| Exibir mensagem anterior :: Exibir próxima mensagem |
| Autor |
Mensagem |
liocesar
Novato
Registrado em: Sep 14, 2005
Mensagens: 5
|
 Enviada: Qua Ago 09, 2006 5:06 pm Assunto: Squid autenticando no Active Directory |
 |
|
Pessoal ,
Alguem já consegui fazer a autenticaçao do proxy autenticar com os usuarios do AD.
em um servicdor 2000 ou 2003.
Tenho um Fedora 3
e squid funcionando liberado.
Julio Cesar |
|
| Voltar ao Topo |
|
 |
rgto
Moderador
Registrado em: Aug 25, 2005
Mensagens: 647
Localização: Indaiatuba/SP
|
| Enviada: Qua Ago 09, 2006 7:02 pm Assunto: |
|
|
O texto abaixo não é de minha autoria mas acho que se encaixa dentro do que você pergunta, veja:
| Citação: |
O meu cliente, tinha um squid que não tinha autenticação, com lista de sites bloqueados, e bloqueava os usuários pelo IP da máquina, porém os usuários da empresa começou a trocar os Ips e tinham acesso a internet quando queriam. E como não tinha autenticação nos relatórios que o SARG gerava, não dava para saber quem que havia tentado acessar, o que com certeza. Para resolver este problema foi implantada a seguinte solução com o squid:
- Autenticação no Active Directory deles para aproveitar a estrutura que a rede dele já fornecia, e utilizando um módulo do squid que permite que o Internet Explorer ao tentar acessar algum conteudo, utilize o usuário e a senha que foi digitada para
acessar a máquina. Caso for outro navegador, ele vai pedir Nome/Senha/Dominio. Desta maneira será registrado no SARG o nome do usuário.
- Bloqueio dos usuários do Active Directory que não poderiam ter acesso a internet, acabando com o problema de troca de Ips
- Bloqueio tradicional das páginas de acesso proibido.
Este exemplo está em produção, e foi utilizado os seguintes softwares para funcionar. PS: Esta solução foi testada com sucesso no Suse 9.0, Fedora Core 3 , RedHat 3.0 e4.0.
Servidor Proxy - Redhat 4.0 Advanced Server (IP: 10.100.12.103)
Active Directory - Windows 2000 Server (IP: 10.100.12.14, Domínio: CWB, nome da máquina: ad)
Pacotes necessários no Servidor Proxy
SQUID
[root@dhcp103 ~]# rpm -qa | grep squid
squid-2.5.STABLE6-3
SAMBA
[root@dhcp103 ~]# rpm -qa | grep samba
samba-client-3.0.10-1.4E
samba-3.0.10-1.4E
samba-common-3.0.10-1.4E
Configuração dos serviços:
O Samba tem que estar configurado para utilizar o winbind, e fazer requisição de usuário e senha no active directory. Indicando o Domínio, e o passord server (ad) de sua rede.
/etc/samba/smb.conf
[global]
workgroup = CWB
server string = Squid Server
netbios name = squid
log level = 2
log file = /var/log/samba/%m.log
max log size = 50
security = domain
password server = 10.100.12.14
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users =yes
winbind enum groups = yes
template homedir = /dev/null
template shell = /dev/null
winbind use default domain = yes
Configuração do SQUID
O Modulo utilizado ntlm_auth, que permite que o Internet Explorer utilize o usuário e senha utilizados na tela de Login da máquina.
<-- esta marcação indica o que foi alterado no arquivo de configuração.
/etc/squid/squid.conf
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
auth_param ntlm program /usr/lib/squid/ntlm_auth CWB/ad <--
auth_param ntlm children 5 <--
auth_param ntlm max_challenge_reuses 0 <--
auth_param ntlm max_challenge_lifetime 2 minutes <--
auth_param basic program /usr/lib/squid/ntlm_auth CWB/ad <--
auth_param basic children 5 <--
auth_param basic realm Squid proxy-caching web server <--
auth_param basic credentialsttl 2 hours <--
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl usuario proxy_auth REQUIRED <--
acl baduser proxy_auth_regex -i "/etc/squid/baduser" <--
acl liberados url_regex "/etc/squid/liberados" <--
acl bloqueados url_regex "/etc/squid/bloqueados" <--
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny bloqueados !liberados <--
http_access allow localhost
http_access allow usuario !baduser <--
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group nobody
coredump_dir /var/spool/squid
Para testar o funcionamento do Samba, é necessário os seguintes passos.
Iniciar o samba
# /etc/init.d/smb start
Iniciar o winbind
# /etc/init.d/winbind start
Inserir a máquina Squid no servidor 2000
# net join -W CWB -U administrator
CWB - Nome do Domínio
Administrator - Nome do usuário do AD que pode adicionar novas máquinas
Para testar o winbind
[root@dhcp103 init.d]# wbinfo -t
checking the trust secret via RPC calls succeeded
Verificar os usuários do AD
[root@dhcp103 init.d]# wbinfo -u
Administrator
rose
cida
Guest
Agora iniciar o squid.
Antes de iniciar o Squid pela primeira vez, criar os diretórios de cache:
# squid -z
Ai coloque o squid em funcionamento
# /etc/init.d/squid start
Autor: Carlos Alberto Mazzer - cmazzer[@]gmail.com
|
_________________
RODRIGO GUARIENTO
"A única coisa que interfere no meu aprendizado é a minha educação."
http://rguariento.blogspot.com/ |
|
| Voltar ao Topo |
|
|
Lavieri
Novato
Registrado em: Aug 10, 2006
Mensagens: 7
Localização: SP - Capital
|
| Enviada: Qui Ago 10, 2006 5:06 pm Assunto: |
|
|
Outra maneira simples de utilizar a autenticação no squid com usuários do AD é com a ferramenta MSNTAUTH, já disponével no SQUID sua configuração é bem simples.
Cuidado..... nos RPMs do SQUID versão 2.5x essa ferramenta não funciona tive q reconpilar o Squid não mão..... mas vale a pena o MSNTAUTH é show! |
|
| Voltar ao Topo |
|
|
liocesar
Novato
Registrado em: Sep 14, 2005
Mensagens: 5
|
| Enviada: Qui Ago 10, 2006 6:06 pm Assunto: |
|
|
| Como eu Uso o MSNTAUTH ? |
|
| Voltar ao Topo |
|
|
SuperMaurim
Novato
Registrado em: Aug 07, 2006
Mensagens: 5
Localização: Vila Velha - ES
|
| Enviada: Sex Ago 11, 2006 9:31 am Assunto: |
|
|
Eu também estou apanhando do msnt_auth. Copiei meu squid.conf do Red Hat 9 para o FC5 e, a autenticação não funciona. Os sites da lista que criei que não pede autenticação abrem na boa mas, aqueles com autenticação não passam. Acredito que há algum problema no msnt_auth ou o squid ou os dois. Configurei o arquivo /etc/hosts com o ip e o nome NetBios do meu servidor AD e editei direitinho o arquivo /etc/squid/msntauth.conf. Fiz testes de ping entre o servidor AD e o FC5 e pinga na boa. Meu squid foi instalado do DVD do FC5, o 2.5 Stable 12.rpm.
Um amigo me disse que pode ser o selinux mas, ao tentar desinstalar os pacotes do selinux o FC5 não deixou alegando que o selinux era necessário para a execução de um monte de coisa que tá rodando lá.
PELO AMOR DE DEUS, será que alguém pode me ajudar ???? |
|
| Voltar ao Topo |
|
|
Lavieri
Novato
Registrado em: Aug 10, 2006
Mensagens: 7
Localização: SP - Capital
|
| Enviada: Seg Ago 14, 2006 1:04 pm Assunto: MSNT-AUTH |
|
|
Como eu havia dito....... encontrei problemas em usar o SQUID + MSNT_AUTH via RPM nos FC4 e FC5........ tive que compilar o source ai funcionou..... segue abaixo modelos de configuração.
msntauth.conf
#server my_PDC my_BDC my_NTdomain
server saturno mercurio empresa.local
obs: resolver os nomes dos PDC e BDC nos /etc/hosts
squid.conf
auth_param basic program /usr/local/squid/libexec/msnt_auth
auth_param basic children 5
auth_param basic realm "Empresa - Autenticacao Internet"
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
acl autentica proxy_auth REQUIRED
acl gerentes proxy_auth -i "/etc/squid/gerentes.txt"
http_access allow gerentes autentica
gerentes.txt
pedro
paulo
maria |
|
| Voltar ao Topo |
|
|
SuperMaurim
Novato
Registrado em: Aug 07, 2006
Mensagens: 5
Localização: Vila Velha - ES
|
| Enviada: Qua Ago 16, 2006 1:41 pm Assunto: |
|
|
Obrigado meu amigo mas, se eu tiver que compilar o squid na mão, eu cairei em outro problema.
O meu squid.conf está igual ao seu. Visualizei o arquivo cache.log em /var/log/squid e lá estava: Cannot run '/usr/lib/squid/msnt_auth' process.
Eu já tentei outras vezes compilar o squid manualmente mas nunca consegui. Nunca consigo realizar os comandos corretamente, aqueles --enable's me confundem a cabeça. Se alguém puder me ajudar, com bastante detalhes destes --enable's eu agradeceria MUITO. |
|
| Voltar ao Topo |
|
|
SuperMaurim
Novato
Registrado em: Aug 07, 2006
Mensagens: 5
Localização: Vila Velha - ES
|
| Enviada: Qua Ago 16, 2006 3:16 pm Assunto: |
|
|
Caro amigo Lavieri,
muito obrigado pela sua ajuda. Consegui resolver o problema. O que causava isso era o selinux. Desativei e funcionou perfeitamente.
Veja o tópico: http://www.fedora.org.br/post15675.html#15675 |
|
| Voltar ao Topo |
|
|
Lavieri
Novato
Registrado em: Aug 10, 2006
Mensagens: 7
Localização: SP - Capital
|
| Enviada: Seg Ago 28, 2006 12:50 pm Assunto: |
|
|
Mil desculpas,
Esqueci desse grande detalhe também...... o SELinux deve ser desativado para rodar o Squid com perfeição.....!
At.
William Lavieri.
www.secofficer.com.br |
|
| Voltar ao Topo |
|
|
EhFoda
Novato
Registrado em: Aug 02, 2006
Mensagens: 5
|
| Enviada: Seg Out 02, 2006 3:17 pm Assunto: |
|
|
| gostei do msntauth... consigui configura aki e ta dando certo vlw! |
|
| Voltar ao Topo |
|
|
liocesar
Novato
Registrado em: Sep 14, 2005
Mensagens: 5
|
| Enviada: Seg Mar 19, 2007 6:49 pm Assunto: |
|
|
Pessoal eu consegui auyenticar os usuários no Ad com o MSNTAUTH.
O Problema agora é que não consigo bloquear nenhum site pois as minhas acl´s não funcionam.
vou postar meu squid.conf aqui talvez alguem encontre algum erro.
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
####### AUTENTICACÃO - AD - SERVER01 ###########
auth_param basic children 5
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive on
auth_param basic program /usr/lib/squid/msnt_auth
auth_param basic realm Controle de Internet
#########################################
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#### ACLS's PADRÕES ###########################
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
##################################
acl usuarios_autenticados proxy_auth REQUIRED
acl all src 192.168.x.x/255.255.255.0
acl diretoria proxy_auth_regex "/etc/squid/arquivos/diretoria"
acl extensoes url_regex -i "/etc/squid/arquivos/extensoes"
acl liberados url_regex -i "/etc/squid/arquivos/sitesliberados"
acl blq_palavras url_regex -i "/etc/squid/arquivos/palavras"
acl dominios srcdom_regex "/etc/squid/arquivos/dominiosliberados"
acl cscaixa url_regex "/etc/squid/arquivos/cscaixa"
###### HTTP ACCESS Liberados #############
http_access allow diretoria
http_access allow liberados
http_access allow dominios
http_access deny blq_palavras
######### HTTP ACCESS Bloqueados #############
http_access deny extensoes
http_access allow QUERY localhost
####### Conectividade Social ####################
no_cache deny cscaixa
always_direct allow cscaixa
http_access allow QUERY
http_access allow !Safe_ports
## HTTP ACCESS PADRÃO ######################
http_access allow CONNECT !SSL_ports
http_access allow cscaixa
http_reply_access allow all
icp_access allow all
error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid |
|
| Voltar ao Topo |
|
|
|
FAQ
Pesquisar
Grupos
Perfil
Entrar e ver Mensagens Particulares
Login
