407 Proxy Authentication Required; utiliza apt-get tras un proxy ISA con ntlmaps

[Ismael Valladolid Torres]

El escenario es el siguiente; situado tras tu flamante nueva red
corporativa, habiendote sido proporcionada la dirección IP de un
proxy, más el correspondiente identificador de usuario y contraseña
para poder utilizarlo para acceder a Internet, la navegación es
posible utilizando tanto Internet Explorer como Mozilla Firefox. Si
embargo, intentando instalar Debian en tu ordenador, no te es posible
hacerlo aún especificando proxy, usuario y contraseña durante la
instalación. Lo consigues utilizando un CD completo que no requiera
acceso a la red para completarla, pero aún así no es posible obtener
ningún nuevo paquete utilizando apt-get. Esto sucede aún si la
variable de entorno http_proxy ha sido correctamente definida
incluyendo el identificador de usuario y la contraseña proporcionados.
Éste es el mensaje de error devuelto:

  procyon:/home/ismael# export http_proxy=http://ivalladolid:KAFung88@publico2/
  procyon:/home/ismael# apt-get update
  (...)
  Err http://www.debian-multimedia.org unstable/main Packages
  407 Proxy Authentication Required ( El servidor ISA requiere
autorización para completar la petición. Acceso denegado al servicio
de proxy web.  )


La causa de este problema es la implantación en la red corporativa de
un tipo de proxy muy distinto al squid al que los usuarios de sistemas
UNIX llevamos tantos años acostumbrados; un proxy ISA de Microsoft. De
la Wikipedia:

«Microsoft Internet Security and Acceleration Server (ISA Server) es
un firewall de stateful packet inspection (es decir, analiza el
encabezado de los paquetes IP) y de application layer (analizan la
trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA
Server es un firewall de red, VPN y web cache.

Actualmente, ISA Server 2006 es la última versión, manteniendo siempre
el esquema de ediciones estándar y enterprise, y los appliances de
distintos fabricantes de hardware.

A partir de febrero de 2007, Microsoft liberó una edición especial de
ISA Server llamada Intelligent Application Gateway 2007. IAG 2007 es
un servicio de VPN por medio de SSL, además de incorporar políticas de
seguridad como zonas de cuarentena, chequeos de seguridad en las
conexiones entrantes, y definición de perfiles de uso de las
aplicaciones publicadas. IAG 2007 es el producto de la adquisición que
realizó Microsoft de la empresa Whale Communications en Junio de 2006.
Microsoft IAG 2007 solamente está disponible por medio de appliances.»

Aún con lo espectacular de la definición, probablemente el único
criterio adoptado por la mayor parte de las empresas para el
despliegue de este tipo de proxy sea la ventaja asociada a que la
autentificación de salida se realice con los mismos identificadores de
usuario y contraseña que permiten el inicio de sesiones en el dominio
NT.

El artículo completo en [1]Linux AV.

1. http://www.linuxav.net/

Un saludo, Ismael
-- 
Ismael Valladolid Torres                   GnuPG key: DE721AF4

SHS Polar (3.4.3)   Google Talk/Jabber/MSN Messenger: ivalladt en gmail.com
C/ Emilio Vargas 1        Jaiku/Twitter/Skype/Yahoo!: ivalladt
Edif. Fiteni II                              AIM/ICQ: 264472328
28043 Madrid (Spain)

T 0034915153817           http://www.polar.es/
F 0034915153755           http://lamediahostia.blogspot.com
M 0034609884094 (Yoigo)   http://www.flickr.com/photos/ivalladt/

The opinions expressed here represent my own and not those of my employer.
Las opiniones expresadas representan las mías propias y no las de mi empresa.