Autenticação no Squid (NTLM)

joaoferreira
(usa Fedora)

Enviado em 04/06/2012 - 17:46h

Olá pessoal venho por meio deste solicitar à ajuda de vocês.

Estou passando por um problemão aqui na empresa tenho uma máquina que está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 40GB hard disk.

O Squid está interagindo com o nosso Active Directory que está rodando em uma outra máquina com Windows Server 2008 R2, a interação está se dando pelo samba, kerbero e winbind.

Vamos ao problema: O squid estava conseguindo autenticar normalmente de um tempo para cá os usuários antigos não conseguem mais autenticar realizei alguns testes e identifiquei que os usuário me parece está bloqueiados mais no active directory eles estão normais, dei uma olhada nos log's e não consegue encontrar nada.

Estou colocando o meu arquivo de configuração do squid.

http_port 3128
visible_hostname Proxy SUCOM

####################################
# Autenticacao no Active Directory #
####################################

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 160
auth_param ntlm keep_alive on

external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl

##########################
# Configuracao do Cache. #
##########################

# Cache em Memoria
cache_mem 1365 MB
maximum_object_size_in_memory 64 KB

# Cache em Disco
# Tamanho maximo por objetos
maximum_object_size 10 MB
# Tamanho minimo por objetos
minimum_object_size 0 KB

# Descates dos caches antigos em (%)
# Inicio do descates
cache_swap_high 95
# Para o descarte
cache_swap_low 90

# Diretorio dos caches em disco
# Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] [subpastas]
cache_dir ufs /var/spool/squid 10240 16 256

# Log de acessos
cache_access_log /var/log/squid/access.log

# Padrao de atualizacao do cache
refresh_pattern ^ftp: 15 20% 1140
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 1140

# Lista de controle de acesso do sistema
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 172.22.0.0/23
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# Lista de controle de acesso personalizada

acl auth proxy_auth REQUIRED
acl listabranca_dominio dstdomain -i "/etc/squid/acls/listabranca/dominio"
acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio"
acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url"
acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio"
acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio"
acl esporte_url url_regex -i "/etc/squid/acls/esporte/url"
acl redesocial_dominio dstdomain -i "/etc/squid/acls/redesocial/dominio"
acl relacionamento_dominio dstdomain -i "/etc/squid/acls/relacionamento/dominio"
acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio"
acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio"
acl webmail_url url_regex -i "/etc/squid/acls/webmail/url"
acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio"
acl webtv_url url_regex -i "/etc/squid/acls/webtv/url"
acl diurno time MTWHF 07:00-18:00
acl gp_colabsst external grupo colabsst
acl gp_ascom external grupo ascom
acl teste external grupo sgsi

http_access deny teste
http_access allow listabranca_dominio
http_access deny batepapo_dominio
http_access deny batepapo_url
http_access allow gp_colabsst
http_access deny download_dominio
http_access deny esporte_dominio
http_access deny esporte_url
http_access deny relacionamento_dominio
http_access allow gp_ascom
http_access deny redesocial_dominio
http_access deny video_dominio
http_access deny webmail_dominio
http_access deny webmail_url
http_access deny webtv_dominio
http_access deny webtv_url
http_access allow redelocal
http_access deny all

removido
(usa Nenhuma)

Enviado em 04/06/2012 - 18:29h

Esse squid é bem antigo né! Ultima versão STABLE: squid-2.6.STABLE23 Sep 17 2009.

Tu já deu uma lida nos registros de bugs? Já pensou em utilizar a versão 3.1? http://www.squid-cache.org/Versions/v3/3.1/

Squid3 Autenticando no Active Directory-windows-2008
http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2...

bpinheiro
(usa Debian)

Enviado em 04/06/2012 - 20:44h

Boa Noite.
Se você der o comando wbinfo -u ele trás todos os usuários até os antigos?

magnopeem_rj
(usa Ubuntu)

Enviado em 04/06/2012 - 21:05h

Prezados boa noite.

1 de tudo gostaria de parabenizar a nossa colega acima(bpinheiro ) , que veio a esta comunidade nos prestigiar com sua graça e clamor , fico feliz por ver uma mulher nesta área de ti ainda mais a respeito de servidores :D e afins...


2 caro colega segue a dica de nossa colega , posta os logs para pdoer verificar e ver em que poco le ajudar ..

att

bpinheiro
(usa Debian)

Enviado em 04/06/2012 - 21:08h

Obrigada!!
Meu Squid esta com autenticação NTLM, mas até conseguir funcionar direitinho deu um trabalhão.....ainda mais porque aqui utilizamos o Office 365....

magnopeem_rj
(usa Ubuntu)

Enviado em 04/06/2012 - 21:16h

de nada...(f)(f)(f)

eu ja prefiro alocar todos para se autenticar em banco de dados , e uso windows so para o ad msm integrado a banco de dados

bpinheiro
(usa Debian)

Enviado em 04/06/2012 - 21:18h

Então....por padrão sempre trabalhei com Windows, ainda mais porque onde trabalho é 100% windows as aplicações, mas é interessante a ideia de ter linux, nem saberia por onde começar com linux.

magnopeem_rj
(usa Ubuntu)

Enviado em 04/06/2012 - 21:20h

Sim bom na praticidade mais tipo quando eu tive que configurar servidor voip ,bate papo, vpn ,samba , squid , firewall etc pow eu me perdia na hora dos usuarios e por isso que aloque todos em banco de dados ..

removido
(usa Nenhuma)

Enviado em 04/06/2012 - 21:25h

Como disse o amigo acima, centralização é tudo. Eu uso o OpenLdap para todo tipo de autenticação(squid, samba, horde, intranet, dotproject... ).
Recomendo!

magnopeem_rj
(usa Ubuntu)

Enviado em 04/06/2012 - 21:29h

correto , porque eu tive a infelicidade te ter um problema com gerador e quando reinicio os servidores advinha quem deu tela azul , kkkkk ae lek imagina voce ter que refazer tudo ate entao blz mai um dia ae de trabalho intenco , mais quando se trata de mais de 9.000 usuarios filhao a coisa muda imagina ter que adcionar todos novamente ?? porque envez de criar contas e mais contas numa arvore o problema e quando voce comeca a podar , ou quando voce tem prolema com nobreak , luz ou outra coisa que poca impedir o bom e velho funcionamento do servidor .....

bpinheiro
(usa Debian)

Enviado em 04/06/2012 - 21:34h

O que você costuma usar no lugar do AD?

magnopeem_rj
(usa Ubuntu)

Enviado em 04/06/2012 - 21:40h

acostumava ser windows mais ae imp0lantei o ldap , e a coisa mudo, pois foi integrado ao mysql, ae fico um conf no ldap , samba, squid , vpn etc e foi solicitado por mim a montagem de um rack com 2 servidores integrados ao HDS de 1 Exabyte em raid cada investimento auto neste rack pois quando eu adotei esse bebe ne kkk que era em maquinas com processamento em quad core e pow 8 gb de ram pulando la dentro putz , ae quando deu o apagao meu anjo , falei que o bebe era feio e ninguem quiz assumir e como eu esta ja em poce da certidao dele , nao teve jeito me deram pensao e carta branca pra alimentar ele e crescer bem :D agora eu so vou la pra poder visitar e fazer carinho0o0o