SQUID TCP_DENIED/407 NTLM



  • Estou utilizando pfsense 2.2.6 autenticado com ntlm.
    funcionando tudo ok, porem em alguns instantes aparece TCP_DENIED/407, mesmo eu nao tendo nenhuma tipo de bloqueio ainda.
    Identifiquei que o 407 se trata de erro de autenticação.
    Entao alguma dica



  • Esse erro aparece sempre que o squid está esperando a resposta do ad via winbind.



  • Conseguiu resolver o problema? Estou com o mesmo…



  • @ricardoteixxeira:

    Conseguiu resolver o problema? Estou com o mesmo…

    Isso é "defeito" do ntlm. Desde sempre existiu e acredito que nunca vai deixar de existir. Até o ad devolver a resposta de autenticação o squid não tem outra opção a não ser negar com o 407



  • Ok obrigado Marcelo. Fiz nova instalação do pfSense com a versão 2.2.5 e funcionou normalmente com autenticação ntlm no mesmo AD.

    @marcelloc:

    @ricardoteixxeira:

    Conseguiu resolver o problema? Estou com o mesmo…

    Isso é "defeito" do ntlm. Desde sempre existiu e acredito que nunca vai deixar de existir. Até o ad devolver a resposta de autenticação o squid não tem outra opção a não ser negar com o 407



  • Com o plugin firebug do firefox habilitado na aba rede, você consegue ver o processo de autenticação fluindo entre o navegador e o dc/proxy.



  • @marcelloc:

    Esse erro aparece sempre que o squid está esperando a resposta do ad via winbind.

    Ola caro marcelloc, admiro muito seu trabalho. Sobre esse assunto, na página do squid-cache.org (http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm) possui uma nota no final:

    Note that when using NTLM authentication, you will see two "TCP_DENIED/407" entries in access.log for every request. This is due to the challenge-response process of NTLM.

    traduzindo no google heheh: Note-se que ao utilizar a autenticação NTLM, você vai ver duas "TCP_DENIED / 407" entradas no access.log para cada solicitação. Isto é devido ao processo de desafio-resposta de NTLM.

    não entendi direito se eles estão apenas alertando que vai ter duas entradas ou se é uma dica para solucionar isso..

    neste site fala sobre um parâmetro para habilitar juntamente com o squid, http://www.flatmtn.com/article/setting-squid-ntlm-auth

    tem alguma coisa a ver?

    Desculpe se falei besteira.

    Abraços



  • @digaovaa:

    não entendi direito se eles estão apenas alertando que vai ter duas entradas ou se é uma dica para solucionar isso..

    Como postei um pouco mais pra cima, isso é uma característica dessa autenticação. Até o AD responder a requisição, você vai receber esses 407.



  • @marcelloc:

    @digaovaa:

    não entendi direito se eles estão apenas alertando que vai ter duas entradas ou se é uma dica para solucionar isso..

    Como postei um pouco mais pra cima, isso é uma característica dessa autenticação. Até o AD responder a requisição, você vai receber esses 407.

    Perfeito, obrigado.


Log in to reply