Squid autenticando no AD [Duvida].

gui_lxsvr
(usa Ubuntu)

Enviado em 27/04/2011 - 11:27h

Segue o retorno do comando citado e abaixo o conf...

# wbinfo -t
checking the trust secret for domain TORRES.L1 via RPC calls failed
Could not check secret


#======Incio do Squid.conf====================#
http_port 3128
icp_port 3130
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin ?
#no_cache deny QUERY
cache_mem 1500 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 9216 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /var/log/squid/ 2500 16 100
cache_access_log /var/log/squid/access.log
cache_store_log none

#============================================
# As linhas abaixo se referem a autenticacao de usuarios no AD
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=Server,dc=com,dc=br" -D "cn=Proxy_user,ou=Internet,dc=Server,dc=com,dc=br" -w "123456" -f sAMAccountName=%s -h 192.168.1.167
auth_param basic realm Este acesso sera registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes
#============================================

emulate_httpd_log on
mime_table /usr/share/squid/mime.conf
pid_filename /var/run/squid.pid
ftp_user squid@dominio.local
ftp_passive on
unlinkd_program /usr/lib/squid/unlinkd


#============================================

# ACL externa para Autenticacao nas bases LDAP do PDC

external_acl_type ldap_group %LOGIN /usr/lib/squid/ldap_auth -R -b "dc=Server,dc=com,dc=br" -D "cn=Proxy_user,ou=Internet,dc=Server,dc=com,dc=br" -w "123456" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=%a,dc=Server,dc=com,dc=br))" -h 192.168.1.167

#============================================


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 9141
acl Safe_ports port 80 # http
acl Safe_ports port 81
acl Safe_ports port 82
acl Safe_ports port 85
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#============================================
# A acl abaixo faz bloqueio de acesso por ip"
acl block_ip src "/etc/squid/acls/ips_bloqueados"
#============================================
# a acl abaixo efetua bloqueio do msn
acl dst_msn dstdomain -i "/etc/squid/acls/msn_domain"
#============================================
# A acl abaixo barra download de arquivos com extensoes exe mp3 wma wmv mpg avi asf
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$
#============================================
acl palavra_download url_regex -i "/etc/squid/acls/palavra_download-url"
#============================================
# As acls abaixo relaxam o controle de conteudo das 12:00 as 13:30
# inserir os sites a serem liberados das 12 as 13 no arquivo /usr/local/squid/etc/libera_almoco
acl libera_sites url_regex -i "/etc/squid/acls/libera_almoco"
acl almoco time SMTWHFA 12:00-13:30 # libera acesso das 12 as 13:30 #de segunda a domingo.
#============================================
#A acl abaixo libera alguns sites para acesso sem autenticacao como bancos,governo e Abrapetite
acl libera_restritos dstdomain -i "/etc/squid/acls/sites_liberados" # Libera alguns sites p/user s/acesso
#============================================
#ACLs de Controle de Conteudo
acl dominio_bloqueado dstdomain -i "/etc/squid/acls/block_dominio"
acl dominio_liberado dstdomain -i "/etc/squid/acls/libera_dominio"
acl sex url_regex -i "/etc/squid/acls/[*****]"
acl nosex url_regex -i "/etc/squid/acls/naoporno"
#========ACLs_ACTIVE_DIRECTORY=======================
acl ldapAcessoRestrito external ldap_group AcessoRestrito
acl ldapAcessoPadrao external ldap_group AcessoPadrao
acl ldapAcessoTotal external ldap_group AcessoTotal
acl ldapAcessoDownload external ldap_group AcessoDownload

#===============================================
#A Acl abaixo desbloqueia download para o grupo AcessoPadrao
acl download_url url_regex "/etc/squid/acls/libera_download-url"
#===============================================
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny block_ip
http_access allow libera_restritos
http_access deny ldapAcessoRestrito
http_access allow ldapAcessoTotal
http_access deny dst_msn
http_access allow dominio_liberado
http_access allow libera_sites almoco
http_access deny dominio_bloqueado
http_access allow ldapAcessoDownload block_arq
http_access allow ldapAcessoDownload palavra_download
http_access allow download_url
http_access deny block_arq
http_access allow nosex
http_access deny sex
http_access allow ldapAcessoPadrao
http_access allow manager localhost
http_access deny manager
http_access deny all
icp_access allow all
cache_effective_user squid
cache_effective_group squid
visible_hostname Squid
unique_hostname lxsrv.com.br
append_domain .com.br
acl local-servers dstdomain localhost.local
acl local-serverspr dstdomain Server.com.br
always_direct allow local-servers
always_direct allow local-serverspr
error_directory /usr/share/squid/errors/pt-br
#===============================================
#As linhas abaixo evitam anunciar hosts e squid na Internet
#===============================================
header_access via deny all
header_access X-Forwarded-For deny all
#===================fim_do_squid.conf================

anonymous
(usa Debian)

Enviado em 27/04/2011 - 20:32h

O resultado do comando wbinfo -t teria que retornar algo parecido com checking the trust secret via RPC calls succeeded.
Faz o seguinte, na servidor linux edita o arquivo hosts e adiciona a seguinte linha
ipdodc hostnamedodc fqdndodc
Salva e sai
Após isso executa o comando
kinit nomedacontadoadm@DOMINIO, exemplo: kinit administrator@DOMINIO.COM.BR
insira a senha do administrador do domínio
Após isso digite
net ads join -U contadoadm, exemplo: net ads join -U contadoadm

reinicia o samba, winbind e squid
Após isso tenta acessar a internet.

removido
(usa Nenhuma)

Enviado em 27/04/2011 - 22:38h

Cara tenta com esse artigo que eu escrevi, segue o link:
http://vivaolinux.com.br/artigos/impressora.php?codigo=11889

Com ele vc vai conseguir, é só pular as partes que não te enteressar.

gui_lxsvr
(usa Ubuntu)

Enviado em 28/04/2011 - 08:34h

Bom Dia Agradeço aos dois senhores desde já.

Preciso testar as opçoes que me passaram,

Assim que possivel espero posta um resolvido!!!

Obrigado meus queridos LX companheiros.

anonymous
(usa Debian)

Enviado em 28/04/2011 - 10:06h

gui_lxsvr,

Esqueci de perguntar, você consegue conectar via ldap no servidor windows.
Qual é o retorno do comando # telnet ipdodc 389 ?
Outra coisa, achei no VOL o how-to muito parecido com o seu (http://www.vivaolinux.com.br/artigos/impressora.php?codigo=4570), foi esse how-to que você seguiu? Se sim, verifiquei que tem alguns comentários e alterações que você não fez no seu .conf, dá uma lida nos comentários, pois, várias pessoas reclamaram do mesmo problema que você está tendo.

Uma outra recomendação é seguir o how-to elaborado pelo rafaelrsr, apesar de não ter implementado, eu li e achei muito bom.

jairovisks
(usa Debian)

Enviado em 05/05/2011 - 17:47h

Cara tenta esse artigo aqui:
http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory?pagina=1

segue a receita de bolo. Não pule nenhuma fase, exceto no final onde você pode escolher entre autenticação com ou sem popup

Pra mim funcionou perfeito.

Abs

Jairo Rodrigues