Squid + Kerberos + AD (Bloqueio de usuários Pede senha)

markennedy
(usa Ubuntu)

Enviado em 08/02/2013 - 19:06h

Olá Pessoal,

Eu configurei o Squid integrado com o AD usando autenticação Kerberos e está tudo funcionando direitinho, exceto por um fato: Preciso fazer bloqueios a Internet por grupos de usuários, e quando aplico a regra de bloqueio para aquele grupos, os usuários que estão nele, recebem uma tela solicitando a senha DUAS vezes antes de apresentar a mensagem de bloqueio do Squid.

A parte do Kerberos, acho que está tudo funcionando perfeitamente. O Squid me apresenta os logs de acesso dos usuaŕios perfeitamente.

Ainda estou na parte de acerto das configurações, mas essa parte está me quebrando a cabeça. Segui algumas orientações aqui mesmo do VOL e de outros sites mas não revolveu.

ex: http://www.vivaolinux.com.br/topico/Squid-Iptables/Squid-pede-senha-antes-de-Bloquear

Dados das minhas configs:

Versão Squid: 3.1.10
Windows 2008 R2
Testes de navegação: IE, FF, Chrome


Vou colocar aqui a parte da configuração do squid que faz a consulta no AD e as minhas ACLs e se alguém puder ajudar eu agradeço. A configuração ainda está básica (estou tentando corrigir este erro).

auth_param negotiate program /usr/bin/squid_kerb_auth -d -i -s HTTP/proxy_squid.abc.com.br@abc.com.br
auth_param negotiate children 150
auth_param negotiate keep_alive on

#Parametro para leitura de grupo no AD

abc.com.br -S ldapad.abc.com.br@abc.com.br
external_acl_type G_Internet_Liberada ttl=3600 negative_ttl=3600 %LOGIN /usr/sbin/squid_kerb_ldap -i -g G_WLCORP host/proxy_squid.abc.com.br@abc.com.br -D abc.com.br -S serverAD.abc.com.br@abc.com.br

external_acl_type G_Internet_bloqueada ttl=3600 negative_ttl=3600 %LOGIN /usr/sbin/squid_kerb_ldap -i -g G_acesso_internet_bloqueado host/proxy_squid.abc.com.br@abc.com.br -D abc.com.br -S ldapad.abc.com.br@abc.com.br



acl Bloqueia_Acesso external G_Internet_bloqueada
acl Libera_Acesso external G_Internet_Liberada


acl autenticados proxy_auth REQUIRED

# Faz as associacoes para aplicacao das Regras (match);
http_access deny Bloqueia_Acesso
http_access allow Libera_Acesso
http_access allow autenticados
http_access deny all

Tentei outras combinações também, mas não resolveu. Não sei se seria na forma de usar as ACLs

Detalhe: Minha rede é bem razoável, tenho mais de 1500 usuários

Agradeço desde Já.

eveban
(usa Fedora)

Enviado em 18/02/2013 - 11:49h

Aconteceu a mesma coisa comigo hoje, será que foi alguma atualização do 2008, você ja conseguiu resolver este problema ?

Abraços

everson Silva

markennedy
(usa Ubuntu)

Enviado em 18/03/2013 - 12:22h

Eu consegui resolver catando informações de vários lugares. O problema principal no meu caso era a ordem das ALCs mesmo.

Depois que tiver tudo ok, vou tentar fazer um resumo.

Abraço

w@lter
(usa elementary OS)

Enviado em 18/03/2013 - 13:02h

Eu atentico usando a seguinte informação no squid.conf

# Autenticacao no Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
acl AuthorizedUsers proxy_auth REQUIRED

# HTTP Access

http_access allow AuthorizedUsers

falcomer
(usa Ubuntu)

Enviado em 11/04/2013 - 15:44h

Como foi resolvido o problema?


Eu estou usando essa configuração, e quando caí em bloqueio ele aparece a tela de login.

auth_param negotiate program /usr/sbin/squid_kerb_auth -d
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl bloqueio url_regex -i globo

# ACLs externas para buscar grupo baseado em Kerberos.
external_acl_type Internet_AD ttl=3600 negative_ttl=3600 %LOGIN /usr/sbin/squid_kerb_ldap -i -g Internet
##################

acl Internet external Internet_AD

acl autenticado proxy_auth REQUIRED

http_access deny bloqueio Internet

#http_access allow manager localhost
#http_access deny manager
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
#http_access allow localnet

http_access deny !autenticado

http_access allow autenticado

madson0123
(usa Outra)

Enviado em 13/07/2013 - 17:31h

E aê galera, blz?
Eu tô tentando fazer a autenticação por grupo no AD, mas sempre que mando iniciar o serviço, ele cai. Quando fui olhar nos logs, ele mostra a seguinte mensagem de erro:
FATAL: The AcessoFull_AD helpers are crashing too rapidly, need help!

As linhas que fazem a busca por grupos são essas:

external_acl_type AcessoFull_AD ttl=3600 negative_ttl=3600 %LOGIN /opt/squid-3.3/sbin/squid_kerb_ldap -g -i AcessoFull

acl AcessoFull external AcessoFull_AD

Outra coisa, estava usando a forma de autenticação antiga, basic, e era super rápida a navegação, depois que coloquei esse tipo de autenticação, demora d+++.

Quando eu tiro as regras de busca, ele inicia normalmente.

Vlw galera.