[Resolvido] Java fica pedindo credenciais do proxy



  • Bom dia a todos!  :)

    Tenho o pfSense 2.1 com squid+squidGuard+autenticação AD transparente. Terminei a configuração dele há poucos dias e distribuí a configuração de proxy via GPO para todos.
    Surgiu um problema com quem precisa enviar arquivos de remessa e retorno no site do Banco do Brasil. Essa área do site usa um applet do Java para realizar a transferência e o que ocorre é que ele fica pedindo as credenciais direto, ou seja, ele não autentica. Vale ressaltar que é uma janela do próprio Java.

    Tentei colocar bb.com.br, aapj.bb.com.br e java.com na whitelist, mas não resolveu. Na verdade, não sei se esse seria o caminho. Além disso, nas configurações do Java marquei para fazer conexão direta e não passar pelo proxy. Também não resolveu.

    Alguém tem alguma dica ou já enfrentou esse problema?

    Outra dúvida é se tem como criar uma nova target categories no SquidGuard e colocá-la no final da lista de blacklists, criei algumas regras mas essas ficam no topo sempre. Utilizo a lista do Shallalist.

    Abraços!



  • Tenta criar uma regra na LAN permitindo o acesso para o destino do IP "java.com". Para saber qual ip está bloqueado, faça um teste usando o Status: System logs: Firewall coloque o ip de origem e teste o acesso.



  • @neo_X:

    Tenta criar uma regra na LAN permitindo o acesso para o destino do IP "java.com". Para saber qual ip está bloqueado, faça um teste usando o Status: System logs: Firewall coloque o ip de origem e teste o acesso.

    O firewall só está com a regra padrão. Tá tudo liberado.



  • Então se tirar o proxy o usuário sai navegando direto?  O que aparece no access.log ?



  • Java, flash, media player, etc não sabem "se autenticar" no ntlm.

    Crie acls para não autenticar java e afins.



  • @neo_X:

    Então se tirar o proxy o usuário sai navegando direto?  O que aparece no access.log ?

    Por enquanto, sim. Não aparece nada relacionado.

    @marcelloc:

    Java, flash, media player, etc não sabem "se autenticar" no ntlm.

    Crie acls para não autenticar java e afins.

    Ok, mas não faço ideia de como faria isso… tem alguma documentação ou dica que eu possa seguir?



  • @zilmar:

    Ok, mas não faço ideia de como faria isso… tem alguma documentação ou dica que eu possa seguir?

    A documentação do squid.

    pesquise por squid acl java no google.

    Use o campo custom options para incluir suas acls na mão.

    exemplo de acl para ajudar nos criterios de pesquisa e entendimento.

    acl java urlpath_regex -i \.class$ \.jar
    acl java_vm browser regexp -i Java
    


  • @marcelloc:

    @zilmar:

    Ok, mas não faço ideia de como faria isso… tem alguma documentação ou dica que eu possa seguir?

    A documentação do squid.

    pesquise por squid acl java no google.

    Use o campo custom options para incluir suas acls na mão.

    exemplo de acl para ajudar nos criterios de pesquisa e entendimento.

    acl java urlpath_regex -i \.class$ \.jar
    acl java_vm browser regexp -i Java
    

    Consegui! Muito obrigado pelas dicas marcelloc.
    A solução foi adicionar no custom options o seguinte:

    acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;
    acl java_vm browser regexp -i Java;
    acl java urlpath_regex -i \.class$ \.jar; 
    http_access allow java;
    http_access allow java_app;
    http_access allow java_vm;
    


  • Um duvida, quando se usa o squidguard la no custon options do squid tem o redirect

    redirect_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

    As acls devem ser colocadas antes dessa linha?



  • @marcosjost:

    Um duvida, quando se usa o squidguard la no custon options do squid tem o redirect

    redirect_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

    As acls devem ser colocadas antes dessa linha?

    Isso



  • mas eu coloco essas acls em custom options e integrations?? antes do redirect?



  • Uso pfSense 2.2.4 com Squid3…essa opção custom options fica a onde ?
    Seria a que está na Aba General do Squid em Custom ACLS (Before_Auth)  ou Custom ACLS (After_Auth) ?



  • @vazjunior:

    Uso pfSense 2.2.4 com Squid3…essa opção custom options fica a onde ?
    Seria a que está na Aba General do Squid em Custom ACLS (Before_Auth)  ou Custom ACLS (After_Auth) ?

    bom, vamos tentar ligar os pontos.  ;)

    O tópico diz: Java fica pedindo credenciais do proxy

    Então em qual campo sua configuração ficaria melhor? No campo de custom acls antes da autenticação(Before_Auth) ou no campo custom acl depois da autenticação(After_Auth)? ::)



  • Olha só, uso Squid 3 + Squidguard e pfSense 2.2.4 e quando incluo essa acl após salvar o Squid não ativa (Start) e consequentemente o Squidguard também não !!! Sabem se a alguma incomparabilidade em aplicar esse tipo de acl no Squid 3 ?



  • acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;
    acl java_vm browser regexp -i Java;
    acl java urlpath_regex -i \.class$ \.jar; 
    http_access allow java;
    http_access allow java_app;
    http_access allow java_vm;
    

    Depois que coloquei esses parâmetros e salvei o squid funcionou, mas reiniciar o squid ou até mesmo o pfsense o squid não starta mais só inicia depois que tira esses parâmetros.



  • Alguém pode dar uma ajuda?



  • Log diz o que?



  • Na verdade monitorei os logs e simplesmente não mostra nada quando aparece a tela de autenticação do java…