Início > Não categorizado > DNS Error ao acessar o plugin de autenticação Google via Internet Explorer com proxy

DNS Error ao acessar o plugin de autenticação Google via Internet Explorer com proxy

Saudações,

Esses dias verifiquei um case interessante para quem gosta de análises de pacote a partir de uma estação Windows.

Usuários de um de nossos clientes não conseguiam se autenticar no google através de um plugin que fica dentro de uma de suas páginas internas.

Para termos uma idéia do fluxo de saída do ambiente:

O acesso a internet chega ao proxy que entrega a cada estação um script de configuração. Este script irá definir se o acesso irá (ou não) passar pelo proxy.

O cliente acessa uma página de sua infra estrutura interna que se tratava de um blog, o qual poderia receber comentários com identificação manual ou através de usuário das redes sociais ou pelo google.

Ao se autenticar por plugins do Facebook, Twitter ou Linkedin o processo ocorria normalmente.

O problema ocorria quando o usuário tentava fazer um comentário se autenticando pelo seu usuário google.

image

Ao clicar no botão acima, em tese, o usuário deveria receber um pop-up solicitando credenciais. No entanto, ao efetuar essa ação, nada ocorria.

Ao analisar log’s de proxy verifiquei que nada ocorria, visto que, o primeiro acesso era uma página interna e o restante sequer passava pelo proxy.

Ao solicitar análise dos responsáveis pelo firewall de borda, verificamos que o acesso, ao invés de ser enviado ao proxy, era enviado diretamente ao firewall que barrava a conexão, uma vez que o mesmo somente permite acesso a internet a partir do IP do proxy.

Como nenhuma ação era logada no proxy, resolvi externder a análise para a estação com nosso querido Network Monitor 4.3!!

Ao carregar a página, a primeira ação é carregar a imagem do botão do plugin (conforme imagem acima). Em seguida um acesso ao endereço accounts.google.com no IP 74.125.130.84.

No momento do acesso ao endereço acima ocorria o DNS Error, ou seja, não era possível resolver o nome. Mais uma vez solicitei um report do responsável pelo firewall de borda e lá constava o IP da estação e a tentativa de acesso ao endereço mencionado com o status “denied”.

Poderiamos encerrar por aqui, solicitando liberação de acesso via firewall, mas, resolvi ir mais a fundo e fazer algo que a muito tempo não fazia…usar outros browsers…só assim poderíamos ter uma idéia mais completa do ocorrdo e matar algumas suspeitas que tive na primeira análise.

Ao fazer o teste usando Google Chrome, vimos que, a conexão inicial chegava ao proxy e não batia no firewall de borda, completando com sucesso o script do botão de autenticação.

Ao analisar o pacote, vimos que, além de fazer o fluxo correto, o Google Chrome enviava a conexão para um outro IP no destino, o qual agora não me lembro.

A partir daí já podemos nos certificar que não se tratava de nenhum impedimento no proxy.

Para finalizar os testes, usei um Firefox da Mozilla. Este browser não tem uma opção de configuração de proxy, pois, o mesmo pega as configurações definidas no Internet Explorer.

Ao testar pelo firefox vimos que, além de completar o fluxo correto, enviando a solicitação ao proxy e não bater o IP da estação no firewall, o IP de destino era o mesmo já citado aqui, o que, de forma defnitiva, nos faz dar o veredito final de que se trata de algo no script do plugin.

Ao solicitar um suporte da Google, recebemos a grande informação de que, “o botão já funciona e nada temos o que mudar ou fazer”.

Realmente uma resposta digna de quem não pensa no futuro, nem em um termo a muito usado pela Microsoft – Interoperabilidade!!

Acho que é hora de nossos colegas MVP’s e/ou PFE’s ensinarem ao google o significado desta palavra.

Nossa resposta ao cliente: Liberar o acesso via firewall para sessões do Internet Explorer.

Espero que o relato possa ajudar.

Abraços

Uilson

Categorias:Não categorizado
  1. Leonardo S. de Lima
    25 de junho de 2013 às 10:43

    Uilson, bom dia. Gostaria de sua opinião a respeito de qual UTM teria melhor desempenho. Andei olhando estes produtos: Shopos antigo Astaro e Fortgate. Temos em torno de 100 usuários internos e 15 acessos RDS. Não estou considerando o TMG pelo processo de descontinuidade que você mencionou dias atrás.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: