squid separação de acesso por grupos do AD win server 2003

landin0
(usa Ubuntu)

Enviado em 20/05/2013 - 12:09h

Mudei o arquivo squid.conf que possuía e já fiz todas as comunicações necessários com kerberos e winbind para usar o active directory para poder usar autenticação windows e estou tendo problemas, do jeito que configurei o squid vai pegar as credencias do usuário já ativa no windows.

Se puderem dar uma conferida pra ver o que está errado.

Segue o squid.conf:

## Autenticação Windows ##
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 1000
auth_param ntlm keep_alive on
###

###Controles de Acesso (ACL) ###
acl all src
acl localhost src 127.0.0.1/32
acl AuthorizedUsers proxy_auth REQUIRED

###Meus controles de acesso ###
external_acl_type NT_global_group children=1000 %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl acesso_corporativo external NT_global_group AIPT_INTERNET_CORPORATIVA
acl acesso_padrao external nt_group AIPT_INTERNET_PADRAO
acl liberados url_regex "/etc/squid3/liberados"
acl negados url_regex "/etc/squid3/negados"
acl downloads urlpath_regex \.avi$ \.mp4$ \.mkv$ \.rmvb$ \.mp3$ \.avi? \.mp4? \.mkv? \.rmvb? \.mp3?
acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$
acl youtube_domains dstdomain .youtube.com .googlevideo.com .ytimg.com
######

### HTTP_ACCESS ###
http_access allow AuthorizedUsers
http_access allow acesso_corporativo
http_access allow liberados
http_access deny negados
http_access deny youtube_domains
http_access deny proibir_musica
http_access deny downloads
http_access allow acesso_padrao
######
http_access allow localhost
http_access deny all



### Configurações gerais ###
http_port 3128
# a porta que sera usada para o squid
cache_mem 128 MB
# a quantia de memória dedicada para o cache
maximum_object_size_in_memory 4 MB
# tamanho maximo por arquivo na memoria ram
cache_dir ufs /var/spool/squid3 3072 16 256
# diretório do cache com os 3072mb que sera usado em disco que sao 16 diretorios e 256 subdiretorios
access_log /var/log/squid3/access.log squid
# onde ficara a log que o squid gerará
cache_mgr tic.porto@acciona.com.br
# e-mail de quem administra o proxy
visible_hostname proxy_teste
# nome que sera exibido do proxy
error_directory /usr/share/squid3/errors/pt-br
# onde ficaram os acessos indevidos dos usuários

stefaniobrunhara
(usa CentOS)

Enviado em 21/05/2013 - 10:20h

No seus squid.conf você esta usando o mecanismo ntls, este mecanismo não tem condições de acessar a base de usuários do AD. Meu squid esta autenticando no Windows com o AD "active diretory" instalado.





Veja as minhas configurações


auth_param basic realm sbh0px00 Proxy
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=sangiovanne,dc=com,dc=br" -D "cn=squid,cn=users,dc=sangiovanne,dc=com,dc=br" -f "sAMAccountName=%s" -w "SenhaXX@" -h 192.168.0.252

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=s,dc=com,dc=br" -D "cn=squid,cn=users,dc=s,dc=com,dc=br" -w "SenhaXX@" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=s,dc=com,dc=br))" -h 192.168.0.252

landin0
(usa Ubuntu)

Enviado em 21/05/2013 - 16:03h

Como eu faço para que o squid use as credencias ativas na sessão de windows que o usuário estiver, sem a necessidade de tela de login no browser?

stefaniobrunhara
(usa CentOS)

Enviado em 21/05/2013 - 19:26h

Sem o login não tem como relacionar o usuário a uma conta que esta dentro do AD, para que o squid possa aplicar as regras.

landin0
(usa Ubuntu)

Enviado em 21/05/2013 - 19:32h

Não seria sem o login, o squid iria ler as credencias já ativas do ambiente, ou seja, o usuário logado com as credenciais do domínio abriria o browser sem a necessidade de logar no browser, o squid aproveitaria as credencias de logon. Não sei se ficou claro, mas é isso que eu quero fazer.

Pelo que andei pesquisando seria feito com estes parâmetros a autenticação:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive on

Assim não apareceria o pop-up pedindo autenticação. Mas não funcionou, acho que não tenho o módulo --helper-protocol=squid-2.5-ntlmssp instalado e não consegui jeito de instalar.

stefaniobrunhara
(usa CentOS)

Enviado em 22/05/2013 - 08:43h

Tempos atrás eu tive este mesmo pensamento, achar uma forma do navegador informa para o squid, quem esta logado, procurei por isto e não encontrei nada, então vou dizer que não tem jeito. "Afirmações sobre problemas de informática e complicado kkk"


Acredito que até seja uma falha de segurança você conseguir isto!