Squid3 autenticadono AD
Leandro Moreira
Sei que esse é uma assunto meio batido na lista mas todas as configurações que testei no squid nao deram certo, estou com um debian lendo a base de usuários de um AD 2008, mas as configurações que eu usei nenhuma funcionam no squid.
Estou usando samba+winbind, pois preciso que o usuário ao logar ja log no proxy.
Alguem pode me enviar as configurações do squid, abaixo segue alguams documentações que eu segui:
http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/?pagina=3
http://www.vivaolinux.com.br/artigo/Squid-+-Winbind-+-Samba-no-AD-Autenticando-por-grupos/?pagina=3
http://www.vivaolinux.com.br/artigo/SQUID-e-as-autenticacoes-em-NTLM-e-RADIUS/
http://www.vivaolinux.com.br/artigo/Squid-Plus-2007-para-Debian-4/
Att.
--
Leandro Moreira
Linux Administrator: LPIC-1
e-mail/msn: lea...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
hamacker
#
# Autenticacao no Win2008
#
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b
"dc=dominio,dc=com,dc=br" -D
"CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br" -w
"senha-do-puser-proxy_internet" -f sAMAccountName=%s -h 192.168.1.10
auth_param basic children 5
auth_param basic realm Servidor de proxy da rede
auth_param basic credentialsttl 2 hours
No win2008, voce tem que ter um o usuário canônico
"CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br"
[]'s
2009/11/25 Leandro Moreira <lea...@leandromoreira.eti.br>:
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
hamacker
nome e a senha, e se ele responder "OK" siginifica que autenticacao tá
funcionando :
---- TESTE ----
# /usr/lib/squid3/squid_ldap_auth -R -b "dc=dominio,dc=com,dc=br" -D
"CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br" -w "senha" -f
sAMAccountName=%s -h 192.168.1.10
hamacker senhaerrada
ERR Success
hamacker senhacerta
OK
---- FIM DO TESTE ----
[]'s
2009/11/25 Leandro Moreira <lea...@leandromoreira.eti.br>:
> Hamacker,
> Ao rodar o comando:
>
> /usr/lib/squid3/squid_ldap_auth -R -b "dc=dominio,dc=local" -D
> "CN=squid,CN=Users,DC=dominio,dc=local" -w "Proxy2009" -f sAMAccountName=%s
> -h 172.16.10.254
>
> No shell ele retornaria algum tipo de resposta, pois nao obtive responsta
> alguma, precisa de mais alguma configuração além daquelas que voce me
> enviou, tipo http_access ou coisa parecida.
>
> PS: squid é o usuário canonico que eu criei.
>
> Att.
>
> Leandro Moreira
>
>
>
>
>
> 2009/11/25 hamacker <sirha...@gmail.com>
>>
>> Nao.
>> Um usuario simples, apenas para o squid fazer a autenticacao de teste.
>>
>> 2009/11/25 Leandro Moreira <lea...@leandromoreira.eti.br>:
>> > Hamacker,
>> > Esse usuário canonico precisa estar no grupo do administrador, ou ter
>> > pemissões de administrador?
>> >
>> > Att.
>> >
>> > Leandro Moreira.
>> >
>> > 2009/11/25 hamacker <sirha...@gmail.com>
Leandro Moreira
Por acaso voce conhece uma forma de eu verificar esse usuário no AD pra ver se ele esta criado da maneira correta, eu entendo mto pouco de windows e o admin windows daqui nao soube me dizer de esta ou nao correto.
Nao consigo atutenticar via linha de comando nem com o administrador do windows.
Att.
Leandro Moreira.
Hamacker,
Por acaso voce conhece uma forma de eu verificar esse usuário no AD pra ver se ele esta criado da maneira correta, eu entendo mto pouco de windows e o adminim windows daqui nao soube me dizer de esta ou nao correto.
Att.
Leandro Moreira.2009/11/25 hamacker <sirha...@gmail.com>Pode ser qualquer logon no seu AD.
Apenas esteja certo de que o logon canonico esteja correto, pois
quando patinei era justamente isso.
Por gentileza, não me envie repostas em PVT a menos que necessário.
Nasceu na lista, morre na lista.
> O meu usuário canonico é o squid, tem por acaso o login dele tem q ser
> proxy_internet, pois quanto faço o teste na linha de comando, o cursor fica
> piscando embaixo e nao pede nem login nem senha, saindo com CTRL + C.
>
> Att.
>
> Leandro
>
>
> 2009/11/25 hamacker <sirha...@gmail.com>
Leandro Moreira
Pesquizanado na lista lebrei que voce ja tinha em um post anterior enviado esse comando, seque abaixo sua saida:
C:\Users\Administrador>dsquery user -name
"CN=squid,CN=Users,DC=Lealtech,DC=local"
Pelo que nos conversamos esta tudo certo, quando rodo wbinfom -u ele retorna todos os usuáruis sem problema algum. Não estou entendendo porque ele nao pede login/senha, caso tenha mais alguma sugestão, estou eu te agradeço.
Luiz Henrique
Segue configuração que utilizo no squid 2 com samba + winbind, acredito que poucas modificações sejam necessárias para o squid 3:
# relevante para autenticação
auth_param ntlm program /opt/csw/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500
auth_param ntlm max_challenge_reuses 500
auth_param ntlm max_challenge_lifetime 120 minutes
authenticate_ttl 3 hours
auth_param ntlm use_ntlm_negotiate on
auth_param ntlm keep_alive on
# acl para logins
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
http_access deny all
Não esqueça de mudar o caminho do executável ntlm_auth, outro detalhe é que o usuário do squid tem ter permissão no socket winbindd_privileged/pipe .
[]'s
--
Luiz Henrique.
hamacker
Se funciona para mim, tem de funcionar para você.
Em termos de Debian, estou até desatualizado (etch, 4.0), mas o squid
tá atualizadissimo, usando o SQUID2, eu não tive sucesso com nenhum
artigo da internet, foi apenas com o squid3 que passou a autenticar
certinho.
[]'s
Leandro Moreira
Estou usando squid3 a unica diferença e q estou usando o leny ao invez do etch.
Por acaso teria a possibilidade eu te enviar os meus arquivos de configuração do samba e kerberos pra voce da uma olhada ou me enviar os seus pra eu comprar com o meu.
Att.
Leandro Moreira.
Leandro Moreira
Poderia me tirar uma duvida por favor, no seu cenário, quanto os clientes abrem o browser abre alguma caixa de autenticar ou ao logar no computador o usuário esta logado automaticamente para internet.
Att.
Leandro Moreira.
hamacker
internet por MacAddress previamente configurado, outros endereços são
abertos (não requer login) e para o restante depente da autenticacao.
Por exemplo, a ACL :
##################
# ADMINSTRADORES #
##################
acl password proxy_auth REQUIRED
acl usuarios_administradores proxy_auth
"/etc/squid3/usuarios_administradores.txt"
Aqui, estou dizendo que uma ACL "usuarios_administradores" que contém
nome de pessoas estao no arquivo
"/etc/squid3/usuarios_administradores.txt", cujo conteúdo é :
$cat /etc/squid3/usuarios_administradores.txt
pierre
sergio
suporte
hamacker
Tem outros grupos diferentes e voce irá perceber, isso é feito porque
eu tenho de determinar quem dentro do AD é administrador para acessar
a internet e poder fazer downloads de .exe/mp3/avi/..., algo que é
proibido para demais usuários.
Aí tem ACLs que descrevem sites que podem ter seu acesso independente
sempre livre :
# cat /etc/squid3/sites_governo.txt
sptrans.com.br
certisign.com.br
serasa.com.br
ventlesto.com.br
gov.br
org.br
mpas.gov
Tem outras listas tambem.
Depois eu começo a brincar com o http_acces que é de fato quem deixa
passar ou não pela internet, a sequencia de permissões é de cima para
baixo :
#########################################
# Administradores nao possuem restricao #
#########################################
http_access allow usuarios_administradores
####################################################
# Grupos de pessoas com acessos totais ou parciais #
####################################################
http_access allow usuarios_governo vidy_sites_governo
!empresa_sites_exclusivo_almoco
http_access allow empresa_sites_download
http_access deny empresa_ext_proibidas
http_access deny empresa_sites_proibidos empresa_sites_exclusivo_almoco
http_access allow usuarios_acesso_total !empresa_ext_proibidas
!empresa_sites_exclusivo_almoco
http_access allow usuarios_acesso_avulso !empresa_ext_proibidas
!empresa_sites_exclusivo_almoco
http_access deny all
Por isso que eu disse noutro email, que primeiro voce deveria tentar a
autenticacao pura e simples com o :
/usr/lib/squid3/squid_ldap_auth -R -b "dc=dominio,dc=com,dc=br" -D
"CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br" -w "senha" -f
sAMAccountName=%s -h 192.168.1.10
Quando voce tiver passado com a autenticacao, não se preocupa, pois a
lista de discussão lhe ajudará com o resto.
Só partir para o squid.conf sabendo que a autenticacao sem o squid
está normal. Pois, no squid.conf pode haver linhas que podem tornar
obrigatório a autenticacao ou nao, aí depende de cada necessidade, por
exemplo, no nosso horario de almoço os usuários podiam navegar sem
autenticar-se, mas mudamos essa regra recentemente por causa de alguns
que abusam do anonimato. O legal do squid é poder personalizar.
[]'s
2009/11/27 Leandro Moreira <lea...@leandromoreira.eti.br>: