Squid autenticando em base Active Directory

Este GUIA é uma receita de bolo que mostra como utilizar Active Directory/Squid para autenticar o acesso a Internet.

[ Hits: 298.693 ]

Por: Leonel Cesar Batista em 05/05/2006


Squid autenticando em base Active Directory



Squid autenticando no Active Directory
(Por Leonel = leo.de.ctba@ig.com.br e Luciano = lucianolm@gmail.com )

Para fins de ilustração, o IP do PDC será 192.168.1.1 e o domínio será meudominio.com.br.

Este documento pretende relatar a nossa experiência e o que fizemos para aproveitar a base LDAP do AD para autenticar o acesso à Internet.

Requerimentos

  • A última versão estável do Squid ;
  • Um PDC rodando Windows 2003 (não testamos no Win2000 mas deve funcionar também)

Preparando o Active Directory:

Criamos uma OU chamada Internet
Dentro da OU Internet criamos quatro Grupos:
  • AcessoPadrao - adicione aqui os usuários com acesso "standard";
  • AcessoRestrito - adicione aqui os usuários que só tem permissão para acessar bancos, intranet e sites de parceiros da empresa;
  • AcessoTotal - adicione aqui quem deve ter acesso total e irrestrito;
  • AcessoDownload - adicione aqui os usuários que podem fazer download de executáveis e extensões de arquivos que são proibidas para quem tem acesso "standard" ou acesso "restrito". Exemplo: .exe,.mpg,.mp3 etc.

Ainda dentro da OU Internet criamos uma conta de usuário com direito de leitura nos grupos acima chamada Proxy_User e cuja senha é 123456 (modifique para senha forte depois).

Para resumir, a estrutura da OU criada e conta de leitura no AD ficam da seguinte forma:

Proxy_User = cn=Proxy_user,ou=Internet,dc=meudominio,dc=com,dc=br
Meu Domínio = dc=meudominio,dc=com,dc=br
OU Internet = ou=Internet,dc=meudominio,dc=com,dc=br

    Próxima página

Páginas do artigo
   1. Squid autenticando em base Active Directory
   2. Instalação resumida do Squid
   3. Exemplo de squid.conf comentado
   4. Explanação sobre cada arquivo citado no squid.conf
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Fazendo hierarquia proxy/Squid

Squid + Sarg + IPtables - Configuração rápida

Firewall + Proxy autenticado + Apache (Centos 5.5 32/64 bits)

Squid com autenticação ncsa_auth no Mandriva 2006

Squid autenticado - Instalar e configurar

  
Comentários
[1] Comentário enviado por agk em 09/05/2006 - 09:50h

Realmente bom o seu artigo, parabéns. Só fiquei com uma dúvida, como você criou os grupos no AD para separar as permissões dos usuários por grupo, gostei da idéia, só não sei como fazer

[2] Comentário enviado por zedogas em 18/07/2006 - 12:24h

TO instalando uma maquina no LINUX (por exemplor Debian), e quero configurar do ZERO o apt-get com o proxy, beleza;
http://usuario@senha:ip:porta nao eh? ENTAO, mas nao vai... TEM COMO INFORMAR UM DOMINIO para o Squid ir lah se autenticar... Do jeito q tah ele pára no proxy (pq nao tem usuario local entende?)

ME AJUDA AE POR FAVOR, como ponho a configuracao no apt-get para entender o proxy q se autentica com usuarios AD? Valeu!

[3] Comentário enviado por fbcarvalho em 16/08/2006 - 10:54h

Estou com um probleminha aqui..
Quando eu estou compliando o LDAP, da um monte de erro e no final aparece isto:
squid_ldap_auth.c:150: warning: 'version' defined but not used
vc sabe me dizer o que pode ser?

[4] Comentário enviado por gelinho em 05/09/2006 - 10:21h

Adicionei no meu squid.conf as linhas referentes a autenticação do usuario no active directory, parecia estar td certo. Porém, quando vou na estação e logo, ele me responde com pagina não encontrada.
Gostaria de saber se alguem tem alguma ideia do que seja e se podiam me ajudar ...


Obrigado

[5] Comentário enviado por brunoleonardo em 28/10/2006 - 15:31h

agk ... para você criar um grupo no ad é só abrir o active directory users and computers e clicar em uma unidade organizacional que voce criou por ex ou no dominio com o botao direito do mouse e adicionar grupo. Apos isso voce adiciona os usuarios ao grupo.

[6] Comentário enviado por vioflas em 03/12/2006 - 02:53h

Segui o passo a passo desse tutorial instalei como ele sugere, no entanto na hora de criar o cache ele diz que o arquivo não foi encontrado, como se o sistema não entendesse que eu coloquei o executável do squid em outro diretório, aí vo manualmente onde squid foi instalado e crio cache /urs/local/sbin squid -z aí ele cria o cache mas a hora de compilar o LDAP dá vários erros não compila alguém pode nos ajudar?

[7] Comentário enviado por rafaelight em 11/12/2006 - 16:16h

Pra essa compilação do squid_ldap_auth e do squid_ldap_group da certo:
1. instalar esses dois pacotes :
libldap2
libldap2-dev

ai depois vc continua o procedimento com o make e etc ...
GOD BLESS YOU

[8] Comentário enviado por kalkyn em 16/01/2007 - 08:39h

Bom amigo curti muito seu tutorial!!!! So tem um problema a maquina ta pedindo autenticação mas quando digito usuario e senha o browser me retorna a tela de login, ja tive esse problema com o PAM e o problema era que ele nao tava localizando os usuarios e senha. Analisando bem o .conf eu percebi que nao a linha que exige a autenticação e tb nao encontrei o que se trata da comparação se e um usuario valido pode navegar. Me corrija se eu estiver errado mas se puder ajudar fico muito grato. Abraços galera

[9] Comentário enviado por kalkyn em 17/01/2007 - 09:15h

Kra tentei fazer a receita de bolo certinha inclusive copiando o .conf daqui mas ele so pede a autenticação quando eu digito usuario e senha ele da o looping... preciso de ajudar urgente.

[10] Comentário enviado por marcoslinss em 17/04/2007 - 15:47h

Galera eu até consegui fazer, mas estou com o mesmo problema do amigão de cima, maquina ta pedindo autenticação mas quando digito usuario e senha o browser me retorna a tela de login. Como resolver isso ???

Atenciosamente.
Marcos Lins.

[11] Comentário enviado por fredenais em 23/05/2007 - 15:59h

Ola para todos,

Usei esse tutorial e funcionou bem depois que corrigi um problema de troca de posição de parâmetros.

Observem que nas seguintes linhas está assim:

acl ldapAcessoRestrito external ldap_group AcessoRestrito
acl ldapAcessoPadrao external ldap_group AcessoPadrao
acl ldapAcessoTotal external ldap_group AcessoTotal
acl ldapAcessoDownload external ldap_group AcessoDownload

Mudei para:

acl AcessoRestrito external ldap_group ldapAcessoRestrito
acl AcessoPadrao external ldap_group ldapAcessoPadrao
acl AcessoTotal external ldap_group ldapAcessoTotal
acl AcessoDownload external ldap_group ldapAcessoDownload

e retirei os ldap das seguintes http_access:

http_access deny ldapAcessoRestrito
http_access allow ldapAcessoTotal
http_access allow ldapAcessoDownload block_arq
http_access allow ldapAcessoDownload palavra_download
http_access allow ldapAcessoPadrao

mudei para

http_access deny AcessoRestrito
http_access allow AcessoTotal
http_access allow AcessoDownload block_arq
http_access allow AcessoDownload palavra_download
http_access allow AcessoPadrao

agora está funcionando tudo bem
Obrigado e parabéns pelo tutorial


[12] Comentário enviado por fernandofat em 04/06/2007 - 15:51h

Muito bom!!! Funcionou para mim na boa!

Parabéns!

[]'s

Fernando

[13] Comentário enviado por balani em 16/06/2007 - 16:38h

Não seria melhor incorpora-lo no dominio?

[14] Comentário enviado por flavio_conceicao em 20/06/2007 - 16:28h

O Meu ta com o seguinte erro:


avc: denied { create } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.134:6): avc: denied { bind } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.134:7): avc: denied { getattr } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:8): avc: denied { write } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:9): avc: denied { nlmsg_read } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:10): avc: denied { read } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.142:11): avc: denied for pid=1766 comm="squid_ldap_auth" dest=389 scontext=system_u:system_r:squid_t:s0 tcontext=system_u:object_r:ldap_port_t:s0 tclass=tcp_socket
proxy squid[1762]: Squid Parent: child process 1764 exited with status 0
proxy squid[2777]: Squid Parent: child process 2779 started
proxy kernel: audit(1180820853.190:12): avc: denied { create } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:13): avc: denied { bind } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:14): avc: denied { getattr } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:15): avc: denied { write } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.202:16): avc: denied { nlmsg_read } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.206:17): avc: denied { read } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.230:18): avc: denied { name_connect } for pid=2781 comm="squid_ldap_auth" dest=389 scontext=root:system_r:squid_t:s0 tcontext=system_u:object_r:ldap_port_t:s0 tclass=tcp_socket


Isso quando tento na estação usar a internet.... a senha da loop e da esse erro !!!

[15] Comentário enviado por Bique em 03/07/2007 - 04:01h

Diz uma coisa ai: Voces estão usando o Windows 2003 Sp1 como PDC? Eu tinha isto funcionando com o Windows 2003 sem SP1 quando actualizei a a utenticação não rodou mais(pede sempre username e Password), alguém já teve o mesmo problema? Como solucionou?

Abraço

[16] Comentário enviado por ticesar em 09/10/2007 - 12:49h

Tenho o mesmo problema do comentário anterior... Como resolver?
A autenticação não funciona, pede sempre username e Password. Obrigado.

[17] Comentário enviado por metabolicbh em 17/10/2007 - 14:51h

Tem alguma premissa a ser seguida para que funcione corretamente???

[18] Comentário enviado por leandromoreirati em 14/01/2008 - 16:59h

Caros,
Preciso fazer meu proxy autenticar no AD, mas quando o usuário logar na maquina esse login servir para a internet. É possivel fazer isso?

Att.

Leandro

[19] Comentário enviado por leo_de_ctba em 24/04/2008 - 08:37h

Galera sobre o tutorial existe um erro eu peço que vcs corrijam:

Modifiquem no AD o nome das OU´s:

de LdapAcessoPadrao para AcessoPadrao
de LdapAcessoAcessoRestrito para AcessoRestrito
de LdapAcessoTotal para AcessoTotal
de LdapAcessoDownload para AcessoDownload

Após renomear as OU´s acima reiniciem o squid e façam o teste a autenticação, deverá funcionar.

um abraço


Leonel

[20] Comentário enviado por eamboni em 09/05/2008 - 08:42h

?comentario=ola tudo bem ?
seguinte queria tirar uma duvida antes de implementar,
amigo, para poder authenticar o squid no AD nao tem nenhum pacote adicional para se instalar? minha base de usuarios tera uns 4000 registros vai dar problema? oq vc aconselha?
abracos

[21] Comentário enviado por eniojorge em 12/08/2008 - 11:57h

Omeu funcionou perfeitamente, somente um porem, não consigo liberar sites da autenticação, principalmente o problema do conectividade social que usa a porta 80. Alguém tem idéia?

[22] Comentário enviado por shaper em 18/11/2008 - 19:42h

Quanto ao Conectividade Social, eu achei um link do Zago...

Espero que ajude.

http://www.zago.eti.br/squid/conectividade-social.html

[23] Comentário enviado por shaper em 06/02/2009 - 13:03h

Caso eu troque NO WINDOWS o usuário de grupo ele perderá automaticamente o acesso à alguns sites dentro do squid?

Por ex:
Usuário no grupo ACESSOTOTAL

jogando ele Dentro do windows para
ACESSOPARCIAL


Eu precisaria fazer mais algo dentro do squid?

Abraço!

[24] Comentário enviado por leo_de_ctba em 09/02/2009 - 16:50h

Shaper:

Se vc criou um grupo no seu PDC Windows chamado "AcessoParcial" deve criar também uma ACL correspondente no squid com o nível de permissões de acesso desejado, caso contrario o usuário não terá acesso algum.

att



Leonel

[25] Comentário enviado por MCVJ em 11/03/2009 - 10:15h

Obrigado pelo artigo leo, bem esclarecedor.

Só tenho uma pergunta, qual seria a config do Samba, devo setar o secutiry level para ADS e alguma outra opção deve ser especificada ?

abraço.

[26] Comentário enviado por lemic em 16/03/2009 - 14:08h

Muito bom...
E a integração com o AD do windows 2008 server, voce ja tentou, estou a algum tempo me batendo com isso, até agora não fui feliz.

[27] Comentário enviado por celosc em 15/04/2009 - 23:11h

Amigos, recentemente implementei a solução proposta no artigo e me deparei com um problema, ao excluir / incluir usuários nos grupos, bem como, alterar a senha dos usuários, o squid somente assimila as alterações ao dar o comando para releitura do squid.conf (service squid reload). Quanto as senhas, acontece que o sistema passa aceitar a senha velha e a nova até eu dar o service squid reload.

Desde já agradeço

Marcelo

[28] Comentário enviado por ogreman em 17/04/2009 - 19:14h

Olá comunidade, segui este mesmo tutorial, só que ao invés de compilar tudo instalei o squid3 via apt-get no Debian 5.

Para funcionar direitinho tive que mudar os caminhos de alguns dos arquivos necessários à coorreta execução do tutorial.

Notem que desativei algumas acl's e removi totalmente a parte de cache do squid (por completa falta de conhecimento e vontade de ver funcionando). Modifiquei também o nome da OU e do Dominio.

OU = Colaboradores
Dominio = empresa.local

Segue conteúdo do squid.conf


---------------------------------------------------------------------------
http_port 8080
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
# As linhas abaixo se referem a autenticação de usuários no AD
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=empresa,dc=local" -D "cn=proxy_user,ou=colaboradores,dc=empresa,dc=local" -w "proxy123" -f sAMAccountName=%s -h 192.168.254.200
auth_param basic realm Este acesso será registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes
emulate_httpd_log on
unlinkd_program /usr/lib/squid3/unlinkd
# ACL externa para autenticação nas bases LDAP do PDC
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=empresa,dc=local" -D "cn=proxy_user,ou=colaboradores,dc=empresa,dc=local" -w "proxy123" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=colaboradores,dc=empresa,dc=local))" -h 192.168.254.200
#acl's padrões
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 9141
acl Safe_ports port 80 # http
acl Safe_ports port 81
acl Safe_ports port 82
acl Safe_ports port 85
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# A acl abaixo faz bloqueio de acesso por IP"
acl block_ip src "/etc/squid3/ips_bloqueados"
# A ACL abaixo barra download de arquivos com extensões exe mp3 wma wmv mpg avi asf
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$
# A ACL abaixo libera alguns sites para acesso sem autenticação como bancos, governo e #Abrapetite
acl libera_restritos dstdomain -i "/usr/local/squid/etc/sites_liberados" # Libera alguns sites #p/user s/acesso
# ACLs de Controle de Conteúdo
acl dominio_bloqueado dstdomain -i "/etc/squid3/block_dominio"
acl dominio_liberado dstdomain -i "/etc/squid3/libera_dominio"
acl sex url_regex -i "/etc/squid3/porno"
acl nosex url_regex -i "/etc/squid3/naoporno"
# ACLs_ACTIVE_DIRECTORY
acl AcessoRestrito external ldap_group AcessoRestrito # Grupo de acesso com restrições
acl AcessoPadrao external ldap_group AcessoPadrao # Acesso a internet padrão
acl AcessoTotal external ldap_group AcessoTotal # Acesso total a internet
#acl AcessoDownload external ldap_group AcessoDownload
# Libera download de arquivo com extensões bloqueadas.
# A ACL abaixo desbloqueia download para o grupo AcessoPadrao
acl download_url url_regex "/etc/squid3/libera_download-url"

o0uo00
#http_access allow libera_restritos
http_access deny AcessoRestrito
http_access allow AcessoTotal
#http_access deny dst_msn
http_access allow dominio_liberado
#http_access allow libera_sites almoco
http_access deny dominio_bloqueado
#http_access allow AcessoDownload block_arq
#http_access allow AcessoDownload palavra_download
http_access allow download_url
http_access deny block_arq
http_access allow nosex
http_access deny sex
http_access allow AcessoPadrao
http_access allow manager localhost
http_access deny manager
http_access deny all
icp_access allow all
#cache_effective_user nobody
#cache_effective_group nobody
visible_hostname proxy.empresa.local
unique_hostname proxy.empresa.local
append_domain .empresa.local
#acl local-servers dstdomain meudominio.com.br
#acl local-serverspr dstdomain meusoutrosdominios.org.br
#always_direct allow local-servers
#always_direct allow local-serverspr
error_directory /usr/share/squid3/errors/Portuguese

# As linhas abaixo evitam anunciar hosts e squid na Internet
#header_access via deny all
#header_access X-Forwarded-For deny all
-------------------------------------------------------------------------------


Qualquer critica, estamos aí. Seja positiva e negativa.

Ps.: Primeira vez que configuro squid, perdoem as possíveis gafes.

[29] Comentário enviado por tobiastromm em 06/05/2009 - 20:19h

Olá!

Eu uso o NT SQUID instalando no windows server 2003.

Configurei conforme o tutorial e funcionou corretamente.

Minha dúvida é se existe alguma opção na qual eu possa colocar para que ele não peça usuário e senha toda hora, pois isso encomoda um pouco o usuário...

Eu utilizo (antes de configurar conforme o tutorial) o "mswin_ntlm_auth" e com ele isso é possível de se fazer (ele faz a autenticação no AD silenciosamente, pedindo usuário e senha apenas quando uma máquina que não está no domínio tenta acessar o proxy).

Será que tem como fazer esse controle por grupos com de forma sileciosa(autenticando automaticamente)? Estive tentando mas não consegui.

se houver alguma solução por favor, me ajude =D

tobias@tromm.no-ip.org


[30] Comentário enviado por calaff2 em 24/05/2009 - 20:20h

ba noite preciso da ajuda da gelera seguir o tutorial , agora estou com alguns problemas, o grupo acesso total , so acessa as paginas que eu libero em sites liberados.

Preciso q o grupo acesso total acesse todas as paginas e o grupo restrito so acesse as pagina que eu liberar.

Outra coisa é :sites_liberados - relação de sites que podem ser acessados sem autenticação (Windows Update, governo e parceiros da empresa); ( coloquei alguns sites + so conseguir acessar autenticando )

Alguem poderia me ajudar como ficaria as acl.

Att: Idalmo Junior

[31] Comentário enviado por jucaetico em 12/08/2009 - 08:03h

Me ajudou muito como referência! Show de bola. Abraços

[32] Comentário enviado por pedroadf em 25/08/2009 - 12:54h

para qm estava com problema de ficar somente pedindo usuario e senha, eu resolvi o problema da seguinte forma:

o squid com AD necessite que seja criado no AD uma OU e um usuario para ele autenticar-se

procedimentos..:::

1-> criei uma OU chamada (INTERNET)
2-> usuario dentro da OU chamado ProxyUser e defini a senha dele 123456


pronto.

agora eh so passar no squid.conf da seguinte forma:

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=empresa,dc=local" -D "cn=proxyuser,ou=Internet,dc=empresa,dc=local" -w "123456" -f sAMAccountName=%s -h 192.168.254.200
auth_param basic realm Este acesso será registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes




resolvido o problema

[33] Comentário enviado por renato.samos em 31/08/2009 - 08:43h

Bom dia Galera......
Estou com um problema aqui e acho que vocês vão conseguir me ajudar ....
Segui o tutorial e consegui fazer o squid autenticar por grupos no AD normalmente... criei as acls normalmente ... o Squid bloqueia tudo que eu quero e libera tudo que eu quero ...
So que assim ... quando o usuario do grupo AcessoTotal abre o navegador ele solicita usuario e senha ... se fosse somente essa vez tudo bem .. mas sempre que ele abre uma pagina ele pede novamente ...
Ex: estou na pagina do Google ... normal ...ai tento acessar o Terra .... se nessa pagina do terra tiver alguma coisa que for bloqueado ele fica abrindo a tela de login e senha ....

Queria saber se teria como o essa autenticação ficasse transparente para os usuarios ... logo que logarem no Dominio ja valida no Squid e não pede mais senha nenhuma ... quando ele acessar alguma coisa bloqueada aparece Access Denied .....

Bom agradeco desde já a ajuda de vocês pois me ajudaram bastante ja .....

quase me esqueci ... já tentei renomear os grupos de ldapAcessoTotal para AcessoTotal e não funciona ...

Bom dia !
:D

[34] Comentário enviado por renato.samos em 31/08/2009 - 09:17h

Opa galera .. consegui solucionar em partes meu problema ...

Meu squid estava assim
http_access deny bloqueados AcessoTotal
http_access allow AcessoTotal

mudei para ficar assim
http_access allow AcessoTotal !bloqueados


agora ele pede a senha somente a primeira vez que abre o Navegador .... depois nao solicita mais mesmo tendo coisas bloqueadas na pagina .. ele bloqueia e ja era .....


agora falta somente ele autenticar quando o usuario loga na rede ....


Voces conseguem me ajudar nessa duvida ???


muito obrigado

[35] Comentário enviado por bestmoor em 12/05/2010 - 08:50h

ola amigo muito bom seu artigo .
estou usando squid3 e autenticando em windows server 2003
o squid esta rodando beleza mais nao consigo fazer autenticar fica sermpre pedindo usuario e senha. criei uma arquivo teste.ldap_auth
coloquei a o comando dentro :
/usr/lib/squid3/squid_ldap_auth -R -b "dc=GNS" -D "cn=Administrador,cn=Users,dc=GNS" -w "senha" -f sAMAccountName=%s -h 192.168.1.1

que seria o caminho do meu servidor

mais sempre retorna o erro quando coloco usuario e senha :

squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
ERR Success

pode me dar alguma luz

[36] Comentário enviado por wcorrea em 28/01/2011 - 14:11h

Olá Boa Tarde a todos.

Acabo de fazer as alterações
e tudo funcionou corretamente

mas estou com duvida em um ponto

quando troco a senha do usuário no AD ele consegue logar no navegador de internet com as senhas novas e tb com as antigas
O que pode solucionar este problema

Obrigado

[37] Comentário enviado por EuzebioViana em 07/03/2011 - 12:13h

Pow vey muito bom, to pensando em implementar um squid com autenticação no AD com server 2003, pq aki o pessoal aki, o squid no server 2003, venhamos comentar q não funfa muitoo lá essas coisas.... server de internet tem q ser LINUX ;D

[38] Comentário enviado por kurten em 11/08/2011 - 16:42h

Olá,

Estou testando essa forma de autenticação agora.
Temos como testar com algum comando se realmente está autenticando? Pois quando abro o navegador ele pede usuário e senha, mas depois gera acesso negado, ou no access.log gera TCP_DENIED.
EXEMPLO: 10.0.0.10 TCP_DENIED/403 1582 GET http://www.terra.com.br/portal/ proxyteste NONE/- text/html

Mas ele aponta o usuario e depois o NONE/ como se não tivesse autenticado.

Alguém passou por isto?

Obrigado.

[39] Comentário enviado por diogoborges em 18/10/2011 - 09:34h

ola pessoal queria uma ajuda de vocês! o link abaixo e o meu problema, por favor help

http://www.vivaolinux.com.br/topico/Debian/squid-autenticado-com-LDAP-por-grupo-no-AD

[40] Comentário enviado por rondineli.araujo em 03/01/2012 - 10:13h

Caro amigo, recentemente consegui ativar um squid com autenticação via Ad 2003, com pop-up solicitando usuário e senha, ele autentica via dois grupos, um internet full e outro com acesso via regras de bloqueio. O squid está legal, rápido, com logs via sarg com acesso a web dentro da lan. Porém, quando adiciono um novo usuário no AD é necessário restartar o squid para que possa ter efeito, na minha empresa há uma rotatividade enorme de usuários, e toda vez tenho que reinicia-lo, tem alguma forma desta integração ficar autormática sem a necessidade de reinicia-lo?

Estou usando um ubuntu, autenticando via samba, winbind, sarg para os logs, squid e um ad 2003 server.

Queria pelo menos um norte de como verificar isto pois, pelo que verifiquei não achei nenhuma opção do tipo ou algo que pudesse estar parando esta automatização.

Aguardo.

[41] Comentário enviado por rondineli.araujo em 15/03/2012 - 08:50h

Eae amigo blza?

Estou com um problema, utilizei um ubuntu como squid, tendo:
krb5.conf, samba, sarg e sessões autenticando em Ad 2003. O que ocorre, criei dois grupos, um com acesso total a internet e um com acesso restrito, porém quando alguem do grupo acesso restrito tenta acessar um site que esta bloqueado ele fica pedindo autenticação novamente, em alguns sites, como por exemplo o ITAU, mesmo eu o colocando na lista de sites liberados ele fica pedidno autenticação direto, enquanto a site esta carregando, acredito que por conta dos popups. Alguem ai pode me ajudar? Queria que ele bloqueasse direto, e não ficasse pedindo autenticação, uma vez que o usuário iniciou a sessão, se ele tentar acessar um site bloqueado, ele teria que aparecer o bloqueio e não ficar pedindo a autenticação.

[42] Comentário enviado por diogospace em 18/09/2014 - 09:09h

Bom dia.

Preciso esclarecer uma duvida.

Quero configurar meu Debian com squid transparent, só que meu servidor atual é Win Server 12 e nele está o AD o DHCP e tudo mais.

A duvida é a seguinte: Preciso passar pelo Win Server para fazer o Gerenciamento do Proxy ou se configurar normal com gerenciamento de listas e td mais, ele funciona?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts