Autenticação squid3 no AD 2008 [RESOLVIDO]

willian.amaral
(usa Debian)

Enviado em 12/04/2011 - 14:53h

Boa tarde pessoal,

Na empresa estamos migrando do Windows 2003 para o 2008.

Atualmente, com Windows 2003 utilizamos o programa Identd nas estações para enviar o usuário logado para o squid.

Estamos configurando o Windows 2008 e gostaríamos de utilizar a autenticação da Sessão do Windows 2008, assim, o usuário faz login e todo acesso que ele fizer será validado em seu usuário de sessão e não utilizar mais o identd.

Estou com um problema em relação a isso, utilizando o tutorial (http://gnulinuxbr.com/2011/03/14/squid-%E2%80%93-autenticando-usuarios-na-base-ldap-no-windows-2008r2-%E2%80%93-parte-2/), consegui fazer o usuário autenticar, porém toda vez que abre o navegador pede usuário e senha. Gostaria de saber como faz para autenticar pela seção do Windows e não aparecer a telinha de pop-up para o usuário.

A solução que utilizei a squid_ldap_auth (com pop-up).

É possível realizar a autenticação pela seção do Windows? Qual tecnologia devo usar? Pelo que pesquisei é possível realizar a autenticação com NTLM (mas pelo que li só é disponível para o Windows 2003 e não para o 2008 e possui pouca segurança)...

Podem me ajudar?
Obrigado

renato_pacheco
(usa Debian)

Enviado em 12/04/2011 - 15:03h

Interessante... gostaria d saber tb!

anonymous
(usa Debian)

Enviado em 13/04/2011 - 09:36h

opa! também estou nessa para descobrir uma solução.

megatux
(usa Debian)

Enviado em 13/04/2011 - 11:08h

Brother, não manjo nada de AD, estou instalando o 2008 em uma vm pra estudar.
Até onde eu sei, tem que utilizar o perfil do 2003 pois na segunda tela de instalação do AD aparece o alerta com a mensagem informando algumas incompatibilidades devido ao algorítimo de criptografia utilizado no AD 2008.

"Plataforms impacted by this change include windows nt 4.0, as well NON-MICROSOFT SMB CLIENTS and network attached storage (NAS)"

pode ser este novo algorítimo que esteja lhe causando o problema.

Espero ter ajudado.

[]'s

:wq!

willian.amaral
(usa Debian)

Enviado em 13/04/2011 - 13:27h

Boa tarde,
Esta dificil ..rsss
Estou pesquisando isso a ans 20 dias, nunca acho um material concreto. Vi que pode usar Winbind, Kerberos + AD 2008, ou encontro tutorial para o Windows 2003 ou para o 2008 e não usa kerberos e winbind.

Talvez eu esteja pesquisando pela linha errada, ou existe uma outra maneira de fazer ou quase impossivel: não existe essa integração.

Obrigado pessoal
Willian

luiz92
(usa Arch Linux)

Enviado em 15/04/2011 - 15:09h

A tecnologia usada para isso é mesmo a autentificação kerberos que assim como o ntlm possui habilidade SSO, o winbind não é necessário, kerberos é mais seguro mas muito mais delidado, já fiz algo parecido mais usando um servidor mit kerberos ou heimdal kerberos no linux, no ad é um pouco direfente já que são outras ferramentas para administração e a criptografia é um pouco diferente, uma dica é que kerberos parece mais complicado do que de fato é, e o meu maior erro foi não perstar atenção nos logs e que o arquivo /etc/krb5.keytab não podia ser lido pelo usuario que o squid usava para lêlo.

Eu ainda não fiz com o ad mas pertendo fazer no futuro, agora, estes links podem te ajudar um pouco, o resto é com você:

http://mapburghardt.blogspot.com/2010/06/squid-ad-kerberos-uma-solucao-decente.html
http://pt.w3support.net/index.php?db=sf&id=66556
http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory/
http://www.vivaolinux.com.br/artigo/Squid3-+-Ubuntu-Lucid-10.04-+-Kerberos-Auth-+-AD/

metanol_pa
(usa Debian)

Enviado em 15/04/2011 - 15:10h

Rapaziada, procurei por muito tempo solução parecida e enfim encontrei este tutorial do Wagner Tadeu

Squid autenticando usuários do AD sem tela de login
Segue: http://www.wtm.com.br/post/Squid-autenticando-usuarios-do-AD-sem-tela-de-login.aspx

Veja se ajuda vocês.


Abraço

willian.amaral
(usa Debian)

Enviado em 15/04/2011 - 23:30h

Olá,

Estou configurando e testando aos poucos, se surgir dúvidas eu posto aqui.

Se eu conseguir terminar posto um tutorial passo a passo.

Obrigado a todos que responderam.

heldercost
(usa Debian)

Enviado em 15/06/2011 - 12:43h

O post está com data de dois meses atras, mas passei por esta mesma situação que vc passou ou está passando.
As configurações do Proxy foram feitas com base nesse artigo, achado aqui mesmo no VOL.

http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory?pagina=1

Feito alguns ajustes para se adequar ao nosso ambiente, também tivemos que criar uma GPO para os computadores, a diretiva ficou dessa forma:

Computer Configuration
> Windows Settings
>Security Settings
>Local Policies
>Security Options

Tem uma opção chamada "Network security: LAN Manager Authentication level" deixe habilitada a opção "Send LM & NTLM - use NTLMv2 session security if negotiated.

Feito isso funcionou perfeitamente, quando o usuário loga na rede automaticamente ele já faz a autenticação no Proxy, dai ao abrir o navegador ele já sairá pelo Proxy.

Espero que essas informações possam ajudá-lo.

Abraço

willian.amaral
(usa Debian)

Enviado em 15/06/2011 - 23:31h

Opa, estamos na ativa...

Engraçado que o meu não precisou realizar essas configurações no ad, subiu de boa...

Abs

removido
(usa Nenhuma)

Enviado em 01/10/2012 - 18:50h

Olá amigo você pode postar qual foi a solução final para esse problema ?

aguardo seu retorno.

willianamaral
(usa Outra)

Enviado em 01/10/2012 - 19:15h

Pessoal, estou sem tempo para preparar um tuto e colocar aqui.

Por favor me deixe o email que envio o tutorial x principais problemas que fiz na época.

Assim que tiver um tempo, coloco um tuto legal aqui.

Att.
Willian