Squid Plus com AD, redirector, controle de banda e relatórios

Instalação do SQUID usando o AD (usuários e grupos) com filtro de conteúdo usando o redirector, compatibilidade com o BIGBLACKLIST. controle de banda, logs de acesso em MySQL, aplicação de relatório em PHP.

[ Hits: 172.588 ]

Por: Alvaro Mendes de Oliveira em 01/06/2006 | Blog: http://alvaro.mendes.oliveira.nom.br


Instalando o Samba 3



O Samba 3 será baixado da Internet e compilado manualmente com as opções necessárias. Do pacote do Samba, só precisaremos do WINBINDD, pois ele é o responsável por fazer a autenticação usando NTLM.

# cd /usr/local/src
# wget
http://us5.samba.org/samba/ftp/stable/samba-3.0.21c.tar.gz
# tar xvfz samba-3.0.21c.tar.gz
# cd samba-3.0.21c/source


Configurando as opções desejadas do Samba:

# ./configure --bindir=/bin \
--sbindir=/usr/sbin \
--with-winbind --with-winbind-auth-challenge


Compilando e instalando:

# make
# make install


Instalação de biblioteca para o nsswitch:

# cd nsswitch
# cp libnss_winbind.so /lib
# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2


Inicialização:

# cd ../..
# cp packaging/Debian/debian-sarge/winbind.init /etc/init.d/winbind
# chmod 755 /etc/init.d/winbind


Configuração do Samba:

No arquivo smb.conf, substitua os parâmetros logo abaixo, pelos que representam sua rede:
  • workgroup = nome NETBIOS de seu domínio;
  • server string = comentário que identifica seu servidor de proxy;
  • netbios name = nome NETBIOS de seu servidor de proxy.

Neste exemplo o nome NETBIOS do:
  • Domínio = SMS
  • Servidor de Proxy = SRVPROXY

# vi /usr/local/samba/lib/smb.conf

[global]
       workgroup = SMS
       server string = Servidor de Proxy
       netbios name = SRVPROXY
       log file = /var/log/samba/%m.log
       max log size = 50
       debug level = 1
       security = domain
       encrypt passwords = yes
       smb passwd file = /etc/samba/smbpasswd
       username map = /etc/samba/smbusers
       socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
       unix charset = iso-8859-1

       password server = *
       winbind uid = 10000-20000
       winbind gid = 10000-20000
       winbind enum users = yes
       winbind enum groups = yes
       template homedir = /dev/null
       template shell = /dev/null
       winbind use default domain = yes

       passdb backend = smbpasswd

[homes]
       comment = Home Directories
       browseable = no
       writable = yes

Criando alias por questões de funcionalidades:

# ln -s /usr/local/samba/lib/smb.conf /etc/smb.conf

Agora que tudo já está configurado, iremos adicionar nosso servidor de proxy ao domínio, usando o comando net do pacote do Samba3:

net rpc join DOMÍNIO -S server -Uadministrator

Ex:

# net rpc join SMS -S smscpds03 -Ualvaromo
password:
Joined domain SMS.

Pronto! Máquina adicionada ao domínio.

Inicializando o winbind:

# /etc/init.d/winbind start

Testando o funcionamento do winbind:

# wbinfo -t
checking the trust secret via RPC calls succeeded

Se a mensagem acima apareceu, tudo Ok, senão, revise os passos.

Configurando o nsswitch (adicionar winbind em passwd e group):

# vi /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind

Testando sua instalação:

Exibir todos as contas do domínio:

# getent passwd

Exibir todos os grupos do domínio:

# getent group

Pronto! O Samba3 está instalado.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Início
   3. Instalando o Samba 3
   4. Instalando o Squid 2.5
   5. Instalando o redirector (filtro de conteúdo)
   6. Instalando o squidlogtomysql
   7. Relatórios de uso da Internet
   8. Controle de banda
   9. Fim
Outros artigos deste autor

Squid Plus 2007 para Debian 4

Leitura recomendada

Proxy transparente com Squid 2.6 e FWBuilder

Squid transparente com cache de arquivos + Windows Update + taxa de transferência em downloads

Tutorial de instalação do Squid no CentOS

Squid autenticando no Windows utilizando grupos do AD

Squid autenticando com firewall x CNS e conexão segura da Caixa

  
Comentários
[1] Comentário enviado por thelinux em 01/06/2006 - 17:16h

Parabéns Alvaro. Muito bom mesmo.
Pessoal usem pois funciona. Já conheço este tuto.

[2] Comentário enviado por RaiD_Zer0 em 01/06/2006 - 19:42h

Velho, você poderia ser mais explicativo com relação a essas regras de delay pool para aqueles com menos conhecimento sobre o assunto.

[3] Comentário enviado por cesarmoura em 02/06/2006 - 16:55h

110% esse tuto!
Parabéns

[4] Comentário enviado por albertgebien em 02/06/2006 - 17:16h

mto bom... parabens!

[5] Comentário enviado por rdaraujo em 02/06/2006 - 22:47h

Tutorial extremamente util!!
Necessario alguns anos de experiencia pra chegar essa receita hein?!

E isso:
"Acessando os relatórios via IE (The Best Browser!)"
é serio mesmo??

Abraços.

[6] Comentário enviado por andredeo em 05/06/2006 - 15:29h

PS 1: Pessoal não consigo baixar o Redirector
PS 2: Alguém conhece algo do gênero para Oracle???

[7] Comentário enviado por alvaromo em 06/06/2006 - 08:49h

O servidor de ftp só aceita conexões não passiva.
De qualquer modo, acesse através deste caminho:
http://alvaro.mendes.oliveira.nom.br/redirector/

[8] Comentário enviado por andredeo em 06/06/2006 - 09:06h

Pessoal além de responder aqui o Alvaro me respondeu via e-mail também...
Parabéns Alvaro.
Abraço,
André Déo

[9] Comentário enviado por lakn em 19/06/2006 - 14:51h

galera fiz todos os passo do tutorial ate o primeiro squid -k reconfigure após adicionar a TAG redirector e estou obtendo o seguinte erro ao executar o squid -k:

squid: ERROR: Could not send signal 1 to process 15911: (3) No such process


alguem sabe como consertar?

[10] Comentário enviado por lakn em 19/06/2006 - 15:08h

Parabens Alvaro!!!! obrigado pela resposta imediata!! Porém ainda não deu certo. Verifiquei aqui que meu squid está 'morrendo' rsrsrs qdo executo squid e dou ps ax vejo que ele carrega, mas depois morre

[11] Comentário enviado por douglasfabiano em 10/07/2006 - 17:07h

Boa tarde,
Parabens pelo post, gostaria de saber se tem como configurar somente o squid log to mysql, pois ja tenho todo o ambiente configurado, Mysql 5 + php 5, + squid e sarg. tentei fazer e na hora de rodar o squidlogtomysql da arquivo de configuracao invalido..

abraços

douglas

[12] Comentário enviado por gersonraymond em 27/07/2006 - 21:12h

Alvaro, muito bom este artigo, você está de parabéns, realmente ele é super completo. 1000000000000...%

[13] Comentário enviado por projetodigital em 01/09/2006 - 17:32h

Olá Alvaro, estou com os seguintes probleamas:
1º Meu squid está configurado para autenticar via mysql_auth, so que no momento em que coloco a linha do redirector la no squid.conf ele nao pede mais autenticacao. O que devo fazer?
2º quando rodo o squidlogtomysql /var/log/squid/access.log, ele da o seguinte erro Error: config file not found.

[14] Comentário enviado por tdurante em 14/09/2006 - 16:29h

Alvaro, parabéns pelo artigo, muito bom mesmo!
Eu gostaria de saber se essa autenticação é possível usando proxy transparente.. e se sim, como pode ser feito. Você tem alguma dica para me dar?
Desde já agradeço! Muito obrigado! Abraço!

Tiago Durante

[15] Comentário enviado por alvaromo em 15/09/2006 - 08:16h

Tiago,

Infelizmente a autenticação não está disponível com a autenticação, mas o redirector pode ser usado sem problema algum com este modo.

Alvaro

[16] Comentário enviado por tdurante em 15/09/2006 - 12:33h

Oi Alvaro!

O proxy transparente não funciona com autenticação... É isso que vc quis dizer ne? =)

Beleza! Valeu pela dica!

Abraços
Tiago Durante

[17] Comentário enviado por Bique em 22/09/2006 - 12:14h

Alvaro parabens.

Esta integracao por acaso corre com o Windows 2003 SP1? Pelos meus testes nao tenho conseguido mas com o roll back sem SP1 do W2k3 funciona. Tens alguma ideia? Mas claro se a autenticacao for so em basic tudo funciona perfeitamente mas obriga-me que cada user insira o user e password cada vez que tenta ir a net. Alguem me pode dar uma luz?

Abracos

[18] Comentário enviado por alvaromo em 22/09/2006 - 12:23h

Este meu tutorial usa no samba a diretiva security=domain, mas para o 2003 (e aqui eu uso assim), é melhor usar a diretiva com security=ads, que irá trabalhar com o protocolo kerberos, mas exige umas configurações diferente desta, mas nada complicado.

[19] Comentário enviado por Bique em 23/09/2006 - 10:18h

Thx vou tentar ver se o bicho pega. Mas o maior problema e que no SP1 do W2k3 a microsoft alterou o hash de encriptacao de envio das passwords.

MC

[20] Comentário enviado por fabianotecnico em 27/10/2006 - 16:49h

CARA
ESSE APLICAÇÃO ESTÁ FORA DO AR:

wget ftp://200.164.88.171/proxy-report.tar.gz

COMO FAÇO PÁRA ACHAR ISSO.
NO AGUARDO
FABIANO
SE ALGUEM TIVER ME MANDE NO EMAIL:
fabianotecnico@gmail.com

valeu!

[21] Comentário enviado por jandis em 29/11/2006 - 16:42h

Alvaro.

Você pode me ajudar.

Fiz toda a configuração do squid correta mas quando mando executar o squid ele aparece essa mensagem:

FATAL: BUNGLED squid.conf line 1665: external_acl_type NT_global_group children= 10 %

Você sabe o que pode estar errado??

OBrigado

[22] Comentário enviado por maxsuel_linux em 12/01/2007 - 11:30h

Cara muito bacana!!!!
Muito bom mesmo, obrigado apesar de eu não ter conseguido configurar certinho mais veleu muito sua ajuda foi 10 não melhor 100000000000000000 é tudo isso e mais um pouco vlw.

[23] Comentário enviado por manifest em 21/01/2007 - 22:33h

Cara mto bom o artigo, q soh eu toh com um pequeno problema o squid tah registrando o usuario do w2k3, soh q o usuario soh fika com acesso negado. jah habilitei td. Alguem teria alguma ideia do q eu posso fazer? pq eu toh sofrendo...

Vlw ai pelo artigo..

Obrigado
JamesLima

[24] Comentário enviado por manifest em 22/01/2007 - 10:07h

Bom jah consegui resolver o problema hehe, troquei a linha

external_acl_type NT_global_group children=10 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl

por

external_acl_type NT_global_group concurrency=35 %LOGIN
/usr/local/squid/libexec/wbinfo_group.pl
ai funcionou blz..

Vlw :D

JamesLima

[25] Comentário enviado por dmmlopes em 31/01/2007 - 17:36h

UM DESAFIO PRA TODOS VCS !!!!!

Estou com o squid e iptables instalados..
Está tudo funcionando perfeitamente com autenticação....criei uma acl badwords, baddomains e inclui vária palavras e varios dominios e neguei o uso, posteriormente criei uma acl valid domains e inclui os nomes de dominios válidos que eu quero que o usuário tenha acesso, na sequencia criei uma outra acl users com os nomes dos usuários permitindo a navegação ... até ai tudo bem, todo o dominio ou palavra que contiver nas acls criadas ele bloqueará, agora as que não estão listadas nos arquivos badwords e baddomains ele navega normal ai está a chave da questão... como faço para esses usuários usarem somente os sites na qual eu liberei na acl validdomains ????

Ex:

acl badwords url_regex"/etc/squid/badwords"
acl baddomains dstdomain "/etc/squid/baddomains"
acl validdomains dstdomain"/etc/squid/validdomains"
acl users proxy_auth "/etc/squid/users"

http_access deny badwords
http_access deny baddomains
http_access allow validdomains
http_access allow users

Para resolver essa questão pensei em criar grupos de usuários mas não tentei ainda...

[26] Comentário enviado por netosdr em 11/03/2007 - 09:22h

Olá Álvaro,

Primeiramente gostaria parabenizar o colega Álvaro pela iniciativa, é de grande valia para nós administradores, uma interface Web para este controle irá realmente fazer a diferença.

Em segundo lugar gostaria de comentar uns problemas que tive com a instalação do redirector:
01) As vezes quando está se navegando simplesmente ao clicar em algum link de alguma página, ele mostra uma mensagem de bloqueio (como se aquele link fosse bloqueado) mas tem um detalhe: o usuário e URL que aparecem na mensagem não tem nada a ver com o usuário e URL em questão.
02) Quando clicamos em uma URL bloqueada ou a digitamos no navegador, ele aparece a mensagem no navegador, aquela direcionada para err_access_denied.php. Até aí tudo bem. Mas se clicarmos algumas vezes novamente na URL o redirector simplesmente libera o acesso a URL.

Gostaria de saber se o colega ou alguém passou por situação semelhante e como resolver.

Um abraço e obrigado!

[27] Comentário enviado por manoel-ramos em 13/03/2007 - 14:27h

Melhor artigo do viva o linux!


Tudo funciona perfeitamente.

Muito obrigado por este artigo.

[28] Comentário enviado por thightm em 21/03/2007 - 12:25h

Gostei muito do seu artigo. Implementei ele achei muito bom o seu funcionamento.

[29] Comentário enviado por OrJuNiOr em 26/03/2007 - 20:03h

pw, sou novo no linux, vc pode me ajudar
estou querendo criar um servidor de rede bo linux SUSE 10.1!
como faço para criar um sistema de autenticaçao de usuarios pelo
squid
vleu

[30] Comentário enviado por floydaniel em 03/05/2007 - 17:59h

fala meu amigo td bem...

estou querendo fazer isso com um server suse... vc tem alguma coisa ai q possa publicar como fez neste ... para ele...

tipo assim..

conectar a net
proxy/cache
controle de banda


valeu

[31] Comentário enviado por kblocat em 09/06/2007 - 12:08h

Alvaro, gostaria de saber se a janela popup de senha abre ou a autenticação do usuário é transparente....aqui mesmo o cara estando logado no AD, a telinha abre pedindo login e senha. Tem alguma dica ? Uso o squid 2.6 e debian 4.0....preciso fazer a correção do wbinfo indicada ?

Obrigado...


[32] Comentário enviado por cfernandes em 18/06/2007 - 09:47h

Alvaro, gostaria de saber se o redirector está disponivel para freebsd

[33] Comentário enviado por rtcouto em 18/06/2007 - 13:20h

Olá Alvaro, Boa Tarde!

Brigado pelas dicas, mas eu não consigo fazer funcionar o squid, eu tenho ele já configurado no dir etc/squid/squid.conf, mas não sei como faze-lo rodar! neste mesmo dir tenho uns arquivios: porn,porn1, bad_sites e outros! o squid -k reconfigure não funciona! e acho q eu não tenho o redirector! eu trabalho com o linux conectiva 8, se alguém puder me auxiliar!

obrigado!

[34] Comentário enviado por adrianoturbo em 26/06/2007 - 21:35h

Valeu pelas dicas.

[35] Comentário enviado por adelta em 18/01/2008 - 14:05h

Show de bola! Parabéns!

[36] Comentário enviado por celsof2 em 27/03/2008 - 22:48h

esta otimo o art

[37] Comentário enviado por celsof2 em 27/03/2008 - 23:00h

blz

[38] Comentário enviado por arleinalesso em 10/07/2008 - 21:58h

Estou com um problema .
No log do squid aparece a mensagem
2008/07/10 08:47:13| Set Current Directory to /var/spool/squid
2008/07/10 08:47:13| Loaded Icons.
2008/07/10 08:47:13| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 36.
2008/07/10 08:47:13| Accepting ICP messages at 0.0.0.0, port 3130, FD 37.
2008/07/10 08:47:13| WCCP Disabled.
2008/07/10 08:47:13| Ready to serve requests.
2008/07/10 08:47:13| WARNING: NT_global_group #10 (FD 30) exited
2008/07/10 08:47:13| WARNING: NT_global_group #9 (FD 29) exited
2008/07/10 08:47:13| WARNING: NT_global_group #8 (FD 28) exited
2008/07/10 08:47:13| WARNING: NT_global_group #7 (FD 27) exited
2008/07/10 08:47:13| WARNING: NT_global_group #6 (FD 26) exited
2008/07/10 08:47:13| Too few NT_global_group processes are running
FATAL: The NT_global_group helpers are crashing too rapidly, need help!

O que pode ser? Alguém pode me ajudar?

[39] Comentário enviado por fsm109 em 14/07/2008 - 14:51h

?comentario=Nã estou conseguindo um link válido para baixar o redirect, por favor me ajudem!?!?

[40] Comentário enviado por fsm109 em 14/07/2008 - 14:53h

Preciso de um link válido para baixar o Redirector, os links aqui postados não estão funcionando?!?! Alguém poderia me judar.
Fabiano.

[41] Comentário enviado por danieLslayeR em 18/11/2008 - 11:31h

Fale galera!
Eu tive o mesmo problema e enviei um email para o Álvaro e ele já consertou os links.
Acho que já podem tentar novamente.
Abraço.

[42] Comentário enviado por rodrigodsma em 02/02/2009 - 15:03h

Alvaro boa tarde
Fiz essa configuração toda , e o meu redirector estava funcionando normal, outro dia cheguei para trabalhar o servidor estava travado, reiniciei o servidor, quando subiu o redirector ja não estava mais funcionando , a configuração e a mesma, minha internet so funciona quando comento a linha do redirector no squid.conf , se descomentar e restart o squid, para novamente, alguem tem uma luz , pois o povo ja esta abusando , 2 dias sem o redirector. grato desde ja
a linha q tenho q deixa comentada e a seguinte :#redirect_program /sbin/redirector ads audio-video blocked hacking jogos porn proxy
para deixar funcionando ,porem estou o redirector .
Rodrigo

[43] Comentário enviado por hrapytor em 05/03/2009 - 12:33h

Pessoal alguém sabe onde posso encontrar o blackimp, pois o link do redirector acima está fora.

[44] Comentário enviado por sneves em 26/06/2009 - 09:31h

Também estou com o problema do squid não aceitar o "squid -k reconfigure" e nos logs, apresenta a mesma coisa do amigo arleinalesso "Too few NT_global_group processes are running
FATAL: The NT_global_group helpers are crashing too rapidly, need help!"

Já tentei instalar em Ubuntu desktop, server, Debian 4 e 5. Em todos, deu o mesmo erro. =/

Alguém sabe dizer o que pode ser??

[]s

[45] Comentário enviado por rafa_jm em 18/11/2009 - 14:16h

Parabens , mas eu tenho uma duvida o que o blackimp ??????

vlw ..... cara isso ta show de bola esse artigo foi para os favoritos
...

[46] Comentário enviado por pixell em 11/02/2010 - 03:12h

Meu caro Alvaro, tudo funfou beleza. porem quando faco o login no proxy report ele nao me da as opcoes para administracao, simplesmente volta na tela de login, mudei o arquivo proxy.php para testar a conexao e vi que ela funciona, porem nao acesso as opcoes de administracao do proxy report, sabe o qeu poderia ser? Ja verifikei o mysql e vi que as tables foram criadas.

Valeu o redirector e massa!!!

[47] Comentário enviado por rafaeloleg em 23/03/2010 - 14:02h

Não consegui autenticar o linux no AD.

Meu smb.conf ficou desta forma:

[global]

        

workgroup = C-PAULISTA

server string = no
netbios name = no
realm = RAFAEL.C-PAULISTA       

log file = /var/log/samba/%m.log        

max log size = 50        

debug level = 1        

security = ads        

encrypt passwords = yes        

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192        

unix charset = iso-8859-1        

password server = *      

winbind uid = 10000-20000        

winbind gid = 10000-20000        

winbind enum users = yes        

winbind enum groups = yes        

template homedir = /dev/null        

template shell = /dev/null        

winbind use default domain = yes


e deu o seguinte Erro na execução do comando kinit:
root@squid-server:~# kinit administrator@RAFAEL.C-PAULISTA

kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library

[48] Comentário enviado por wandz em 03/09/2010 - 08:48h

Sou novato em linux e vou tentar seguir esse tuto

grato pela ajuda

[49] Comentário enviado por tiagodamasceno em 03/11/2010 - 11:13h

1. o arquivo /usr/local/samba/lib/smb.conf não cirou automaticamente eu tive que criá-lo manual e colei as cofigurações do quote acima com as minhas

2. substituo a linha net rpc join DOMINIODAEMPRESA -S server -Uadministrator por net rpc join DOMINIODAEMPRESA -U fire-velox -Uroot

ELE RETORNA A MENSAGEM ABAIXO, PORÉM, RESSALTO QUE JÁ TENHO UM SERVIDOR SAMBA RODANDO NA REDE E É NELE QUE ELE CONECTAR PARA ENTRAR NO GRUPO DOMINIODAEMPRESA

Creation of workstation account failed
User specified does not have administrator privileges
Unable to join domain MEUDOMÍNIO.


3. Quando vou fazer o teste wbinfo -t ele dar a mensage abaixo
checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret

a versão do debian é a 5.0 e do php tabmém é 5.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts