Erro autenticação Squid

marqandre
(usa Ubuntu)

Enviado em 04/02/2015 - 10:48h

EU uso atualmente o ubuntu 12.04 e squid 3.1 funciona normalmente, e estou tentando atualizar o servidor 14.4 e squid 3.3.8, utilizo o proxy autenticado, não consigo autenticar no Windows , pelo log apararece TCP_DENIED 407

l0g1in
(usa FreeBSD)

Enviado em 04/02/2015 - 14:26h

Foi pedido de autenticação pelo que aparece no log, tem como postar o squid.conf por favor você está utilizando o que para autenticar, é basic_ncsa_auth, é no AD ou outro método de autenticação.

marqandre
(usa Ubuntu)

Enviado em 05/02/2015 - 08:54h

Segue o Squid Conf, não utilizo AD, tenho base de dados MySQL com os usuários, até a versão 12.04 do ubuntu e squid 3.1 funciona normal
Obrigado pela atenção!

# /etc/squid3/squid.conf

####################################################
#
# Host visivel
visible_hostname 192.168.100.1
#
# Rede local
acl rede_local src 192.168.100.0/24
#
# Email do administrador
cache_mgr suporte@xyx.com.br
#
####################################################

# Portas (padrao 3128)
http_port 3128 intercept

#Habilitar debug
#debug_options 28,3

#Configurações de Cache
# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais, diretorios em cada diretorio
cache_dir aufs /var/spool/squid3 20480 16 256

# Tamanho da cache para obejtos
cache_mem 3 GB

# Tamanho maximo dos objetos que serao salvos em disco
maximum_object_size 300 MB

# Tamanho minimo dos objetos que serao salvos em disco
minimum_object_size 20480 KB

# Número de entradas na tabela de cache de conversão de IP para FQDN
ipcache_size 16384

# Percentagem de cache baixa - padrão 90
ipcache_low 90

# Percentagem de cache baixa - padrão 95
ipcache_high 95

# manter memoria alocada e nao usada, para nao precisar realocar quando for usar
memory_pools on

# Numero de entradas na tabela de cache de DNS
fqdncache_size 16384

# tamanho maximo dos objetos guardados na cache
maximum_object_size_in_memory 8 MB

# Gerar resumo de cache - Util somente quando existem squids parceiros deste squid
digest_generation off

# Configuracoes gerais
# Como tratar o X-Forwared-For no cabeçalho HTTP
forwarded_for off

#logar parametros das URL's
strip_query_terms on

# Força IE 5.5 ou anteior a buscar novas paginas do servido em caso de refresh
ie_refresh on

#Detecta respostas quebradas de conexoes persistnes e assuma que o reply foi enviado apos 10 segundos
detect_broken_pconn on

#Modo de gravação dos LOGS do squid, para emulação de logs httpd:
#emulate_httpd_log on
#log_mime_hdrs on

#Tenta executar ate 2 requisições em paralelo - Pode quebrar autenticacao NTLM/Kerberos
pipeline_prefetch off

# Se -1, continua baixando requisicoes abortadas
# Default 16kb
quick_abort_min 16 KB

# continua baixando requsições abortadas até o limite de 16KB
quick_abort_max 16 KB

#Default:
quick_abort_pct 95

# Quanto tempo manter cache de DNS
positive_dns_ttl 5 minute

# Fechar conexoes TCP imediatamente
half_closed_clients on

# timeout de leitura de dados
read_timeout 240 second

# timeout de conexoes persistentes
pconn_timeout 240 second

# Linguagem dos erros
error_directory /usr/share/squid3/errors/pt-br

# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3

# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 120

# Tempo para aguardar o fechamento de conexoes durante encerramento do squid
shutdown_lifetime 1 second

# palavras que serah tratadas diretamente por esse squid, ou seja, nao serao repassadas para vizinhos
#hierarchy_stoplist cgi-bin ?

# Dominio padrão de busca
#append_domain .dominio.com.br

# Forçando o cache do Windowsupdate
#politicas de reposicao
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA


#Cache windowsupdate
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims
refresh_pattern http://www.download.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims
refresh_pattern http://www.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 4320 100% 43200 reload-into-ims
refresh_pattern cache.pack.google.com/.*\.(cab|exe|dll|msi|psf) 4320 100% 43200 reload-into-ims
refresh_pattern http://www.update.microsoft.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims
refresh_pattern wwww.download.windowsupdate.com/.*\.(cab|exe|dll|msi|psf) 10080 100% 43200 reload-into-ims

#------ IPs internos liberados no proxy - sem autenticacao ------- ##
acl ips_liberados src "/etc/squid3/listas/ips_liberados"
http_access allow ips_liberados all

## ------- IPs conectividade social - sem autenticacao ------- ##
acl ips_conectividade_social src "/etc/squid3/listas/ips_conectividade_social"
http_access allow ips_conectividade_social all

## ------- Sites conectividade social - sem autenticacao ------- ##
acl sites_conectividade_social dstdomain "/etc/squid3/listas/sites_conectividade_social"
http_access allow sites_conectividade_social all

## ------- Sites que NAO necessitam autenticacao ------- ##
acl sites_semautenticacao dstdomain "/etc/squid3/listas/sites_semautenticacao"
http_access allow sites_semautenticacao

### ------- Liberando o MSN ------- ##
acl msn url_regex -i /gateway/gateway.dll
http_access allow msn

## ------- Sites MSN ------- ##
acl sites_msn url_regex -i "/etc/squid3/listas/sites_msn"
http_access allow sites_msn all


### ------- Arquivo com os usuarios de acesso (/etc/squid3/passwd) ------- ##
##auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
#acl usuarios proxy_auth REQUIRED
auth_param basic credentialsttl 2 hour
#auth_param basic casesensitive off
auth_param basic realm TECHCOR Security
auth_param basic program /usr/lib/squid3/mysqlt_auth


### ------- Verificando se o Usuario pode conectar-se atraves da maquina solicitante ------- ##
#external_acl_type Block_User %LOGIN %SRC %SRCEUI48 /usr/lib/squid3/mysqlt_ip_auth.sh
external_acl_type Block_User %LOGIN %SRC /usr/lib/squid3/mysqlt_ip_auth.sh
acl Block_src external Block_User
http_access deny !Block_src
deny_info ERR_NAO_NESSE_IP Block_src

# Padrao de refresh de cache para alguns sites
# refresh_pattern [-i] regex min percent max [options]
# -i : regular expressiona case-insensitive
# regex: Expressao regular a buscar
# min: tempo (em minutos) que um objeto serah considerado novo
# percent: % da idade do objeto que eh considerado novo
# max: limite maximo que os objetos sem tempo de expirar explicito serao considerados novos
#refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# define o timeout da base de IP
authenticate_ip_ttl 1 minute

# Nao permitir conexao simultanea com o mesmo usuario
#acl login_simultaneo max_user_ip 1
#http_access deny login_simultaneo
#deny_info ERR_LOGIN_SIMULTANEO login_simultaneo

# Logs
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
access_log /var/log/squid3/access.log
# Log de cache
cache_log /var/log/squid3/cache.log
# pasta para arquivo de dump
coredump_dir /var/spool/squid3

# comportamente para espaço em branco nas URLs
uri_whitespace allow

# Servidores de DNS a serem utilizados - Se nao for especificado, o valor de /etc/resol.conf serah utilizado
#dns_nameservers 192.168.0.1

# ACLs
# acls de origem
# rede loopback
# acl localhost src 127.0.0.1/32
# acl localhost src 127.0.0.1

#acls de destino
#acl allDest dst 0.0.0.0/0.0.0.0
#acl to_localhost dst 127.0.0.0/8

# portas seguras
acl SSL_ports port 80 443 563 587 1863 8020
acl SSL_ports port 8888 # email MCPD
acl SSL_ports port 8443 # email admin MCPD
acl SSL_ports port 7071 # email OSI
acl SSL_ports port 8084 # redesoft


# Demais serviços
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 20-21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1863 # msn
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial

# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST

############################################################
### ------- Tratando as excecoes -------
#acl privilegiados proxy_auth flavia
#acl sites url_regex facebook.com
#http_access allow privilegiados sites


### ------- Usuarios com acesso livre ------- ##
acl acesso_livre proxy_auth "/etc/squid3/listas/user_livre"
http_access allow acesso_livre

### ------- Lista de sites bloqueados (para controle dos usuarios com acesso livre) ------- ##
acl sites_bloqueados url_regex "/etc/squid3/listas/sites_bloqueados"
http_access deny sites_bloqueados

### ------- Usuarios com acesso estendido ------- ##
acl acesso_estendido proxy_auth "/etc/squid3/listas/user_estendido"
http_access allow acesso_estendido

### ------- Usuarios com acesso bloqueado ------- ##
acl acesso_bloqueado proxy_auth "/etc/squid3/listas/user_bloqueado"
http_access deny acesso_bloqueado

### ------- Usuarios com acesso restrito ------- ##
acl acesso_restrito proxy_auth "/etc/squid3/listas/user_restrito"
acl sites_restritos url_regex -i "/etc/squid3/listas/sites_restritos"
#
http_access allow sites_restritos
http_access deny acesso_restrito !sites_restritos

### ------- Usuarios com acesso moderado ------- ##
acl acesso_moderado proxy_auth "/etc/squid3/listas/user_moderado"
acl sites_moderados url_regex -i "/etc/squid3/listas/sites_moderados"
#
http_access allow sites_moderados
http_access deny acesso_moderado !sites_moderados


### FIM DO CONTROLE DE USUARIOS
#############################################################


#options ALL,1 33,2
# HTTP REPLY ACCESS
http_reply_access allow all
http_access deny all

# ICP ACCESS
icp_access deny all

# MISS ACCESS
miss_access allow rede_local
miss_access deny all

# MODO DE FTP PASSIVO
#ftp_passive on

# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# negar cache de POST
acl POSTS method POST
cache deny POSTS

l0g1in
(usa FreeBSD)

Enviado em 05/02/2015 - 15:35h

se não me engano esse mysqlt_auth mudou para basic_mysqlt_auth ve no diretorio como está o arquivo

buckminster
(usa Debian)

Enviado em 05/02/2015 - 17:49h

#acl usuarios proxy_auth REQUIRED

Por que a ACL acima está comentada?
Para a autenticação funcionar corretamente é necessário ter pelo menos uma ACL do tipo proxy_auth REQUIRED.
E verifique também a informação do comentário anterior do astsilva.

marqandre
(usa Ubuntu)

Enviado em 06/02/2015 - 08:39h

Eu ja descomentei a ACL, já troque o nome para basic_mysqlt_auth e nada parece que o não existe o usuário,
Estava vendo o log e deparei com este erro
tail -f /var/log/squid3/cache.log


2015/02/06 08:42:30| helperHandleRead: unexpected read from basicauthenticator #1, 1031 bytes '<?
$link = mysqli_connect("localhost", "usuario", "senha");
if (!$link) {
printf("Erro ao conectar com o banco de dados: %s\n", mysqli_connect_error());
die();
}
$selectdb = mysqli_select_db($link, "proxy");
if (!$selectdb) {
printf("Erro ao abrir o banco de dados: %s\n", mysqli_error($link));
die();
}
while ( fscanf(STDIN, "%s %s", $nome, $senha) ) {
$select = "select login, senha from usuario WHERE login = '".$nome."' AND ativo = 1";
$Query = mysqli_query($link, $select);
$nrRegistros = mysqli_num_rows($Query);
$erro = true;
while ( $Registro = mysqli_fetch_array($Query) ) {
$erro = false;
if ( md5($senha) == $Registro[senha] ) printf("OK\n");
else printf("ERR\n");
}
if ($erro) printf("ERR\n");
}
?>
'
2015/02/06 08:42:30| WARNING: basicauthenticator #1 exited
2015/02/06 08:42:30| Too few basicauthenticator processes are running (need 1/5)
2015/02/06 08:42:30| Starting new helpers
2015/02/06 08:42:30| helperOpenServers: Starting 1/5 'mysqlt_auth' processes

marqandre
(usa Ubuntu)

Enviado em 09/02/2015 - 08:30h

Caramba depois de tantos teste, eu verifique na versão mais recente do php não suporta a TAG <? ?> Tem que ser <?php ?> fiz isso e resolveu , agradeço ajuda de todos.

marqandre
(usa Ubuntu)

Enviado em 10/02/2015 - 14:14h

O squid está funcionando porem em algumas paginas como http://mail.terra.com.br/mail/index.php? se eu excluir um email ou atualizar etc fica rodando, rodando e depois aparece A pagina não responde. Aguem sabe resolver esse paranaue.

buckminster
(usa Debian)

Enviado em 11/02/2015 - 11:02h

Quanto de memória RAM total tem no servidor?

marqandre
(usa Ubuntu)

Enviado em 12/02/2015 - 09:57h

Tenho 2GB
maquina XEON Dual Core Hp DL 320

buckminster
(usa Debian)

Enviado em 18/02/2015 - 16:18h

Com 2GB você tem que destinar no máximo 1GB para o Squid, isso se só tiver o Squid e o sistema na máquina.
Mas aconselharia a colocar mais memória RAM nele.

E veja que no cache_mem você colocou 3GB, ou seja, está destinando memória que a máquina não tem. Isso fará o Squid e o sistema usarem a swap deixando lento o sistema e o Squid. Mude para 1GB.

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

marqandre
(usa Ubuntu)

Enviado em 24/02/2015 - 17:37h

Eu instalei em um servido Xeon 8 GB de memória e também trava sempre quando abre o email terra.mail.com.br e tenta excluir um email ai demora demora e depois no browser chrome aparece que a pagina não responde, e se deseja aguardar ou cancelar,

parece que tem alguma acl barrando, sei la , porque no squid 3.1 vai de boa