Pfsense2.3.3+Pf2ad+squid3+squidguard+Wpad
-
Boa tarde Pessoal.
estou passando pelo seguinte problema abaixo:
Tenho o Pfsense 2.3.3 + Pf2ad + Squid3 + Squidguard + WPAD(wpad no DHCP server2012), o squid esta com com autenticação Winbind NTLM transparente rodando.
O problema apresentado em meu ambiente é o seguinte. Quando eu havia implantado para teste em um ambiente pequeno 5 desktop´s funcionou perfeitamente, o problema foi quando eu implantei em toda a rede (150 dispositivos) o problema apareceu com a autenticação com o AD.
as maquina que estão no AD eram para autenticar automaticamente, ao invés disso ela fica solicitando autenticação na hora que abre o navegador e mesmo colocando usuário e senha elas não autenticam.
porem algumas maquinas da rede funcionam normalmente.
Já li vários foruns e não consegui resolver meu problema.
Authentication Processes = 10
Authentication TTL = 10
NTLMSSP Auth processes =100alguém passou pelo mesmo problema, tem alguma dica para passar, estou pensando seriamente em subir outro firewall com as configurações pois a rede vem apresentando algumas instabilidades passando pelo firewall, também acredito ser problemas com a placa de rede.
OBS: Moderadores me desculpe se criei um tópico que já exista, porem antes dei uma pesquisada e nao encontrei nada, caso exita favor me informar e excluir o mesmo.
-
Existem vários parâmetros para se configurar, para dar um pouco mais de performance na autenticação ntlm, mas infelizmente esse é um método lento e que com carga se comporta exatamente como relatou.
Veja o cache.log do squid pars ver se ele te dá uma dica do que ainda pode ser ajustado.
Uma alternativa mais rápida porém mais restritiva e o Kerberos.De todas as que eu testei, a que mais gostei foi o wmi para autenticação transparente. Rápido e eficiente para estações windows.
O pacote do squid ainda oferece integração com o captive portal.
-
Obrigado @Marcelloc vou dar uma pesquisada nas soluções informadas.
-
Boa tarde
Verifique as seguintes coisas:1 - Carga de CPU do processo squid, se estiver alta vc vai ter de habilitar smp workers no squid, por padrão esse tipo de auth consome muito CPU;
2 - veja os logs no diretorio /var/log/samba acompanhe eles, ali vai apontar diversos erros, como limitações de conexões do samba, corrija-os. Também verifique as configurações do arquivo /etc/krb5.conf, por padrão falta algumas coisas neles;
3 - configure o DNSFW no pfsense e acerte a configuração de dominio ali;
4 - desative o cache em disco e cache minimo em RAM, como quase tudo é em https cache já esta obsoleto
-
Boa tarde
Verifique as seguintes coisas:1 - Carga de CPU do processo squid, se estiver alta vc vai ter de habilitar smp workers no squid, por padrão esse tipo de auth consome muito CPU;
2 - veja os logs no diretorio /var/log/samba acompanhe eles, ali vai apontar diversos erros, como limitações de conexões do samba, corrija-os. Também verifique as configurações do arquivo /etc/krb5.conf, por padrão falta algumas coisas neles;
3 - configure o DNSFW no pfsense e acerte a configuração de dominio ali;
4 - desative o cache em disco e cache minimo em RAM, como quase tudo é em https cache já esta obsoleto
Boa tarde Marcos
Achei interessante isso tudo que você mencionou acima. Esses 4 itens.
No meu ambiente, está funcionando legal, porém acontece esse consumo elevado de memória do Squid.
Teria como você descrever essa configuração correta do krb5.conf, do DNSFW e desse smp workers?
Obrigado desde já.Att,
Marco Aurélio -
@marcosmassa, @marcelloc mais uma vez obrigado pelo auxilio, porem subi um pfsense novo com as configurações todas zeradas, ao realizar a mesma implantação o mesmo problema ocorre, porem pude verificar que as unicas maquinas que nao autenticam no squid são as maquinas com sistema operacional Windows 7
sendo assim consigo limitar minha pesquisa.
no Windows 7 existe alguma limitação na autenticação NTLM ou LDAP ou alguma observação ??? pois indiferente da autenticação que eu escolha o windows 7 não autentica.
