Problema com Google AppSync e Squid+NTLM



  • Olá pessoal…

    Estou com um problemão aqui e queria ver se alguém pode ajudar.

    Meu cenário é o seguinte: Tenho Squid com squidGuard, autenticação "transparente" por NTLM no AD com base em grupos (via script)...Tudo funciona normal....não pede autenticação para usuário, etc...

    O problema começa quando tenho que usar o Google AppSync!.....não sei se todo mundo conhece esta aplicação, mas é através dela que configuro no outlook as contas de e-mail dos usuários que fazem parte da minha conta corporativa no google.....Nesta aplicação coloco o usuário e senha, a partir dai ele sincroniza tudo no outlook...

    Quando coloco o proxy no navegador o Google AppSync para de sincronizar informando que o servidor da google esta indisponível.

    No access.log aparecem as seguintes entradas:

    1378903227.099      3 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
    1378903227.312      4 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/html
    1378903230.173      0 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
    1378903230.375      1 192.168.1.193 TCP_DENIED/407 1955 CONNECT www.google.com:443 - NONE/- text/html
    1378903231.047      0 192.168.1.193 TCP_DENIED/407 1775 CONNECT accounts.google.com:443 - NONE/- text/html
    1378903231.249      1 192.168.1.193 TCP_DENIED/407 1970 CONNECT accounts.google.com:443 - NONE/- text/html
    1378903232.451      0 192.168.1.193 TCP_DENIED/407 1763 CONNECT ssl.gstatic.com:443 - NONE/- text/html
    1378903232.452      0 192.168.1.193 TCP_DENIED/407 1763 CONNECT ssl.gstatic.com:443 - NONE/- text/html
    1378903232.664      5 192.168.1.193 TCP_DENIED/407 1958 CONNECT ssl.gstatic.com:443 - NONE/- text/html
    1378903232.665      5 192.168.1.193 TCP_DENIED/407 1958 CONNECT ssl.gstatic.com:443 - NONE/- text/html
    1378903240.786      2 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
    1378903240.986      1 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/html

    Já coloquei estes endereços nas whitelists do Squid e no SquidGuard….mesmo assim apresenta o erro!

    Se eu vou no browser e tiro o proxy das configurações, ele passa a sincronizar normalmente...

    Alguém já teve este problema?



  • Já deu uma olhada nessa página?

    https://support.google.com/a/users/answer/2622308?hl=en

    Especificamente esse trecho.

    …if a window asking for proxy authentication appears, you are using a proxy that requires authentication, which is not supported by Google Apps Sync. Please ask your network administrator to enable direct or unauthenticated connections to the URLs listed above....

    Acredito que o Google AppSync não suporte proxy autenticado.

    Experimente colocar as urls apresentadas para passar direto, sem autenticação.

    att,



  • @ccesario:

    Já deu uma olhada nessa página?

    https://support.google.com/a/users/answer/2622308?hl=en

    Especificamente esse trecho.

    …if a window asking for proxy authentication appears, you are using a proxy that requires authentication, which is not supported by Google Apps Sync. Please ask your network administrator to enable direct or unauthenticated connections to the URLs listed above....

    Acredito que o Google AppSync não suporte proxy autenticado.

    Experimente colocar as urls apresentadas para passar direto, sem autenticação.

    att,

    Olá…

    Então ...eu tinha feito estes testes:
    Nas opções de browser no navegador, em "não utilizar proxy para os endereços começados por" coloquei os endereços
    ssl.gstatic.com
    accounts.google.com
    google.com
    ssl.gstatic.com
    apps-apis.google.com
    googleapis.com
    googleusercontent.com
    crl.verisign.net
    mail.google.com

    São os mesmos endereços que coloquei na whitelist do Squid e do SquidGuard....Também no squid coloquei os referidos endereços para não fazer cache na aba "Cache mgmt"

    Mesmo assim não funciona....

    No link que você passou tem o link https://mail.google.com para fazer teste......consigo acessar este link normalmente via browser.

    Mais alguma opção?

    Desde já obrigado pela atenção!!



  • Tente criar uma ACL no SquidGuard utilizando no campo Client (source) o Ip da estação ou range. E então permita o acesso a esses sites.

    att,



  • @ccesario:

    Tente criar uma ACL no SquidGuard utilizando no campo Client (source) o Ip da estação ou range. E então permita o acesso a esses sites.

    att,

    Efetuei o teste sugerido mas não funcionou…..fiz tanto pelo range quanto pelo ip especifico....

    Na sequência fiz também o seguinte: Coloquei proxy transparente e desabilitei o squidguard....mesmo assim o erro acontece..A navegação fica normal.
    Peguei tudo que aparecia com DENIED e coloquei na whitelist do squid, para não fazer cache e no browser para não passar pelo proxy...
    o unico erro que ainda aparece é o:

    1378903227.099      3 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
    1378903227.312      4 192.168.1.193 TCP_DENIED/407 1734 CONNECT www.google.com:443 - NONE/- text/html
    1378903230.173      0 192.168.1.193 TCP_DENIED/407 1760 CONNECT www.google.com:443 - NONE/- text/html
    1378903230.375      1 192.168.1.193 TCP_DENIED/407 1955 CONNECT www.google.com:443 - NONE/- text/html

    Essas entradas aparecem quando abro ou fecho o outlook....sempre que abro o outlook ele abre a tela se login do appsync.....isto não acontece em situação normal...se eu tiro o proxy do browser esta tela de login do appsync não aparece e sincroniza corretamente os e-mails do outlook.



  • Bom o erro persistente ainda, refere-se à autenticação do proxy

    407 Proxy Authentication Required

    Esses sites AINDA requerem autenticação para serem acessados.

    Talvez seja interessante voce rever suas regras.

    att,



  • Ééé…acho que o buraco é mais em baixo.....e a coisa um pouco mais cabeluda! rs

    Revisei as regras....até onde vi não tinha problema....suspeito de ser algo com a autenticação NTLM..

    Removi do Squid lá em custom options os seguintes parâmetros do NTLM:

    acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth –use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password

    Assim que removi e apliquei, o AppSync sincronizou o outlook…..não precisei mexer em qualquer outra regra...
    Para teste coloquei os valores acima novamente.....logo que apliquei o AppSync parou de funcionar!

    Logo presumi que pode ter relação com a configuração da autenticação do NTLM...

    O interessante que isto acontece de forma isolada nesta função, qualquer outra que testei funciona normalmente com a autenticação transparente via NTLM...



  • Alguem tem autenticação por ntlm rodando? queria só confirmar como esta a configuração na aba Auth Settings…
    A minha ficou do mesmo jeito que estava antes da autenticação por ntlm.....ou seja...com opção por LDAP e todas configurações do meu AD.

    Esta funcionando tudo certinho assim...somente esta parte do AppSync esta enroscada...

    O que não estou entendendo é o porque o trafego esta passando pela autenticação do Squid e negando mesmo:

    1° - Colocando a minha sub-rede e meu ip em Access Control>Unrestricted IP´s
    2° - Estando os mesmos IP´s e rede inseridos em Auth Setting´s>Subnets that don't need authentication

    Tenho outros 2 Firewall´s com a mesma configuração em produção, rodando sem qualquer problema…só este que tem que passar o APPSync esta com problema.



  • Estou com o mesmo problema, mas em alguns testes, conseguimos criar a exceção para não passar pelo Proxy.

    Ao configurar o WPAD adicionamos os domínios que não devem passar pelo Proxy, inicialmente funcionou, mas depois também paraou.

    A única solução realmente válida foi configurar os dados do Proxy direto no navegador (Internet Explorer, que o Outlook se baseia) e adicionar as exceções, por exemplo:

    google.com;google;dropbox

    Esses endereços também estão nas ACLs, regras, WPAD e todos os locais que possam imaginar, mas mesmo assim ocorre o bloqueio…

    Vou fazer alguns testes para incluir as exceções através de GPO do Windows.

    Espero ter ajudado e conto com uma solução mais elegante para acabar com o problema.


Log in to reply