Squid 3 não autentica no Samba4 AD

1. Squid 3 não autentica no Samba4 AD

amartinelli
(usa OpenSuSE)

Enviado em 14/05/2014 - 18:06h

Olá guerreiros,

Após alguns dias tentando fazer o squid 3.1 autenticar no Samba 4 estou aqui a procura de uma ajuda.

Tenho um LInux com Samba4 devidamente configurado, estações Windows 7 autenticando no dominio tudo normal.

Porém quero fazer o squid autenticar no Samba 4 também mas ta dificil, a saida no log cache.log é essa:

authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'

Ao abrir o IE ou Chrome fica pedindo senha pelo popup , o que nao deveria pois já estou logado no dominio e mesmo informando os dados de login no popup ele volta a apaceer na sequencia nao efetuando a autenticação no squid, cada tentativa gera a linha do log citada acima.

Configuração do squid para autenticação:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 2
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours

Alguém pode me ajudar ?

0 0

Quote

2. Re: Squid 3 não autentica no Samba4 AD

l0g1in
(usa FreeBSD)

Enviado em 16/05/2014 - 11:51h

Cara seu Servidor Proxy Squid já está ingressado no dominio? instalou e configurou o krb5, samba samba-client, resolv.conf, lembra que para o squid autentica ele ter permissão para acessar o diretor /var/lib/samba/winbindd_privileged
# chown root:squid /var/lib/samba/winbindd_privileged
# chmod 750 /var/lib/samba/winbindd_privileged

#para autenticacao por grupo
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours

external_acl_type wbinfo_check %LOGIN /usr/local/squid/libexec/ext_wbinfo_group_acl
acl libera_grupo external wbinfo_check AcessoTotal #Checa se o usuario do grupo pertence ao grupo acessototal se pertencer ele nevega em tudo, caso nao pertença ele irá somente acessar o site permitido dentro do arquivo site_liberado.txt

http_access libera_grupo

acl site_liberado url_regex -i "/usr/local/squid/acl/site_liberado.txt"
http_access allow site_liberado

no servidor de samba 4 usando o admin pack ou por comando mesmo
/usr/local/samba/bin/samba-tool group add AcessoTotal
/usr/local/samba/bin/samba-tool user add jose
/usr/local/samba/bin/samba-tool group addmembers AcessoTotal jose
/usr/local/samba/bin/samba-tool group listmembers AcessoTotal

/usr/local/samba/bin/samba-tool group add AcessoRestrito
/usr/local/samba/bin/samba-tool user add maria
/usr/local/samba/bin/samba-tool group addmembers AcessoRestrito maria
/usr/local/samba/bin/samba-tool group listmembers AcessoRestrito

Se não o squid não autentica em lugar nenhum, usando o comando wbinfo, no seu servidor proxy
[root@centos-squid ~]# wbinfo -D LABORATORIO
Name : LABORATORIO
Alt_Name : laboratorio.lan
SID : S-1-5-21-2971912295-1610860617-1377398119
Active Directory : Yes
Native : Yes
Primary : Yes

[root@centos-squid ~]# wbinfo -g
allowed rodc password replication group
enterprise read-only domain controllers
denied rodc password replication group
read-only domain controllers
group policy creator owners
ras and ias servers
domain controllers
enterprise admins
acessototal
domain computers
cert publishers
dnsupdateproxy
domain admins
domain guests
schema admins
domain users
dnsadmins

[root@centos-squid ~]# wbinfo -u
administrator
alex
krbtgt
guest

1 0

Quote