Múltiplos autenticadores (schemes)

GuilhermeBR
(usa CentOS)

Enviado em 23/11/2013 - 15:56h

Eu não testei as máquinas ingressadas no dominio.. testei somente o servidor AD (o próprio controlador de dominio).

Estou fazendo os testes, de forma remota, vou fazer o teste na segunda com as máquinas ingressadas no dominio.

# AUTENTICACAO KERBEROS

auth_param negotiate program /usr/lib/squid/squid_kerb_auth -d

auth_param negotiate children 10

auth_param negotiate keep_alive on



# GRUPOS DO AD

# GRUPO DIRETOR

external_acl_type kerbDiretores ttl=3600 negative_ttl=3600 %LOGIN /usr/local/bin/squid_kerb_ldap -i -g diretores -D DOMINIO.NET -S servidor.dominio.net@DOMINIO.NET 



# GRUPO FUNCIONARIO

external_acl_type kerbFuncionarios ttl=3600 negative_ttl=3600 %LOGIN /usr/local/bin/squid_kerb_ldap -i -g funcionarios -D DOMINIO.NET -S servidor.dominio.net@DOMINIO.NET 



# ACLs

acl diretores external kerbDiretores

acl funcionarios external kerbFuncionarios



# ACESSO

http_access allow diretores

http_access allow funcionarios



 

removido
(usa Nenhuma)

Enviado em 23/11/2013 - 16:58h

Pelo o que está no arquivo de configuração do squid você continua usando autenticação ntlm. passei um link (fonte do site do squid-cache.org) para fazer uma autenticação via kerberos + ntlm, usando negociação. mas se está querendo realmente fazer autenticação via kerberos, use como referência o próprio site do squid.

http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos#Squid_Configuration_File

GuilhermeBR
(usa CentOS)

Enviado em 23/11/2013 - 17:13h

Ops... colei errado, já corrigi lá.

Eu segui esse tutorial mesmo. Está funcionando, só que não de forma transparente. Creio que seja, por causa que estou testando no servidor controlador de dominio.

Segunda vou fazer os testes, nas máquinas ingressadas no domínio.

removido
(usa Nenhuma)

Enviado em 23/11/2013 - 17:43h

Só a nível de informação active directory está rodando em um servidor windows server 2003 ou 2008 ?

GuilhermeBR
(usa CentOS)

Enviado em 23/11/2013 - 18:32h

2003 R2.

removido
(usa Nenhuma)

Enviado em 25/11/2013 - 12:56h

Posso até está enganado, mas as máquinas fora do domínio não irão autenticar-se. qual foi o resultado dos testes.

Buckminster
(usa Debian)

Enviado em 26/11/2013 - 22:04h

Veja aqui a tradução retirada de http://wiki.squid-cache.org/Features/Authentication?action=show&redirect=SquidFaq%2FProxyAuthent... :

"Posso usar diferentes mecanismos de autenticação em conjunto?
Sim, com limitações.
Usuários comumente utilizados suportam pelo menos um e até quatro protocolos de autenticação diferentes (também chamados de esquemas).
Você pode ativar mais de um, em qualquer momento, apenas configure as seções auth_param relevantes para cada esquema diferente que pretende oferecer aos navegadores.
Na RFC 2617, capítulo 4.6, afirma: um agente de usuário deve optar por usar o auth-scheme mais forte.
Devido a um bug, (mais notavelmente alguns do Microsoft Internet Explorer e versões do Firefox), a ordem em que os esquemas auth são configurados para os usuários é relevante. As primeiras versões do MSIE escolhem a primeira auth-scheme (na ordem em que são colocadas).

Em outras palavras, você DEVE usar essa ordem para as diretivas auth_params:
1.negotiate
2.ntlm
3.digest
4.basic

omitindo aquelas que você não planeja oferecer.

Uma vez que o administrador decide oferecer vários esquemas de autenticação para os clientes, o Squid não pode forçar os clientes a escolher um sobre o outro."

Como você já tentou colocar ntlm antes e depois de ldap (ldap é auth_param basic) e não funcionou (veja que ntlm tem precedência sobre basic), a autenticação fica tentando encontrar os usuários no AD, porém, eles não estão lá, daí não autentica.

Recomendo você criar um grupo para os usuários do AD e definir a autenticação que você quer para esses usuários. Os outros, acredito, autenticarão na próxima regra de autenticação. Caso não dê certo, crie dois grupos, um para os usuários dentro do AD e outro para os usuários fora do AD.
Não sei se dará certo.

Outra solução seria você levantar uma nova instância do Squid e criar uma autenticação para os usuários fora do AD.
Outra solução seria você colocar os usuários de fora do AD para usarem o Squid em outra porta diferente da dos usuários do AD.
Nunca tentei nenhuma das duas, mas talvez isso te dê uma luz.

Qual é a versão do teu Squid?

Outra coisa, você instalou e configurou o PAM para usar com LDAP?

GuilhermeBR
(usa CentOS)

Enviado em 27/11/2013 - 12:47h

Opa,

Esse link, é o link que postei, qdo abri o tópico.

A conclusão que cheguei até o momento, é que múltiplos autenticadores, não funcionam. Não por causa do squid, mas por causa do browser. Digo isso, pq no site oficial do Chrome, diz que ao disponibilizar mais de 1 autenticador, ele somente tenta o autenticador mais seguro, caso não consiga se autenticar, ele fica tentando, ele não busca outro autenticador disponível.

O link:
http://www.chromium.org/developers/design-documents/http-authentication

A saída então, é tentar pelo kerberos. Caso não funcione da forma que gostaria, estou pensando em subir outra instância do squid, como vc mesmo mencionou.

Mas eu não consegui testar até agora, pq o servidor Linux resolveu apresentar problemas de hardware. É até bom, pq estava usando a versão 5 do CentOS, acabei de configurar a versão 6, em um novo servidor e vou colocá-lo pra rodar no fds... já aproveito, e faço os testes com o kerberos.

removido
(usa Nenhuma)

Enviado em 20/12/2013 - 15:28h

Iai guilherme conseguiu testar ? qual foi o resultado até o momento ou em definitivo ?

GuilhermeBR
(usa CentOS)

Enviado em 22/12/2013 - 16:08h

Nada, tô de férias! rs..

Por enquanto, deixei autenticando via NTLM mesmo. Vão trocar os PCs e servidores em 2014, qdo fizerem a troca, aí faço os testes.

Abs e feliz Natal!

Abs.

removido
(usa Nenhuma)

Enviado em 09/07/2014 - 17:40h

Amigo Gulherme conseguiu fazer o que queria ou implantou outra solução ?