obedece o que eu quero. :(
-
Olá Igor,
Parece que a equipe de desenvolvedores está trabalhando em algumas correções do módulo samba e squid... Talvez seja necessário gerar uma versão do módulo samba com alguns patches da Zentyal... Logo que tiver saído a versão nova, informamos por aqui...
Abraços,
Jorge Quintão
-
Nossa, parece ter sido um problema mais sério hein?
Até hoje não sairam as correções!
-
Olá Wemerson,
Existe um detalhe interessante para o funcionamento do SSO que muitos não prestam atenção (após ler a documentação). Na hora de configurar o proxy, vc não pode informar o IP do mesmo. É necessário usar o nome da forma:
host.dominio.local
No meu caso:
netsolfw.netsol.local
E ao pingar este hostname na estação, é necessário que aponte para o IP do Zentyal...
Abraços,
Jorge Quintão
-
Ah legal... entendi!
-
wemersonrv, tudo bom?
Gostaria de saber se você conseguiu resolver esse problema. Também não consigo fazer com que as máquinas (Win XP) utilizem no proxy a autenticação feita quando logaram no domínio.
-
wemersonrv, tudo bom?
Gostaria de saber se você conseguiu resolver esse problema. Também não consigo fazer com que as máquinas (Win XP) utilizem no proxy a autenticação feita quando logaram no domínio.
Cara, nem tô mexendo com isso... Aqui é uma agencia de publicidade e acabou que 90% dos equipamentos foram trocados para IMACs... então eu não tô usando mais dominio, nem autenticação... ativei proxy transparente e tô controlando navegação criando objetos para cada estação iMAC (Usando o MAC Address pra endereçar os IPs)... Me sobraram só 3 micros com windows 7, então tô seguindo o padrão que fiz nos iMACs e pronto... menos dor de cabeça...
-
Olá Antonelly,
Isto funciona... A versão 3 vc pode habilitar o recurso Single Sign-On (Kerberos) (na configuração ro proxy)... Nas máquinas vc irá usar como proxy algo como "proxy.netsol.local" (isto é importante, vc precisa especificar o domínio do AD)... E a partir de então, irá funcionar de forma transparente...
Abraços,
Jorge Quintão
-
Estou no mesmo barco que vocês!!
-
Amigos, eu estou com um problema parecido, configurei tudo o proxy, so que quando pedi o usuário no xp ele nao autentica, nao sei se falta alguma regra no firewall ou algum direcionamento de porta. alguém pode me ajudar?
-
Vc está usando o SSO/Kerberos? O comando klist (no SSH) retorna q o usuário do XP está com ticket?
Abraços,
Jorge Quintão
-
Estou com o mesmo problema, sincronizei o zentyal com o meu servidor windows (2008 r2), ele copiou os usuários, grupos..tudo certinho, porem quando ativo o SSO na proxy, parece que tudo funciona, criei regra permitindo navegação para todos, mesmo assim vou no servidor logado como Administrator, e ele retornar access denied.
The following error was encountered while trying to retrieve the URL: http://www.google.com.br/
Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
Your cache administrator is webmaster.
--------------------------------------------------------------------------------
Generated Fri, 03 May 2013 15:52:41 GMT by (frontal)bpnfw.chumhum.local (squid/3.1.19)
-
Pelo jeito não tem solução ainda, passei o fim de semana inteiro tentando fazer a SSO funcionar no zentyal + ad e nada. se alguem ja conseguiu usar de modo pleno, da uma luz ae.
-
Olá Amigo,
Esta configuração que vc está tentando usar funciona... Tenho ela ativa em vários clientes... Sugiro que vc dê uma olhada na documentação, deve ter algum detalhe faltando ser configurado...
Grato,
Jorge Quintão
-
Olá Amigo,
Esta configuração que vc está tentando usar funciona... Tenho ela ativa em vários clientes... Sugiro que vc dê uma olhada na documentação, deve ter algum detalhe faltando ser configurado...
Grato,
Jorge Quintão
Já olhei a documentação, refiz do zero, fiz duas maquinas virtuais pra testar também, infelizmente passo pelo mesmo erro, se eu deixar o zentyal como domain controller funciona, como adicional não. :(
-
Olá amigos
Eu acabei de testar a nova versão do Zentyal 3.1
Apesar de estar em Beta, está funcionando muito bem e o problema do SSO parece ter sido solucionado pois usei essa função e não tive problemas.
Estou usando o Zentyal como Controlador de Dominio e com o SSO ativado no Proxy...
Abraços
-
Olá amigos
Eu acabei de testar a nova versão do Zentyal 3.1
Apesar de estar em Beta, está funcionando muito bem e o problema do SSO parece ter sido solucionado pois usei essa função e não tive problemas.
Estou usando o Zentyal como Controlador de Dominio e com o SSO ativado no Proxy...
Abraços
Como controlador de dominio ele funciona, o problema é quando ele ta adicionado em um dominio existente. :(
-
hum.... entendi... bom vou analisar aqui e depois posto os resultados...
att
-
PEssoal
Quando ativo o SSO com o Windows 2003, recebo essa mensagem de erro no cache.log:
2013/05/08 20:10:58| squid_kerb_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' from squid (length: 59).
2013/05/08 20:10:58| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' (decoded length: 40).
2013/05/08 20:10:58| squid_kerb_auth: WARNING: received type 1 NTLM token
2013/05/08 20:10:58| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Estou usando o Zental 3.1, sendo ele como Additional Domain Controller....
To tentando resolver, mas tá fo***....
Se alguém tiver alguma sugestão agradeço...
Valeu
-
PEssoal
Quando ativo o SSO com o Windows 2003, recebo essa mensagem de erro no cache.log:
2013/05/08 20:10:58| squid_kerb_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' from squid (length: 59).
2013/05/08 20:10:58| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==' (decoded length: 40).
2013/05/08 20:10:58| squid_kerb_auth: WARNING: received type 1 NTLM token
2013/05/08 20:10:58| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Estou usando o Zental 3.1, sendo ele como Additional Domain Controller....
To tentando resolver, mas tá fo***....
Se alguém tiver alguma sugestão agradeço...
Valeu
Pois é aqui acontece dois sintomas, ou fica pedindo usuario e senha, ou simplesmente da acesso negado.
-
Opa. Alguém conseguiu algum resultado melhor em relação ao SSO com adicional domain controller ? por enquanto não consegui fazer funcionar.
-
Pessoal, não sei se alguém conseguiu solucionar o problema. Mas enfim, vou compartilhar a solução temporária que encontrei:
Quando editamos as policies do squid pelo painel do zentyal, ele cria as ACL's, o que o ocorre que ao criar a linha do proxy_auth ele não insere o "-i" que é para ignorar o case sensitive, dae o usuário não autentica. Esse não é o real problema, o problema é que na hora de criar as acl's o zentyal esta criando os usuários com nome minúsculo, e como muitos devem ter percebido, geralmente "Administrator" é com "A" maiúsculo, o usuário samba está correto, usando o comando "getent passwd" você vê que todos os usuários foram importados na maneira correta. Colocando o squid em modo debug com o comando "debug_options ALL,1 33,2 28,9" dentro do squid.conf podemos acompanhar através do cache.log (basta abrir um terminal e usar "tail -f /var/log/squid3/cache.log" para acompanhar o andamento do arquivo) percebemos todo o andamento da consulta, e ali percebe-se que o squid na hora de criar as acl's não cria os nomes de usuário adequadamente, uma vez que para cada grupo de usuários o squid cria uma acl colocando os usuários em ordem usando como parâmetro o proxy_auth. Sendo assim que tiver problemas basta editar o squid.conf localizar a linha das acl's de grupos de usuários e após o comando proxy_auth colocar o argumento "-i".
esse problema é abordado de forma mais genérica no seguinte tópico do fórum:
http://forum.zentyal.org/index.php?topic=13808.0
espero ter ajudado compartilhando o minha solução. Espero que em futuras versões esse problema seja corrigido, ou pelo menos acrescentado uma opção gráfica para desativar o case sensitive.
-
Pessoal, não sei se alguém conseguiu solucionar o problema. Mas enfim, vou compartilhar a solução temporária que encontrei:
Quando editamos as policies do squid pelo painel do zentyal, ele cria as ACL's, o que o ocorre que ao criar a linha do proxy_auth ele não insere o "-i" que é para ignorar o case sensitive, dae o usuário não autentica. Esse não é o real problema, o problema é que na hora de criar as acl's o zentyal esta criando os usuários com nome minúsculo, e como muitos devem ter percebido, geralmente "Administrator" é com "A" maiúsculo, o usuário samba está correto, usando o comando "getent passwd" você vê que todos os usuários foram importados na maneira correta. Colocando o squid em modo debug com o comando "debug_options ALL,1 33,2 28,9" dentro do squid.conf podemos acompanhar através do cache.log (basta abrir um terminal e usar "tail -f /var/log/squid3/cache.log" para acompanhar o andamento do arquivo) percebemos todo o andamento da consulta, e ali percebe-se que o squid na hora de criar as acl's não cria os nomes de usuário adequadamente, uma vez que para cada grupo de usuários o squid cria uma acl colocando os usuários em ordem usando como parâmetro o proxy_auth. Sendo assim que tiver problemas basta editar o squid.conf localizar a linha das acl's de grupos de usuários e após o comando proxy_auth colocar o argumento "-i".
esse problema é abordado de forma mais genérica no seguinte tópico do fórum:
http://forum.zentyal.org/index.php?topic=13808.0
espero ter ajudado compartilhando o minha solução. Espero que em futuras versões esse problema seja corrigido, ou pelo menos acrescentado uma opção gráfica para desativar o case sensitive.
Da pra automatizar a inserção do "-i" editando os seguintes arquivos em:
/usr/share/zentyal/stubs/squid
esse dois arquivos:
squid.conf.mas
linha 134 logo após o proxy_auth insira o "-i"
squid-external.conf.mas
linha 85 logo após o proxy_auth insira o "-i"
obs: pessoal, é meio obvio, mas pra não causar confusão vou deixar explicado, a onde coloco aspas, é pra definir o comando, as aspas não devem ser inseridas.
-
Pessoal, não sei se alguém conseguiu solucionar o problema. Mas enfim, vou compartilhar a solução temporária que encontrei:
Quando editamos as policies do squid pelo painel do zentyal, ele cria as ACL's, o que o ocorre que ao criar a linha do proxy_auth ele não insere o "-i" que é para ignorar o case sensitive, dae o usuário não autentica. Esse não é o real problema, o problema é que na hora de criar as acl's o zentyal esta criando os usuários com nome minúsculo, e como muitos devem ter percebido, geralmente "Administrator" é com "A" maiúsculo, o usuário samba está correto, usando o comando "getent passwd" você vê que todos os usuários foram importados na maneira correta. Colocando o squid em modo debug com o comando "debug_options ALL,1 33,2 28,9" dentro do squid.conf podemos acompanhar através do cache.log (basta abrir um terminal e usar "tail -f /var/log/squid3/cache.log" para acompanhar o andamento do arquivo) percebemos todo o andamento da consulta, e ali percebe-se que o squid na hora de criar as acl's não cria os nomes de usuário adequadamente, uma vez que para cada grupo de usuários o squid cria uma acl colocando os usuários em ordem usando como parâmetro o proxy_auth. Sendo assim que tiver problemas basta editar o squid.conf localizar a linha das acl's de grupos de usuários e após o comando proxy_auth colocar o argumento "-i".
esse problema é abordado de forma mais genérica no seguinte tópico do fórum:
http://forum.zentyal.org/index.php?topic=13808.0
espero ter ajudado compartilhando o minha solução. Espero que em futuras versões esse problema seja corrigido, ou pelo menos acrescentado uma opção gráfica para desativar o case sensitive.
Da pra automatizar a inserção do "-i" editando os seguintes arquivos em:
/usr/share/zentyal/stubs/squid
esse dois arquivos:
squid.conf.mas
linha 134 logo após o proxy_auth insira o "-i"
squid-external.conf.mas
linha 85 logo após o proxy_auth insira o "-i"
obs: pessoal, é meio obvio, mas pra não causar confusão vou deixar explicado, a onde coloco aspas, é pra definir o comando, as aspas não devem ser inseridas.
Ninguem falou nada. Pra mim o problema foi resolvido, se mais ninguem tem duvida pode fechar o tópico MODERADOR.
-
Legal cara...
Vou testar nos próximos dias e depois posto se eu consegui alguma coisa...
Att
-
Olá PessoALL,
Na 3.0 isto funciona... É importante lembrar de detalhes, tipo:
- na hora de configurar o proxy, vc coloca "proxy.dominio.local" (exemplo) ao invés de apenas um IP
- o DNS da máquina do cliente deve ser o IP do proxy/firewall integrado ao AD
Abraços,
Jorge Quintão
-
Olá PessoALL,
Na 3.0 isto funciona... É importante lembrar de detalhes, tipo:
- na hora de configurar o proxy, vc coloca "proxy.dominio.local" (exemplo) ao invés de apenas um IP
- o DNS da máquina do cliente deve ser o IP do proxy/firewall integrado ao AD
Abraços,
Jorge Quintão
Aparentemente não funciona no Windows XP com SP3... =(
Ao menos não no Zentyal 3.2 SP1