Problema com Google AppSync e Squid+NTLM
-
Olá pessoal…
Estou com um problemão aqui e queria ver se alguém pode ajudar.
Meu cenário é o seguinte: Tenho Squid com squidGuard, autenticação "transparente" por NTLM no AD com base em grupos (via script)...Tudo funciona normal....não pede autenticação para usuário, etc...
O problema começa quando tenho que usar o Google AppSync!.....não sei se todo mundo conhece esta aplicação, mas é através dela que configuro no outlook as contas de e-mail dos usuários que fazem parte da minha conta corporativa no google.....Nesta aplicação coloco o usuário e senha, a partir dai ele sincroniza tudo no outlook...
Quando coloco o proxy no navegador o Google AppSync para de sincronizar informando que o servidor da google esta indisponível.
No access.log aparecem as seguintes entradas:
1378903227.099 3 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
1378903227.312 4 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/html
1378903230.173 0 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
1378903230.375 1 192.168.1.193 TCP_DENIED/407 1955 CONNECT www.google.com:443 - NONE/- text/html
1378903231.047 0 192.168.1.193 TCP_DENIED/407 1775 CONNECT accounts.google.com:443 - NONE/- text/html
1378903231.249 1 192.168.1.193 TCP_DENIED/407 1970 CONNECT accounts.google.com:443 - NONE/- text/html
1378903232.451 0 192.168.1.193 TCP_DENIED/407 1763 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1378903232.452 0 192.168.1.193 TCP_DENIED/407 1763 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1378903232.664 5 192.168.1.193 TCP_DENIED/407 1958 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1378903232.665 5 192.168.1.193 TCP_DENIED/407 1958 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1378903240.786 2 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
1378903240.986 1 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/htmlJá coloquei estes endereços nas whitelists do Squid e no SquidGuard….mesmo assim apresenta o erro!
Se eu vou no browser e tiro o proxy das configurações, ele passa a sincronizar normalmente...
Alguém já teve este problema?
-
Já deu uma olhada nessa página?
https://support.google.com/a/users/answer/2622308?hl=en
Especificamente esse trecho.
…if a window asking for proxy authentication appears, you are using a proxy that requires authentication, which is not supported by Google Apps Sync. Please ask your network administrator to enable direct or unauthenticated connections to the URLs listed above....
Acredito que o Google AppSync não suporte proxy autenticado.
Experimente colocar as urls apresentadas para passar direto, sem autenticação.
att,
-
Já deu uma olhada nessa página?
https://support.google.com/a/users/answer/2622308?hl=en
Especificamente esse trecho.
…if a window asking for proxy authentication appears, you are using a proxy that requires authentication, which is not supported by Google Apps Sync. Please ask your network administrator to enable direct or unauthenticated connections to the URLs listed above....
Acredito que o Google AppSync não suporte proxy autenticado.
Experimente colocar as urls apresentadas para passar direto, sem autenticação.
att,
Olá…
Então ...eu tinha feito estes testes:
Nas opções de browser no navegador, em "não utilizar proxy para os endereços começados por" coloquei os endereços
ssl.gstatic.com
accounts.google.com
google.com
ssl.gstatic.com
apps-apis.google.com
googleapis.com
googleusercontent.com
crl.verisign.net
mail.google.comSão os mesmos endereços que coloquei na whitelist do Squid e do SquidGuard....Também no squid coloquei os referidos endereços para não fazer cache na aba "Cache mgmt"
Mesmo assim não funciona....
No link que você passou tem o link https://mail.google.com para fazer teste......consigo acessar este link normalmente via browser.
Mais alguma opção?
Desde já obrigado pela atenção!!
-
Tente criar uma ACL no SquidGuard utilizando no campo Client (source) o Ip da estação ou range. E então permita o acesso a esses sites.
att,
-
Tente criar uma ACL no SquidGuard utilizando no campo Client (source) o Ip da estação ou range. E então permita o acesso a esses sites.
att,
Efetuei o teste sugerido mas não funcionou…..fiz tanto pelo range quanto pelo ip especifico....
Na sequência fiz também o seguinte: Coloquei proxy transparente e desabilitei o squidguard....mesmo assim o erro acontece..A navegação fica normal.
Peguei tudo que aparecia com DENIED e coloquei na whitelist do squid, para não fazer cache e no browser para não passar pelo proxy...
o unico erro que ainda aparece é o:1378903227.099 3 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
1378903227.312 4 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/html
1378903230.173 0 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
1378903230.375 1 192.168.1.193 TCP_DENIED/407 1955 CONNECT www.google.com:443 - NONE/- text/htmlEssas entradas aparecem quando abro ou fecho o outlook....sempre que abro o outlook ele abre a tela se login do appsync.....isto não acontece em situação normal...se eu tiro o proxy do browser esta tela de login do appsync não aparece e sincroniza corretamente os e-mails do outlook.
-
Bom o erro persistente ainda, refere-se à autenticação do proxy
407 Proxy Authentication Required
Esses sites AINDA requerem autenticação para serem acessados.
Talvez seja interessante voce rever suas regras.
att,
-
Ééé…acho que o buraco é mais em baixo.....e a coisa um pouco mais cabeluda! rs
Revisei as regras....até onde vi não tinha problema....suspeito de ser algo com a autenticação NTLM..
Removi do Squid lá em custom options os seguintes parâmetros do NTLM:
acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth –use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password
Assim que removi e apliquei, o AppSync sincronizou o outlook…..não precisei mexer em qualquer outra regra...
Para teste coloquei os valores acima novamente.....logo que apliquei o AppSync parou de funcionar!Logo presumi que pode ter relação com a configuração da autenticação do NTLM...
O interessante que isto acontece de forma isolada nesta função, qualquer outra que testei funciona normalmente com a autenticação transparente via NTLM...
-
Alguem tem autenticação por ntlm rodando? queria só confirmar como esta a configuração na aba Auth Settings…
A minha ficou do mesmo jeito que estava antes da autenticação por ntlm.....ou seja...com opção por LDAP e todas configurações do meu AD.Esta funcionando tudo certinho assim...somente esta parte do AppSync esta enroscada...
O que não estou entendendo é o porque o trafego esta passando pela autenticação do Squid e negando mesmo:
1° - Colocando a minha sub-rede e meu ip em Access Control>Unrestricted IP´s
2° - Estando os mesmos IP´s e rede inseridos em Auth Setting´s>Subnets that don't need authenticationTenho outros 2 Firewall´s com a mesma configuração em produção, rodando sem qualquer problema…só este que tem que passar o APPSync esta com problema.
-
Estou com o mesmo problema, mas em alguns testes, conseguimos criar a exceção para não passar pelo Proxy.
Ao configurar o WPAD adicionamos os domínios que não devem passar pelo Proxy, inicialmente funcionou, mas depois também paraou.
A única solução realmente válida foi configurar os dados do Proxy direto no navegador (Internet Explorer, que o Outlook se baseia) e adicionar as exceções, por exemplo:
google.com;google;dropbox
Esses endereços também estão nas ACLs, regras, WPAD e todos os locais que possam imaginar, mas mesmo assim ocorre o bloqueio…
Vou fazer alguns testes para incluir as exceções através de GPO do Windows.
Espero ter ajudado e conto com uma solução mais elegante para acabar com o problema.