Problema autenticação Pfsense + Squid + SSL filtering + AD + E2Guardian



  • Estou enfrentando problemas com Pfsense 2.4.4 + Squid com filtro SSL autenticado ao Active Directory, onde retorna TCP_DENIED/407 para várias urls, já com autenticação local funciona normalmente.

    0_1549977157396_log squid ssl.JPG

    Com isso "reflete" para o E2Guardian

    0_1549977627511_log e2guardian.JPG

    Entendo que o problema ocorre no Squid.
    Alguém está passando por esse problema?



  • Olá,
    Você já tentou aumentar o número de Helpers? (seja NTLM ou Kerberos)
    Isso já me aconteceu porque eu usei um número muito baixo de helpers para um número muito alto de usuários acessando internet simultaneamente.
    Se já aumentou os Helpers, verifique se não está saturando seu AD com queries de autenticação. você pode ter que melhorar a performance do seu AD ou fazer cache da autenticação por mais tempo.

    Fabricio.



  • O erro 407 é exatamente de autenticação, não de bloqueio. NTLM tem esse tipo de "problema congênito". Tente alterar parâmetros de cache/sem cache de autenticação e/ou quantidade de helpers como o Fabrício sugeriu.



  • @fabricioguzzy said in Problema autenticação Pfsense + Squid + SSL filtering + AD + E2Guardian:

    helpers

    Fabricio onde configuro maior numero de Helpers?



  • @maxwelber
    Olá MAX
    Vá na aba DAEMON do E2guardian - depois na linha HTTP WORKERS.
    Tenha em mente que, cada helper/thread consome em média 980K (considere ~1MB) - portanto, calcule bem a quantidade de helpers para você não estourar no consumo de memória da máquina.
    Outra coisa importante: Em média, cada usuário abre ~16 conexões paralelas, que consomem 16 helpers simultâneos. Sendo assim, se você tem 100 usuários ativos no proxy, considere 1600 helpers pelo menos.
    Obviamente este comportamento muda de ambiente para ambiente (para mais e para menos), mas esta é a média. Via de regra, os usuários abrem várias abas de navegador ao mesmo tempo, abrindo conexões paralelas no proxy.
    Este é um comportamento bastante comum.
    Espero ter ajudado.

    Abraço.
    Fabricio.


Log in to reply