Pfsense2.3.3+Pf2ad+squid3+squidguard+Wpad



  • Boa tarde Pessoal.

    estou passando pelo seguinte problema abaixo:

    Tenho o Pfsense 2.3.3 + Pf2ad + Squid3 + Squidguard + WPAD(wpad no DHCP server2012), o squid esta com com autenticação Winbind NTLM transparente rodando.

    O problema apresentado em meu ambiente é o seguinte. Quando eu havia implantado para teste em um ambiente pequeno 5 desktop´s funcionou perfeitamente,  o problema foi quando eu implantei em toda a rede (150 dispositivos)  o problema apareceu com a autenticação com o AD.

    as maquina que estão no AD eram para autenticar automaticamente, ao invés disso ela fica solicitando autenticação na hora que abre o navegador e mesmo colocando usuário e senha elas não autenticam.

    porem algumas maquinas da rede funcionam normalmente.

    Já li vários foruns e não consegui resolver meu problema.

    Authentication Processes = 10
    Authentication TTL = 10
    NTLMSSP Auth processes =100

    alguém passou pelo mesmo problema, tem alguma dica para passar, estou pensando seriamente em subir outro firewall com as configurações pois a rede vem apresentando algumas instabilidades passando pelo firewall, também acredito ser problemas com a placa de rede.

    OBS: Moderadores me desculpe se criei um tópico que já exista, porem antes dei uma pesquisada e nao encontrei nada, caso exita favor me informar e excluir o mesmo.



  • Existem vários parâmetros para se configurar, para dar um pouco mais de performance na autenticação ntlm, mas infelizmente esse é um método lento e que com carga se comporta exatamente como relatou.

    Veja o cache.log do squid pars ver se ele te dá uma dica do que ainda pode ser ajustado.
    Uma alternativa mais rápida porém mais restritiva e o Kerberos.

    De todas as que eu testei, a que mais gostei foi o wmi para autenticação transparente. Rápido e eficiente para estações windows.

    O pacote do squid ainda oferece integração com o captive portal.



  • Obrigado @Marcelloc vou dar uma pesquisada nas soluções informadas.



  • Boa tarde
    Verifique as seguintes coisas:

    1 - Carga de CPU do processo squid, se estiver alta vc vai ter de habilitar smp workers no squid, por padrão esse tipo de auth consome muito CPU;

    2 - veja os logs no diretorio /var/log/samba acompanhe eles, ali vai apontar diversos erros, como limitações de conexões do samba, corrija-os. Também verifique as configurações do arquivo /etc/krb5.conf, por padrão falta algumas coisas neles;

    3 - configure o DNSFW no pfsense e acerte a configuração de dominio ali;

    4 - desative o cache em disco e cache minimo em RAM, como quase tudo é em https cache já esta obsoleto



  • @marcosmassa:

    Boa tarde
    Verifique as seguintes coisas:

    1 - Carga de CPU do processo squid, se estiver alta vc vai ter de habilitar smp workers no squid, por padrão esse tipo de auth consome muito CPU;

    2 - veja os logs no diretorio /var/log/samba acompanhe eles, ali vai apontar diversos erros, como limitações de conexões do samba, corrija-os. Também verifique as configurações do arquivo /etc/krb5.conf, por padrão falta algumas coisas neles;

    3 - configure o DNSFW no pfsense e acerte a configuração de dominio ali;

    4 - desative o cache em disco e cache minimo em RAM, como quase tudo é em https cache já esta obsoleto

    Boa tarde Marcos

    Achei interessante isso tudo que você mencionou acima. Esses 4 itens.
    No meu ambiente, está funcionando legal, porém acontece esse consumo elevado de memória do Squid.
    Teria como você descrever essa configuração correta do krb5.conf, do DNSFW e desse smp workers?
    Obrigado desde já.

    Att,
    Marco Aurélio



  • @marcosmassa, @marcelloc mais uma vez obrigado pelo auxilio, porem subi um pfsense novo com as configurações todas zeradas, ao realizar a mesma implantação o mesmo problema ocorre, porem pude verificar que as unicas maquinas que nao autenticam no squid são as maquinas com sistema operacional Windows 7

    sendo assim consigo limitar minha pesquisa.

    no Windows 7 existe alguma limitação na autenticação NTLM ou LDAP  ou alguma observação ??? pois indiferente da autenticação que eu escolha o windows 7 não autentica.