Problemas na autenticação squid [RESOLVIDO]

nayara
(usa Red Hat)

Enviado em 20/01/2012 - 17:03h

Pessoal,

Aqui na empresa utilizamos autenticação via kerberos no squid. Estava tudo funcionando até que um dia um usuário reclamou que não consegue ouvir a rádio itatiaia (http://www.itatiaia.com.br)...

O squid fica pedindo usuário e senha e, quando é digitado a senha não é aceita.
Tentei habilitar a autenticação básica como forma secundária, mas a autenticação que é pedida continua sendo a do kerberos. Alterando a ordem das autenticações no squid.conf, funciona, mas torna a autenticação básica a padrão...


Meu squid.conf está assim:


auth_param negotiate program /aplic/squid/libexec/squid_kerb_auth -d
auth_param negotiate children 10
auth_param negotiate keep_alive on


auth_param basic program /aplic/squid/libexec/squid_ldap_auth -R -b dc=DOMINIO,dc=com,dc=br -D cn="Usuário",cn=Users,DC=DOMINIO,DC=com,DC=br -w SENHA -f sAMAccountName=%s -P -v 3 -h SERVIDOR

No log simplesmente aparece a linha


TCP_DENIED/407 1738 GET http://venetian.upx.net.br/00201 - NONE/- text/html

Alguém já passou por isso??
Obrigada

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 17:27h

Já tentou marca esta dominio como exceção no navegador?

IE7,8,9:
ferramentas/opções de internet /conexões /configurações da lan /avançadas

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 17:38h

iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d www.itatiaia.com.br --dport 80 -j REDIRECT --to-port 3128

Onde:
eth0=Redelocal

removido
(usa Nenhuma)

Enviado em 20/01/2012 - 19:17h

andrecanhadas

Provavelmente ela já deva está direcionando todo o trafego da porta 80 para a 3128.
Aparentemente ela deva ter uma blacklist.

grep -rni "venetian.upx.net.br" *

ou

grep -rni "upx.net.br" *

removido
(usa Nenhuma)

Enviado em 20/01/2012 - 19:35h

Tu pode liberar o domínio via acl tb.

acl dominiosLiberados dstdomain -i "/etc/squid/dominiosLiberados"
http_access allow dominiosLiberados

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 19:53h

Sim mas no exemplo eu disse que tudo que vier na porta 80 com excessão de

!-d dominio.xxxx

Realmente ta dando access denied neste dominio que é que faz o stream da radio.
Deve estar bloqueado em alguma blacklist com certeza

removido
(usa Nenhuma)

Enviado em 20/01/2012 - 20:17h

É verdade andrecanhadas!

Não sei como está as regras dela, mas se ela não redirecionar esse domínio para a porta 3128 ela terá que fazer FORWARD correto? Para o domínio passar por fora do proxy.

Exemplo:

DOMINIO= IPDOMINIO
REDE=192.168..../24

iptables -A FORWARD -p ALL -s $REDE -d $DOMINIO -j ACCEPT
iptables -A FORWARD -p ALL -s $DOMINIO -d $RED -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s $REDE -d $DOMINIO -j MASQUERADE

O problema e configurar os navegadores para esse domínio passar sem proxy

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 21:48h

Seria mais facil achar a regra que esta barrando o acesso para o o stream e adicionar o usuario como excessão a regra ou liberar geral rsrsrs

andrecanhadas
(usa Debian)

Enviado em 20/01/2012 - 21:50h

Posta o squid conf e detalha qual a regra que faz o blacklist

Adiantando:

Acha dominio que esta bloqueado dentro de seus blacklists remove ele e cria uma outra regra para este caso ex:

acl stream_do_chato dstdomain .upx.net.br
http_access deny stream_do_chato !user_chato

phrich
(usa Slackware)

Enviado em 21/01/2012 - 10:50h

Dê uma olhada neste tópico:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Erro-Radios-Online

nayara
(usa Red Hat)

Enviado em 23/01/2012 - 10:04h

Olá Pessoal,

Obrigada pelas dicas, mas na verdade eu preciso que seja logado o usuário que está acessando a rádio. Gostaria que funcionasse pela autenticação kerberos.
O squid está negando pois não houve autenticação, quando uso a autenticação básica a rádio funciona sem problemas, mas este tipo de autenticação tem me trazido problemas.
Alguém sabe se tem como eu definir que para determinada ACL eu uso tal autenticação e para as restantes eu uso kerberos?

andrecanhadas
(usa Debian)

Enviado em 23/01/2012 - 10:32h

Faz um teste tirando este dominio da autenticação.
Ex:
acl stream_do_chato dstdomain .upx.net.br
acl localusers proxy_auth REQUIRED !stream_do_chato

Não sei se vai aceitar a regra de exceto para proxy_auth REQUIRED mas pode funcionar