Erro autenticação NTLM / Squid

13. Re: Erro autenticação NTLM / Squid

Thiago
thi

(usa Ubuntu)

Enviado em 05/07/2013 - 13:29h

Obrigado pelas ajudas prestadas. O squid -k parse não RETORNA NADA.

Olhei o link citado pelo amigo, porém as acls necessárias estão ali. Deve ser alguma besteira...

Segue o squid.conf como esta neste momento:


http_port 3128
#
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#*#auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm children 30
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm AUTENTICACAO
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#
#Default:
#external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=network,dc=local" -D cn=mimeweb,ou=Usuarios_de_sistemas_e_correio_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local -w mi88kx2 -f "(|(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local)(memberof=cn=%a,ou=Grupos_DQX,ou=DQX,ou=Organizacao,dc=network,dc=local))" -h vulcano.network.local
external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=network,dc=local" -D cn=mimeweb,ou=Usuarios_de_sistemas_e_correio_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local -w mi88kx2 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos_RJ,ou=RJ,ou=Organizacao,dc=network,dc=local))" -h vulcano.network.local

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localdomain dstdomain network.local

#
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 10.1.0.0/16 # RFC1918 possible internal network
acl localnet src 10.21.0.0/16
#
# ACL Personalizadas
acl autentication proxy_auth REQUIRED
acl internet external ldap_group internetrj
#*#acl dqx external ldap_group internetdqx
#*#acl donwload external ldap_group downloadrj
#*#acl libera_webmail external ldap_group libera_webmail
#*#acl executaveis external ldap_group libera_download_executaveis
acl extension url_regex -i .exe .msi
acl blacklist_webmail dstdomain "/etc/squid/ACLs/blacklist_webmail"
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl QUERY urlpath_regex cgi-bin \?
no_cache deny localdomain
no_cache deny QUERY

#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
#http_access deny extension !executaveis
#http_access deny blacklist_webmail !libera_webmail
http_access allow autentication internet
#http_access allow autentication dqx
#*#LIBERADO TEMPORARIAMENTE
http_access allow localnet
http_access allow localhost

icp_access allow localnet
icp_access deny all

hierarchy_stoplist cgi-bin ?

#Default:
cache_mem 512 MB

#Default:
maximum_object_size_in_memory 64 KB

#Default:
memory_replacement_policy heap GDSF

#Default:
cache_replacement_policy heap LFUDA

#Default:
cache_dir diskd /var/spool/squid 65536 64 256 Q1=64 Q2=72

#Default:
minimum_object_size 0 KB

#Default:
maximum_object_size 128 MB

#Default:
cache_swap_low 50
cache_swap_high 90

access_log /var/log/squid/access.log squid

#Default:
pid_filename /var/run/squid.pid

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
# example line deb packages
#refresh_pattern (\.deb|\.udeb)$ 129600 100% 129600
refresh_pattern . 0 20% 4320

#Default:
# request_header_max_size 20 KB
request_header_max_size 128 KB

#Default:
# reply_header_max_size 20 KB
reply_header_max_size 128 KB

#Default:
cache_effective_user squid

#Default:
cache_effective_group squid

#visible_hostname "set"

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

cache_effective_group root

hosts_file /etc/hosts


Abs


  


14. Re: Erro autenticação NTLM / Squid

Buckminster
Buckminster

(usa Debian)

Enviado em 05/07/2013 - 13:49h

Aparentemente está correto teu squid.conf, com algumas ressalvas:

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic << você está usando o Squid versão 2.7, mas está chamando o modo de compatibilidade para ACLs externas do Squid 2.5.


Verifique também se o arquivo abaixo existe e está no caminho indicado:
#Default:
pid_filename /var/run/squid.pid

E aqui:
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 10.1.0.0/16 # RFC1918 possible internal network
acl localnet src 10.21.0.0/16

Você tem 3 redes internas?

Se tiver organize assim:
acl localnet1 src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet2 src 10.1.0.0/16 # RFC1918 possible internal network
acl localnet3 src 10.21.0.0/16

e depois libere uma por uma no final:
http_access allow localnet1
http_access allow localnet2
http_access allow localnet3
http_access deny all


15. Re: Erro autenticação NTLM / Squid

Thiago
thi

(usa Ubuntu)

Enviado em 05/07/2013 - 13:59h

Td bem. No auth_param esta a versão 2.5 pq eu peguei o comando de autenticação e coloquei. Posso alterar o 2.5 pelo 2.7 sem problemas??

O arquivo squid.pid existe sim e esta no caminho correto.
As 3 redes internas existem.

Vou organizar as acls como vc pediu...

posso alterar de 2.5 para 2.7 na linha?

abs,


16. Re: Erro autenticação NTLM / Squid

Buckminster
Buckminster

(usa Debian)

Enviado em 05/07/2013 - 14:08h

Não altere, retire a linha --helpers...

Mas estive olhando a tua compilação. Você não compilou com as opções:

--enable-auth="ntlm,basic" --enable-external-acl-helpers="kerberos_ldap_group,LDAP_group"

Essa opções acima são as que habilitam a autenticação NTLM e as ACLs externas.
Mas veja bem, o que eu coloquei após o sinal de = são somente exemplos.

Execute:
# ./configure --help

E dê uma boa olhada com calma nas opções de compilação da versão do teu Squid.
Acredito que você precisará compila-lo de novo. Por padrão, o NTLM authenticator_program não é utilizado, precisa compilar dizendo ao Squid que quer utilizar NTLM e as ACLs externas também.


17. Re: Erro autenticação NTLM / Squid

Thiago
thi

(usa Ubuntu)

Enviado em 05/07/2013 - 14:16h

Amigo obrigado pela ajuda. Vou compilar novamente. Só uma dúvida, com as 2 linhas que vc informou, poderia ficar assim?


./configure
--program-prefix=
--prefix=/usr
--sysconfdir=/etc/squid
--enable-async-io
--enable-poll
--enable-gnuregex
--enable-carp
--enable-storeio=aufs,diskd,ufs,null
--enable-forw-via-db
--enable-icmp
--enable-cache-digests
--enable-removal-policies=lru,heap
--enable-truncate
--enable-default-err-language=English
--enable-err-languages=English
--enable-linux-netfilter
--enable-auth="ntlm,basic"
--enable-external-acl-helpers="kerberos_ldap_group,LDAP_group"
--disable-ident-lookups
--disable-wccp
--disable-wccpv2
--with-pthreads
--with-aio
--with-dl
--with-maxfd=65535


Adicionei as 2 linhas. Tem ordem para colocá-las ou posso por assim?

Abs.


18. Re: Erro autenticação NTLM / Squid

Buckminster
Buckminster

(usa Debian)

Enviado em 05/07/2013 - 14:23h

Pode compilar assim, mas verifique se as opções são essas mesmas na tua versão.

Execute antes ./configure --help.


19. Re: Erro autenticação NTLM / Squid

Thiago
thi

(usa Ubuntu)

Enviado em 05/07/2013 - 18:42h

Cara estou pensando em formatar o PC e instalar do zero o Ubuntu Server 12.4 e aproveitando o ensejo já passar para o Squid3.

Será q do squid3 seria mais fácil?

Abs.


20. Re: Erro autenticação NTLM / Squid

Buckminster
Buckminster

(usa Debian)

Enviado em 05/07/2013 - 20:58h

thi escreveu:

Cara estou pensando em formatar o PC e instalar do zero o Ubuntu Server 12.4 e aproveitando o ensejo já passar para o Squid3.

Será q do squid3 seria mais fácil?

Abs.


Instala o Debian Wheezy então e coloca o Squid3:

http://www.vivaolinux.com.br/artigo/Compilacao-do-Squid-3-no-Debian-Wheezy/


21. Re: Erro autenticação NTLM / Squid

Thiago
thi

(usa Ubuntu)

Enviado em 06/07/2013 - 13:57h

Ok amigo. Mas dentro deste cenário (Debian+Squid 3), qual seriam as linhas de autenticação para pegar os grupos no AD? qual eu poderia usar sem problemas no squid3?

Obrigado pela ajuda.
Abs.


22. Re: Erro autenticação NTLM / Squid

Fábio C Premoli
premoli

(usa Fedora)

Enviado em 14/11/2016 - 16:49h

Obtive sucesso autenticando o Squid3 AD usando o CentOS7 no estilo single sign on. A configuração no Squid.conf ficou como abaixo:

visible_hostname NOMEDOPROXY
http_port 8081
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours

external_acl_type wbinfo_check %LOGIN /usr/bin/perl /usr/lib64/squid/ext_wbinfo_group_acl
acl UsersPermitidos external wbinfo_check GRUPOPERMITIDONOAD

http_access allow UsersPermitidos
http_access deny all


Após a configuração acima, as senhas dos usuários são cifradas e o user que não está no grupo GRUPOPERMITIDONOAD não acessa. O filtro de acesso vou direcionar pro dans ou squidGuard.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts