Erro AclProxyAuth no cache.log [RESOLVIDO]

ffischer
(usa Red Hat)

Enviado em 12/07/2012 - 14:29h

Fala pessoal boa tarde,

De uma semana pra cá temos enfrentado um problema com o nosso proxy, algumas mensagens de warning e erro vem aparecendo no nosso arquivo cache.log, conforme vou listar para vocês abaixo:

2012/07/12 14:17:50| WARNING: HTTP header contains NULL characters {Accept: */*
Content-Type: application/x-www-form-urlencoded}
NULL
{Accept: */*

E principalmente estas duas:
2012/07/12 13:49:28| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogcABwAxAAAACQAJACgAAAAFASgKAAAAD1NPUFJPLTA0WElOTUVUUk8='


2012/07/12 14:13:37| assertion failed: AclProxyAuth.cc:229: "authenticateUserAuthenticated(Filled(checklist)->auth_user_request)"

Acontece que depois de receber esta última mensagem a aplicação "restarta" sozinha, segue abaixo o debug:
2012/07/12 14:13:40| Starting Squid Cache version 3.1.6 for x86_64-unknown-linux-gnu...
2012/07/12 14:13:40| Process ID 18583
2012/07/12 14:13:40| With 16384 file descriptors available
2012/07/12 14:13:40| Initializing IP Cache...
2012/07/12 14:13:40| DNS Socket created at [::], FD 7
2012/07/12 14:13:40| DNS Socket created at 0.0.0.0, FD 8
2012/07/12 14:13:40| Adding nameserver AD1 from squid.conf
2012/07/12 14:13:40| Adding nameserver AD2 from squid.conf
2012/07/12 14:13:40| helperOpenServers: Starting 400/400 'squid_ldap_auth' processes
2012/07/12 14:13:41| Unlinkd pipe opened on FD 813
2012/07/12 14:13:41| Store logging disabled
2012/07/12 14:13:41| Swap maxSize 51200000 + 2097152 KB, estimated 4099780 objects
2012/07/12 14:13:41| Target number of buckets: 204989
2012/07/12 14:13:41| Using 262144 Store buckets
2012/07/12 14:13:41| Max Mem size: 2097152 KB
2012/07/12 14:13:41| Max Swap size: 51200000 KB
2012/07/12 14:13:41| Version 1 of swap file without LFS support detected...
2012/07/12 14:13:41| Rebuilding storage in /mnt/cache/squid (DIRTY)
2012/07/12 14:13:41| Using Least Load store dir selection
2012/07/12 14:13:41| Set Current Directory to /var/cache/squid
2012/07/12 14:13:41| Loaded Icons.
2012/07/12 14:13:41| Accepting HTTP connections at [::]:3128, FD 816.
2012/07/12 14:13:41| HTCP Disabled.
2012/07/12 14:13:41| Squid modules loaded: 0
2012/07/12 14:13:41| Ready to serve requests.
2012/07/12 14:13:41| Store rebuilding is 0.02% complete
2012/07/12 14:15:43| Done reading /mnt/cache/squid swaplog (17191910 entries)
2012/07/12 14:15:43| Finished rebuilding storage from disk.
2012/07/12 14:15:43| 9625878 Entries scanned
2012/07/12 14:15:43| 0 Invalid entries.
2012/07/12 14:15:43| 0 With invalid flags.
2012/07/12 14:15:43| 2060000 Objects loaded.
2012/07/12 14:15:43| 0 Objects expired.
2012/07/12 14:15:43| 7565878 Objects cancelled.
2012/07/12 14:15:43| 0 Duplicate URLs purged.
2012/07/12 14:15:43| 0 Swapfile clashes avoided.
2012/07/12 14:15:43| Took 121.54 seconds (16949.11 objects/sec).
2012/07/12 14:15:43| Beginning Validation Procedure
2012/07/12 14:15:43| 262144 Entries Validated so far.
2012/07/12 14:15:43| 524288 Entries Validated so far.
2012/07/12 14:15:43| 786432 Entries Validated so far.
2012/07/12 14:15:43| 1835008 Entries Validated so far.
2012/07/12 14:15:44| 2097152 Entries Validated so far.
2012/07/12 14:15:44| 2359296 Entries Validated so far.
2012/07/12 14:15:44| 3145728 Entries Validated so far.
2012/07/12 14:15:44| 3407872 Entries Validated so far.
2012/07/12 14:15:44| 3932160 Entries Validated so far.
2012/07/12 14:15:44| Completed Validation Procedure
2012/07/12 14:15:44| Validated 4120019 Entries
2012/07/12 14:15:44| store_swap_size = 46265416
2012/07/12 14:15:44| storeLateRelease: released 0 objects

Já li algumas informações, que não são muitas que existe o bug 2305, e que este problema está sendo corrigdo na versão beta 3.2.

Meu número de processos filhos são 400, pois nesse proxy temos cerca de 1600 pessoas utilizando.

Uso Ubuntu 11 com 4 gb de memória


Abaixo a linhas do meu squid.conf referentes a autenticação ldap:

# Linha para autenticacao LDAP para dominio AD
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -R -b "dc=meudc,dc=local" -D "cn=meuusuarioad,cn=users,dc=meudc,dc=local" -w "minhasenhaad" -f sAMAccountName=%s -h IPdoAD

auth_param basic children 400
auth_param basic realm Autenticacao necessaria para utilizacao da Internet
auth_param basic credentialsttl 1 hours


Se alguem já passou por isto ou pode me dar alguma referencia pra resolver tal problema fico agradecido. Qualquer outra informação para me ajudar a resolver o problema basta me pedir.

Obrigado mais uma vez a todos

Fábio Fischer

phrich
(usa Slackware)

Enviado em 12/07/2012 - 15:32h

Será que eu estou errado ou vc também está utilizando autenticação NTLM?

Será que não tem alguma linha no seu squid.conf falando de autenticação NTLM?

ffischer
(usa Red Hat)

Enviado em 12/07/2012 - 15:54h

Ph obrigado pela resposta...
Não tenho nada relacionado a ntlm no meu squid.conf.
Assim que eu entrei na empresa eles usavam o squid com autenticação msnt_auth pois o domínio ainda era NT, após a migração pro AD fiz os ajustes conforme passei na minha primeira mensagem (a uns 2 anos mais ou menos).

Quanto a mensagem de erro que contém NTLM andei olhando algumas coisas no google, mas como não utilizo esta opção para autenticação não me aprofundei e não sei de onde ele ta tirando isto:
2012/07/12 15:13:51| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogcABwAxAAAACQAJACgAAAAFASgKAAAAD1NPUFJPLTA0WElOTUVUUk8='

Se preferir posso postar meu squid.conf aqui, mas acredite ele é bem grande...rs

Obrigado
Fábio

ffischer
(usa Red Hat)

Enviado em 12/07/2012 - 16:01h

Não sei se tem algo relacionado, mas instalei o squid atraves do binário, compilando com ./configure --options make make install...
Para iniciar o serviço rodo o seguinte binário:
/usr/local/squid/sbin/squid start/stop/-k reconfigure etc etc etc...

Não sei se dentro deste binário ele chama algo relacionado a ntlm...

phrich
(usa Slackware)

Enviado em 12/07/2012 - 16:29h

Não, não chama não...

Mas pode ser que tenha ficado algo do NTLM no squid.conf já buscou dentro do mesmo?
Mas também seria estranho, pq como vc disse, ele utilizava msnt_auth...

Se for Debian, acredito que seja melhor vc desinstalar com os comandos:

#make uninstall && make clean

E depois instalar via apt:

#apt-get install squid3

Ela já vem com todas as autenticações prontas, basta apenas vc escolher/configurar.

PS: não se esqueça de fazer um backup antes...

johnnyb
(usa Fedora)

Enviado em 12/07/2012 - 17:37h

amigo faça uma copia do seu squid
e depois limpe os comentarios
e de uma organizar nas regras,
pode ter acontecido de vc ter apagado um letra de uma regra e o squid esta interpretando
ela de outra forma

ffischer
(usa Red Hat)

Enviado em 13/07/2012 - 09:45h

Pessoal,
Tenho 4 proxys na empresa, 3 autenticando por ldap no AD e um transparente.
Dois com a versão 3.1.6 (Antenticados) e dois com a versão 3.1.19 (Um autenticado e outro transparente).
Um dos autenticados roda com o limite de 1024 Descritores de Arquivos, neste não tenho problemas. Os outros 3 servidores rodam com 16384, o transparente roda sem o menor problema, os outros 2 autenticados me retornam os erros sitados.
Como disse encontrei referencias de um bug (2305) só corrigido na versão 3.2 beta.

Bati todo o meu squid.conf (e olha que não é pequeno) e não encontrei linhas, carecteres nada que me retorne erro, rodei o squid com o parâmetro parse (/usr/local/squid/sbin/squid -k parse) e ele não me retornou problema nenhum.

Não acredito que desistalar a aplicação e instalar por apt seja algo viável, talvez até faça isto em última instância mesmo sem saber se vai realmente resolver, mas me recuso a acreditar que o squid no Debian ou Ubuntu não funcione perfeitamente se for instalado "na unha".

Vou continuar pesquizando, e achando ou não a solução informo a todos para consultas futuras.

Fábio Fischer

ffischer
(usa Red Hat)

Enviado em 24/08/2012 - 16:04h

Bem pessoal só pra postar o que consegui fazer...
Como relatado nos meus posts anteriores é um bug, compilei a versão 3.2 e o erro não ocorre mais, meus proxys estão rodando tranquilamente sem maiores problemas.
Pra quem passar por esse problema pare o squid, renomeie o diretório onde ele está instalado e compile a nova versão para o diretorio padrão, fiz isso e depois copiei o etc e o libexec do antigo para o novo e depois de rodar alguns -k parse corrigi os problemas...está tudo tranquilo agora.

smrabelo
(usa Ubuntu)

Enviado em 18/10/2012 - 11:54h

Estou passando por isso...mas não sei se o squid aqui é compilado...pode me ajudar?

2012/10/18 11:53:57| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:03| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:13| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:15| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:19| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:23| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:28| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:54:34| AuthConfig::CreateAuthUser: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAB7IIogUABQA3AAAADwAPACgAAAAGAbAdAAAAD0ZJTkFOQ0VJUk9DU0MtUEZBQ0RP'
2012/10/18 11:56:10| assertion failed: AclProxyAuth.cc:229: "authenticateUserAuthenticated(Filled(checklist)->auth_user_request)"

Ele fica dando esses erros ai quando chega nessa ultima linha ele reinicia o serviço do squid assim:

2012/10/18 11:56:13| Starting Squid Cache version 3.1.6 for i486-pc-linux-gnu...
2012/10/18 11:56:13| Process ID 8098
2012/10/18 11:56:13| With 65535 file descriptors available
2012/10/18 11:56:13| Initializing IP Cache...
2012/10/18 11:56:13| DNS Socket created at [::], FD 7
2012/10/18 11:56:13| DNS Socket created at 0.0.0.0, FD 8
2012/10/18 11:56:13| Adding nameserver 8.8.8.8 from squid.conf
2012/10/18 11:56:13| Adding nameserver 8.8.4.4 from squid.conf
2012/10/18 11:56:13| helperOpenServers: Starting 15/15 'ncsa_auth' processes
2012/10/18 11:56:13| Unlinkd pipe opened on FD 43
2012/10/18 11:56:13| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/10/18 11:56:13| Swap maxSize 53686272 + 524288 KB, estimated 4170043 objects
2012/10/18 11:56:13| Target number of buckets: 208502
2012/10/18 11:56:13| Using 262144 Store buckets
2012/10/18 11:56:13| Max Mem size: 524288 KB
2012/10/18 11:56:13| Max Swap size: 53686272 KB
2012/10/18 11:56:13| Version 1 of swap file with LFS support detected...
2012/10/18 11:56:13| Rebuilding storage in /var/spool/squid3 (DIRTY)
2012/10/18 11:56:13| Using Least Load store dir selection
2012/10/18 11:56:13| Current Directory is /
2012/10/18 11:56:13| Loaded Icons.
2012/10/18 11:56:13| Accepting HTTP connections at [::]:3128, FD 47.
2012/10/18 11:56:13| HTCP Disabled.
2012/10/18 11:56:13| Squid modules loaded: 0
2012/10/18 11:56:13| Adaptation support is off.
2012/10/18 11:56:13| Ready to serve requests.
2012/10/18 11:56:13| Store rebuilding is 60.64% complete
2012/10/18 11:56:13| Done reading /var/spool/squid3 swaplog (6990 entries)
2012/10/18 11:56:13| Finished rebuilding storage from disk.
2012/10/18 11:56:13| 6740 Entries scanned
2012/10/18 11:56:13| 0 Invalid entries.
2012/10/18 11:56:13| 0 With invalid flags.
2012/10/18 11:56:13| 6492 Objects loaded.
2012/10/18 11:56:13| 0 Objects expired.
2012/10/18 11:56:13| 248 Objects cancelled.
2012/10/18 11:56:13| 0 Duplicate URLs purged.
2012/10/18 11:56:13| 0 Swapfile clashes avoided.
2012/10/18 11:56:13| Took 0.04 seconds (145511.60 objects/sec).
2012/10/18 11:56:13| Beginning Validation Procedure
2012/10/18 11:56:13| Completed Validation Procedure
2012/10/18 11:56:13| Validated 13009 Entries
2012/10/18 11:56:13| store_swap_size = 111644
2012/10/18 11:56:14| storeLateRelease: released 0 objects

Minha conf inicial:

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/senhas/senhas
auth_param basic children 15
auth_param basic realm Por Favor Informe usuario e senha!!!
auth_param basic credentialsttl 4 hours
auth_param basic casesensitive off

Antigamente era 3 basic children.

maxwelber.vix
(usa Ubuntu)

Enviado em 12/11/2012 - 18:01h

ffischer, vi que vc mudou o paramento auth_param basic children 400 vc faz checagem por grupo tbm? se vc faz como vc fez para aumentar numero de processos para external_acl_type ldap_group.

ffischer
(usa Red Hat)

Enviado em 15/02/2013 - 12:04h

smrabelo como disse até aonde encontrei isso é um bug da versão 3.1, na minha versão 3.2 até agora não tive mais nenhum problema no geral.
max não uso grupos...