Autenticação no Squid (NTLM)

joaoferreira
(usa Fedora)

Enviado em 06/06/2012 - 12:55h

magnopeem_rj,

Eu entendi em partes porém sabe me informar onde posso pegar está informação?

Rivellato,

Deixa eu tentar lhe explicar quando tenta acessar uma página automaticamente dentro do arquivo access.log 3 conexões possa ser que seja isto.

BPINHEIRO
(usa Debian)

Enviado em 07/06/2012 - 11:32h

Bom dia João.
Deixei meu squid assim

http_port 3128
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

dns_nameservers 192.168.1.6
dns_nameservers 187.0.230.250
dns_nameservers 187.0.230.5
dns_nameservers 200.204.0.10
dns_nameservers 200.204.0.138
dns_nameservers 200.255.253.241
dns_nameservers 200.255.253.241
dns_nameservers 201.6.0.112

error_directory /usr/share/squid/errors/pt-br

cache_access_log /var/log/squid/access.log

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

auth_param basic realm "Controle de Acesso Web "

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

# CONTROLE DE ACESSO
# -----------------------------------------------------------------------------

# Esta acl faz consulta nos Grupos do Active Directory
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl

# O grupo que estiver nesta acl terá acesso TOTAL a internet
acl AcessoTotal external NT_global_group INSERIR GRUPO

# Grupos do Active Directory
# Nesta seçao e declarado cada grupo
# Os usuarios estao dentro dos grupos e sao inseridos no AD

acl AcessoComercial external NT_global_group gg_comercial
acl AcessoTelemarketing external NT_global_group gg_telemarketing

Veja se te ajuda essa parte

joaoferreira
(usa Fedora)

Enviado em 07/06/2012 - 12:49h

Barbara,

Você tem quantos clientes ? Pois colocou apenas 5 processos do ntlm abertos.

bpinheiro
(usa Debian)

Enviado em 07/06/2012 - 20:26h

Então também estou aprendendo sobre o squid, montei o meu com muito esforço e tem muita coisa que preciso melhorar, pra te falar a verdade nem sei muito bem como funciona o valor 5.
mas tenho aproximadamente uns 50 usuários.

Abraços.

rivellato
(usa Debian)

Enviado em 08/06/2012 - 14:52h

O valor cindo diz que pode ate 5 usuarios logar ao mesmo tempo !! como vc usa seu squid com autenticação ntlm te indico colar esse valor de tipo 30 agora no segundo parâmetro que vc tb colocou 5 pode deixar com com esse valor msm ex:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

magnopeem_rj
(usa Ubuntu)

Enviado em 08/06/2012 - 17:25h

ve se esse ae te atende :D



# /etc/squid3/squid.conf
####################################################
# Portas (padrão 3128)

http_port 3128

#Habilitar debug

#debug_options 28,3

#Configurações de Cache

# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais, diretorios em cada diretorio

cache_dir aufs /var/spool/squid3 8196 16 256

# Tamanho da cache para obejtos
cache_mem 2 GB

# Tamanho máximo dos objetos que serão salvos em disco

maximum_object_size 131070 KB

# Tamanho minimo dos objetos que serão salvos em disco

minimum_object_size 0 KB

# Número de entradas na tabela de cache de conversão de IP para FQDN

ipcache_size 16384

# Percentagem de cache baixa - padrão 90

ipcache_low 90

# Percentagem de cache baixa - padrão 95

ipcache_high 95

# manter memória alocada e não usada, para não precisar realocar quando for usar

memory_pools on

# Número de entradas na tabela de cache de DNS

fqdncache_size 16384

# tamanho máximo dos objetos guardados na cache

maximum_object_size_in_memory 8 MB

# Gerar resumo de cache - Útil somente quando existem squids parceiros deste squid

digest_generation off

# Configurações gerais

# Como tratar o X-Forwared-For no cabeçalho HTTP

forwarded_for off

#logar parametros das URL's

strip_query_terms on

# Força IE 5.5 ou anteior a buscar novas páginas do servido em caso de refresh

ie_refresh on

#Detecta respostas quebradas de conexões persistnes e assuma que o reply foi enviado

apos 10 segundos

detect_broken_pconn on

#Tenta executar até 2 requisições em paralelo - Pode quebrar autenticação
NTLM/Kerberos

pipeline_prefetch off

# Continua baixando requisições abortadas

quick_abort_min -1 KB

# continua baixando requsições abortadas até o limite de 16KB

quick_abort_max 16 KB

# Quanto tempo manter cache de DNS

positive_dns_ttl 5 minute

# Fechar conexões TCP imediatamente

half_closed_clients off

# timeout de leitura de dados

read_timeout 240 second

# timeout de conexões persistentes

pconn_timeout 240 second

# Email do administrador

cache_mgr adminsquid@dominio.com.br

# Host visível

visible_hostname proxy-squid.dominio.com.br

# Linguagem dos erros

error_directory /usr/share/squid3/errors/pt-br

# Evita que sejam feitos coredumps.

coredump_dir /var/spool/squid3

# Numero de arquivos de log rotacionados a guardar.

logfile_rotate 120

# Tempo para agaurdar o fechamento de conexçoes durante encerramento do squid

shutdown_lifetime 1 second

# palavras que será tratadas diretamente por esse squid, ou seja, não serão

repassadas para vizinhos

hierarchy_stoplist cgi-bin ?

# Dominio padrão de busca

#append_domain .dominio.com.br

# Padrão de refresh de cache para alguns sites

# refresh_pattern [-i] regex min percent max [options]

# -i : regular expressiona case-insensitive

# regex: Expressão regular a buscar

# min: tempo (em minutos) que um objeto será considerado novo

# percent: % da idade do objeto que é considerado novo

# max: limite máximo que os objetos sem tempo de expirar explicito serão considerados novos

refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims

refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims

refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims

refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims

refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims

refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims

refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims

refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

# Logs

#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso

access_log /var/log/squid3/access.log

# Log de cache

cache_log /var/log/squid3/cache.log


# pasta para arquivo de dump

coredump_dir /var/spool/squid3

# comportamente para espaço em branco nas URLs

uri_whitespace allow

# Servidores de DNS a serem utilizados - Se não for especificado, o valor

de /etc/resol.conf será utilizado

#dns_nameservers 192.168.0.1

# Autenticação no Windows 2008

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 30

auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Proxy Squid - Digite suas credenciais

auth_param basic credentialsttl 5 hours

# ACLs

# acls de origem

# rede loopback

acl localhost src 127.0.0.1/32

# Rede local

acl rede_local src 192.168.0.0/24

# acls de destino

#acl allDest dst 0.0.0.0/0.0.0.0

#acl to_localhost dst 127.0.0.0/8

# portas seguras

acl SSL_ports port 443

acl SSL_ports port 8180

acl SSL_ports port 8443

# Demais serviços

acl Safe_ports port 80 # http

acl Safe_ports port 81 # http

acl Safe_ports port 20-21 # ftp

acl Safe_ports port 70 # gopher

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # SWAT

acl Safe_ports port 8080 # http

acl Safe_ports port 8081 # http

acl Safe_ports port 8082 # http

acl Safe_ports port 8088 # http

acl Safe_ports port 8180 # http

acl Safe_ports port 3456 # receita federal - irpf

acl Safe_ports port 3001 # diario oficial

# acls default squid

acl purge method PURGE

acl CONNECT method CONNECT

acl POST method POST

# acl para obter grupos do AD

external_acl_type grupo_AD ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl

# Grupos do AD

acl acesso_completo external grupo_AD Internet_Acesso_Completo

acl acesso_padrao external grupo_AD Internet_Acesso_Padrao

acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado

# acls de segurança proteção do cache

acl manager proto cache_object

# acl controlar sites (sites-proibidos)

acl sites_proibidos dstdomain -i "/etc/squid3/acls/sites_proibidos"

acl sites_liberados dstdomain -i "/etc/squid3/acls/sites_liberados"

# acl controlar palavras de sexo, baixo calão, etc

acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas"

acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas"

acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas"

acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas"

# acl controlar horário de expediente

#acl horario_allow url_regex -i "/etc/squid3/horario_allow"

#acl fora_expediente time MTWHFA 20:01-23:59

#acl fora_expediente2 time MTWHFA 00:00-05:59

# Mensagem de erros personalizados para alguimas ACLs

deny_info ARQ_SITES_PROIBIDOS sites_proibidos

deny_info ARQ_SITES_PROIBIDOS sites_liberados

deny_info ARQ_SITES_PROIBIDOS palavras_proibidas

deny_info ARQ_SITES_PROIBIDOS palavras_liberadas

deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidas

deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadas

deny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueado

deny_info ARQ_PORTAS_PROIBIDAS Safe_ports

deny_info ARQ_PORTAS_PROIBIDAS SSL_ports

# HTTP ACCESS

# regras das acls de origem - libera os administradores

#http_access allow admins

# libera método POST sem autenticação. Para evitar problemas

http_access allow POST

http_access allow rede_local acesso_completo

http_access deny acesso_bloqueado

# regras das acls de portas - bloqueia todas as portas não listadas

http_access deny !Safe_ports

# bloqueia conexões das portas seguras não listadas

http_access deny CONNECT !SSL_ports

# regras das acls de controle (bloqueio e políticas de rede)

http_access allow manager localhost

http_access deny manager

# controle de acesso de sites proibidos

http_access deny sites_proibidos !sites_liberados

# controle de acesso da acl de palavras de sexo, baixo calão, etc

# bloqueia todas as palavras da lista de proibidas com exceção das

# palavras liberadas

http_access deny palavras_proibidas !palavras_liberadas

http_access deny maquinas_proibidas !maquinas_liberadas

http_access allow rede_local maquinas_liberadas

# controle de horário de expediente

# bloqueia utilização fora do expediente

#http_access deny !horario_allow fora_expediente

#http_access deny !horario_allow fora_expediente2

http_access allow purge localhost

http_access allow rede_local acesso_padrao

http_access deny purge

# HTTP REPLY ACCESS

http_reply_access allow all

http_access deny all

# ICP ACCESS

icp_access deny all

# MISS ACCESS

miss_access allow rede_local

miss_access deny all

# MODO DE FTP PASSIVO

#ftp_passive on

# Negar cache de cgi-bin

acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY

# negar cache de POST

acl POSTS method POST

cache deny POSTS


FONTE

http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2...