Problema com autenticação squid. [RESOLVIDO]

joaoferreira
(usa Fedora)

Enviado em 21/09/2011 - 00:18h

Olá meus colegas do VOL,

Venho aqui mais uma vez solicitar à ajuda de vocês. Na empresa onde trabalho estamos implantando um servidor de PROXY, o software que estamos utilizando é o SQUID, ante de falar meu problema gostaria de fornecer a configuração de hardware/software que estamos utilizando para rodar o servidor e gostaria de pedir a opinião de vocês.

Configuração:

Hardware
Processador: Core 2 duo 2.4
Memor ia Ram: 3GB
Disco Rígido: 80GB
Placa de rede: Giga.

Software
Debian 6

Então vamos ao meu problema: Possuímos um controlador de domínio que está rodando em um outro servidor com o sistema operacional WINDOWS SERVER 2008.
Realizamos toda instalação do SQUID no servidor linux, configuramos para o mesmo barrar os sites indesejados, palavras restrita e muito mais, porém agora a minha gerente solicitou que eu colocasse o PROXY na empresa toda e para um determinado setor bloqueasse tudo e liberasse apenas os sites internos e o gmail, já o resto da empresa bloqueasse os sites como: YOUTUBE, FACEBOOK, TWITTER entre outros até o então belezinha, o problema está na hora quando o site que o usuário está tentando acessar está contido na nossa lista de bloqueados o PROXY abre uma janela solicitando um usuário e senha ao invés de mostrar a página informando que o site que ele está tentando acessar é proibido.

A autenticação está sendo feita diretamente com o nosso AD, o usuário do domínio não necessita digitar nada, o próprio SAMBA junto com o WINBIND trata de realizar à autenticação, só que quando o usuário não tem permissão ao devido site o mesmo solicita que o usuário informe outro login e senha o que na verdade que eu quero é que o mesmo informe que a página que o divido tentou acessar está bloqueada.

Espero que vocês entendam.

renato_pacheco
(usa Debian)

Enviado em 21/09/2011 - 01:01h

Entendi o q vc quis dizer. Como vc tá fazendo a autenticação pelo AD? Tem como vc postar o seu squid.conf?

joaoferreira
(usa Fedora)

Enviado em 21/09/2011 - 01:58h

Meu muitíssimo obrigado pelo seu retorno atualmente não tenho ele em mãos mais hoje de manha posto aqui blz?

joaoferreira
(usa Fedora)

Enviado em 21/09/2011 - 13:01h

Olá Renato conforme tinha combinado segue o meu squid.conf:


##
### Autenticação no Windows 2008
##

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# Está opção: Permite limitar por grupo
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl

##
### Regras de acessos.
##

acl all src all
acl redelocal dst 172.22.0.0/23
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow redelocal
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
#http_access allow CONNECT

acl autenticacao proxy_auth REQUIRED
acl palavras_deny url_regex -i "/etc/squid/acl/palavras_deny"
acl sites_allow dstdomain -i "/etc/squid/acl/sites_allow"
acl sites_deny dstdomain -i "/etc/squid/acl/sites_deny"
acl administrador proxy_auth "/etc/squid/acl/administrador"
acl sap_centro proxy_auth "/etc/squid/acl/sap_centro"

http_access allow localhost
http_access allow administrador
http_access deny palavras_deny
http_access deny sites_deny
http_access allow sites_allow
http_access deny sap_centro

##
### Fim das regras de acessos.
##

icp_access deny all

# Porta do serviço.
http_port 3128

# Nome do servidor.
visible_hostname proxy.sucom_net.pms.ba.gov.br

# Diretório de erros do squid.
error_directory /usr/share/squid/errors/Portuguese

##
### Configuração de Cache.
##

# Email do administrador
cache_mgr joaoferreira@salvador.ba.gov.br

# Host visível
visible_hostname proxy.sucom_net.pms.ba.gov.br

logfile_rotate 4

# Tamanho máximo de utilização da memória ram.
cache_mem 410 mb

# Tamanho máximo para armazenar na memoria.
maximum_object_size_in_memory 64 KB

# Limite minimo para substitui o objeto.
cache_swap_low 90

# Limite máximo para substitui o objeto.
cache_swap_high 95

# Configuramos nessa opção o tamanho máximo dos objetos dentro do diretório,
# o nome do diretório, quantos MB armazenar e os níveis e sub-níveis.
cache_dir ufs /var/spool/squid 2048 16 256

# Caminho dos log's de acessos.
cache_access_log /var/log/squid/access.log

# Caminho log's dos caches
cache_log /var/log/squid/cache.log

# Tempo de vida dos objetos.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

##
### Fim das configurações de Caches.
##

##
### DNS
##

dns_nameservers 172.22.0.5

##
### Fim dns
##

# Log's
# access_log /var/log/squid/access.log squid


##
### Outras configurações.
##

hierarchy_stoplist cgi-bin ?
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

renato_pacheco
(usa Debian)

Enviado em 21/09/2011 - 16:40h

Não estou vendo nada d errado... vc já olhou nos logs do squid e samba? Faça um teste: pegue um usuário q possui restrições e entre em um site proibido. Assim q entrar, olhe nos logs e veja se tem alguma msg suspeita no usuário.

joaoferreira
(usa Fedora)

Enviado em 21/09/2011 - 18:49h

Renato conseguir resolver o problema da seguinte forma:

http_access allow localhost
http_access allow administrador
http_access allow sites_allow
http_access deny sites_deny
http_access deny palavras_deny
http_access deny sap_centro !sites_allow
http_access allow all !sites_deny
http_access deny all


Agora ele está bloqueando da forma que gostaria e está exibindo a página de bloqueio como eu desejava. Agora estou tendo um problema com a minha memória o cache dela está enchendo muito rápido para resolver o problema eu criei um script onde o mesmo limpa o cache com os comandos:

echo 3 > /proc/sys/vm/drop_caches
sysctl -w vm.drop_caches=3

Ah o que achou do meu squid.conf ?

Abraço.

renato_pacheco
(usa Debian)

Enviado em 21/09/2011 - 23:19h

Seu squid.conf tá blz, só q essas regras poderiam ser mais enxutas, não? Ficando assim:

http_access allow localhost
http_access allow administrador
http_access allow sites_allow
http_access deny sites_deny
http_access deny palavras_deny
http_access deny sap_centro
http_access deny all

joaoferreira
(usa Fedora)

Enviado em 22/09/2011 - 11:32h

Renato,

As minhas regras estavam extamente desta forma e o problema estava acontecendo...