integração ad squid [RESOLVIDO]

elias.medina
(usa Ubuntu)

Enviado em 24/06/2015 - 11:01h

Ola, gente podem me ajudar com uma duvida que estou... Segue o cenário:
Quero que o squid ultilize uma acl externa, no caso um grupo no AD; e que essa acl também tenha uma whitelist. Fiz a configuração:
Ele pede a senha de usuário mas mesmo sem tendo usuários no grupo ele esta liberando a navegação. Parece que não esta consultando o grupo.
"winbind -g" ja retorna para mim os grupos:
internet_n1
internet_n2
internet_n3
imskype
redesociais

##########################################################################

# NTLM

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching

auth_param basic credentialsttl 2 hours



acl autentica proxy_auth REQUIRED

http_access allow autentica

external_acl_type NT_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl



# Liberaçao de sites por URL n1

acl acl_internet_n1 external NT_group internet_n1 url_regex -i "/usr/local/squid/var/acls/acl_internet_n1.txt"

http_access allow acl_internet_n1

##########################################################################

 

Quero fazer com que os usuários do grupo "internet_n1" tenham apenas acesso aos sites da "acl_internet_n1". E quem não estiver nesse grupo não navegue.
Grato

ewerton9lins
(usa Debian)

Enviado em 06/07/2015 - 17:17h

Boa tarde elias.medina!

Bem, eu tive que montar um servidor de Proxy com o Squid e fazer com o que o mesmo interagisse com o Windows Server 2008 por causa do AD, te recomendo esse vídeo: https://www.youtube.com/watch?v=tAC6nmhgjiI . Não sei se há um melhor, mas esse vídeo me ajudou muito.

Abraços!

elias.medina
(usa Ubuntu)

Enviado em 07/07/2015 - 11:44h

Ola ewerton9lins, vou assistir o vídeo. Obrigado

migsauaia
(usa Linux Mint)

Enviado em 15/07/2015 - 14:42h

Elias, aqui no meu faço da forma abaixo, possuo 3 arquivos por regra (whitelist, blacklist e exception).



ACL baseada no binário squid_ldap_group (pode ser utilizado para consulta em vários domínios)

external_acl_type <nome da acl> children=4 %LOGIN /usr/lib64/squid/squid_ldap_group -S -b <OU do usuário> -D <usuário para consulta no AD> -w <senha de consulta> -f "(&(sAMAccountName=%u))" -h <DC>

ACL baseada no binário wbinfo_group.pl (pode ser utilizado no domínio utilizado pelo servidor)

external_acl_type <nome da acl> %LOGIN /usr/lib64/squid/wbinfo_group.pl

acl admin_unix external <nome da acl> Admin_Unix
acl admin_unix_whitelist dstdomain -i < arquivo whitelist>
acl admin_unix_exception url_regex -i <arquivo exception>
acl admin_unix_blocked url_regex -i <arquivo blocked>

acl senha proxy_auth REQUIRED

http_access allow admin_unix admin_unix_exception senha
http_access allow admin_unix !admin_unix_blocked admin_unix_whitelist senha