sexta-feira, 11 de dezembro de 2015

Utilizando Sistemas Linux com o proxy FIREFRONT TMG da Microsoft


Utilizando Sistemas Linux com o proxy FIREFRONT TMG (Micro$oft)

 

O PROBLEMA

 

As bibliotecas de autenticação e criptografia utilizadas no FIREFRONT TMG - NTLM/NTLMv2 (com SSL / TLS), a princípio, são incompatíveis com sistemas Linux!

Por conta disso, serviços Linux que utilizam a internet, como o YUM (sistemas Red Hat e derivados), APT (sistemas Debian e derivados), e até navegadores como Firefox, não conseguem se autenticar corretamente em sistemas Microsoft com esse PROXY específico (na verdade, em uma configuração específica de autenticação), ocasionando erro nas conexões e/ou, até mesmo, a incapacidade de se conectar, caso do YUM e APT!

A SOLUÇÃO


A solução (temporária, ou definitiva (???)), é a utilização de um serviço proxy interno com o recurso de autenticação NTLM/NTLMv2, assumindo a conexão por esses serviços.

O programa em questão é o CNTLM, que providencia autenticação NTLM / NTLMv2, e utilizando-se de um proxy interno, providencia as conexões à internet para os serviços no/do Linux!

Ao instalar o programa, será necessário editar seu arquivo de configuração, onde, deverá ser feita a edição de alguns parâmetros, tais como, usuário, senha, domínio AD, hostname do cliente, e o IP/PORTA do proxy FIREFRONT. A porta padrão (3128) do CNTLM poderá ser mudada, também!

A segunda configuração é no próprio cliente Linux (seus serviços), que deverão "apontar" suas conexões para o proxy interno (no caso, o CNTLM - no endereço 127.0.0.1, e porta 3128).

As variáveis "http_proxy", "https_proxy", "ftp_proxy", "proxy" (para o YUM) e configuração de proxy no(s) navegador(es) deverá(ão) estar "setada(s)" para 127.0.0.1:3128.

O site oficial do projeto é: http://cntlm.sourceforge.net/

O pacote da versão 0.92.3 (mais atual em Dezembro de 2015) para instalação, poderá ser baixado em: http://sourceforge.net/projects/cntlm/files/cntlm/cntlm 200.92.3/

Existem versões do programa para sistemas derivados do Red Hat (.rpm), Debian (.deb), em .tar.gz (fontes). E há, até, uma versão para Windows (.exe)! Há pacotes para 32 e 64 bits!


INSTALAÇÃO e CONFIGURAÇÃO (DEBIAN 7 WHEEZY)


Para instalar o CNTLM, depois de baixá-lo, basta digitar:

root@localhost:~# dpkg -i cntlm_0.92.3_amd64.deb

É possível instalar o CNTLM pelos repositórios oficiais do DEBIAN. Mas, como provavelmente sua máquina não estará passando pelo proxy, você deverá baixar o pacote do site por outra máquina!

E, para editar seu arquivo de configuração:

root@localhost:~# vim /etc/cntlm.conf

Edite os seguintes parâmetros:

Username

→ Usuário utilizado no domínio

Domain

Nome do domínio do proxy


SOBRE SENHAS

Password 

Senha do usuário (para senhas em texto claro)

PassLM / PassNT / PassNTLMv2

É possível utilizar senhas NTLM ou NTLMv2
Senhas geradas com o comando “cntlm -H” (como root)

Workstation

Hostname da máquina Linux cliente

Proxy

IP e porta do proxy FIREFRONT
Poderão ser especificado vários

NoProxy

IPs que não passarão pelo CNTLM (conexão direta)

Listen

IP e porta local do CNTLM


Veja parte do arquivo configurado:

root@localhost:~# vim /etc/cntlm.conf
#
# Cntlm Authentication Proxy Configuration

...(CORTA)...

Username marciocbravim
Domain frotaestelar
Password ncc1701D
...(CORTA)...

Workstation bravimnote
...(CORTA)...

Proxy 10.5.1.115:8080
...(CORTA)...

Listen 3128


Após a edição, basta reiniciar o serviço:

root@localhost:~# invoke-rc.d cntlm restart
Stopping CNTLM Authentication Proxy: cntlm.
Starting CNTLM Authentication Proxy: cntlm.
root@localhost:~#

Após reiniciar o serviço, configure as variáveis de ambiente:

root@localhost:~# export http_proxy=http://127.0.0.1:3128
root@localhost:~# export https_proxy=http://127.0.0.1:3128
root@localhost:~# export ftp_proxy=http://127.0.0.1:3128

Adicione estas linhas no final do arquivo ~/.bashrc. E/Ou, no /etc/bash.bashrc.


Configure o APT para o proxy interno:

root@localhost:~# vim /etc/apt/apt.conf.d/70debconf
...(CORTA)...

Acquire::http::Proxy “http://127.0.0.1:3128”;

Teste o APT!


Configure o navegador ICEWEASEL (FIREFOX) com o proxy interno:



AUTOR:
Marcio C. Bravim (RJ) – Certificado LPI 3 e RHCE
Consultor Linux / Instrutor
marcio.cbravim@yahoo.com.br / @marciocbravim 
Whatsapp (21) 96488-6449