PASSO A PASSO SQUID C/ AD

fomezero
(usa Debian)

Enviado em 07/07/2010 - 20:42h

é o seguinte criei um servidor Linux debian lenny 5 e tal aki com DHCP,DNS,SQUID etc
mas a parte que eu estou apanhando e a autenticação do squid com o 2003 server

eu tenho um servidor 2003 server aki em casa TB mas vo ti dizer como esta a cituação aki

tenho um Windows 2003 server com IP (192.168.10.7) ( Dominio server.com.br )

e tenho Um servidor Linux com o IP ( 192.168.10.2 )

tipow ja consegui fazer regras no squid e tudo mais soh que gostaria de configurar ele para autenticar meus usuarios Do AD

gostaria se possivel um passo a passo explicadinho oq tenho q por no squid.conf para fazer essa comunicação
funcionar pq ja li varios TUTORIAIS e nao consigo intender tem Muitos que Dis que eu Tenho que Criar UMA ( OU ) eu nao sei oq significa essa ( OU ) pode me Diser oq é uma ( OU ) ???

o meu firewall eu segui esse passo a passo do site que esta logo a baixo esta igualzinho


http://www.vivaolinux.com.br/artigo/Instalando-servidor-Debian-Memento/?pagina=7


alguem poderia me ajudar mandando um passo a passo facil de fazer essa configuração do linux com AD ?Por que nao quero bloqueio por IP eu kero Bloqueio por usuario DO AD

Meu AD ta igualzinho a este aki em baixo
Abra o arquivo /etc/squid/squid.conf e atualize para:

# Autor: TAYLOR LOPES
# Arquivo: /etc/squid/squid.conf
#
# Políticas de Acesso a Internet (AI) adotadas
#*********************************************
#
# 01. Definir AI somente para PCs da rede interna (Intranet)
# 02. Definir AI para todos PCs, fora do horário de expediente
# 03. Proibir AI de determinados PCs no horário de expediente
# 04. Definir lista de PC(s) sem AI (bloqueados) 24h/dia
# 05. Proibir uso do Internet Explorer (Estimular Firefox)
# 06. Definir PC(s) com permissão para uso do Internet Explorer
# 07. Proibir formatos de vídeos, áudio e arquivos de risco
# 08. Proibir palavras e sites impróprios/imoral
# 09. Proibir downloads com mais de 5 MB
# 10. Definir PC(s) (admin) com privilegio total de AI
#
# OBS: O controle dos computadores (PC) é feito pelo seu
# endereço físico (MAC) e não pelo IP.
#
# Configuração Geral
#*******************
#
http_port 3128
cache_mem 32 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname servidor.4pef
cache_mgr taylor@pop.com.br
#
# Proxy Transparente
#*******************
#
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#
# acl - Recomendadas
#*******************
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#
# acl - Personalizadas
#*********************
#
# *** Define portas liberadas
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital
#
# *** Define a rede interna (Intranet)
acl intranet src 10.0.0.0/255.0.0.0
#
# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/list/admin.txt"
#
# *** Define a lista de PC(s) autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"
#
# *** Define a lista de sites impróprios
acl site dstdomain -i "/etc/squid/list/site.txt"
#
# *** Define a lista de palavras impróprias
acl palavra url_regex -i "/etc/squid/list/palavra.txt"
#
# *** Define os formatos de vídeo, áudio e outros de risco
acl video urlpath_regex .wma$ .asf$ .mov$ mpg$ .mpeg$ .avi$
acl audio urlpath_regex .mp3$ .wav$ .mid$
acl risco urlpath_regex .exe$ .pps$ .com$ .bat$ .scr$
#
# *** Define o browser Internet Explorer
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
#
# *** Define PC(s) autorizados a usar o Internet Explorer
acl ie_usuario arp "/etc/squid/list/browser.txt"
#
# *** Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
acl bloqueado arp "/etc/squid/list/bloqueado.txt"
#
# *** Define o horário do expediente
acl exp1_seg-qui time MTWH 08:00-12:00
acl exp2_seg-qui time MTWH 13:30-17:00
acl exp1_sex time F 08:00-12:00
#
# http_access - Recomendadas
#***************************
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# http_access - Personalizadas
#*****************************
#
# *** Libera dowloads de ate 5 MB
reply_body_max_size 5242880 allow all !admin
#
# *** Nega sites improprios
http_access deny site !admin
#
# *** Nega palavras impróprias
http_access deny palavra !admin
#
# *** Nega os formatos de vídeo, áudio e outros de risco
http_access deny video !admin
http_access deny audio !admin
http_access deny risco !admin
#
# *** Nega o Internet Explorer
http_access deny ie_browser !ie_usuario !admin
#
# *** Nega Internet no expediente para quem não esta na lista
http_access deny !internet !admin exp1_seg-qui
http_access deny !internet !admin exp2_seg-qui
http_access deny !internet !admin exp1_sex
#
# *** Nega PC(s) sem acesso a internet (bloqueados)
http_access deny bloqueado
#
# Permite acesso da rede interna (Intranet)
http_access allow intranet
#
# *** Nega tudo que não foi liberado ou negado
http_access deny all


Lembrando que oque Estou Aprendendo é somente para aperfeiçoar meu conhescimento fazendo com que eu tenha menos dificuldade de trabalho e nao para fins lucrativos pela Ajuda dos Outros
Por favor alguem me da uma luz pq ta dificil
nao manjo Muito de criação de extrutura pois na pratica tenho pouco tempo de pratica mas tenho muita teoria Sou viciado em Linux e em informatica
entao quem puder me ajudar eu agradesço de coração isso me tira o sono direto pois soh falta essa configuração pra tudo funcionar Perfeitamente

metanol_pa
(usa Debian)

Enviado em 07/07/2010 - 21:47h

Amigo eu tive que montar um Squid autenticando nos usuarios do AD e segui os passos deste tutorial e funfou beleza.

http://www.vivaolinux.com.br/artigo/SUSE-Linux-Squid-autenticando-no-Active-Directory-%28AD%29/

Basicamente a parte de autenticação no AD refere-se a está parte do tutorial:

Adicione abaixo dela as seguintes linhas:

auth_param basic program /usr/sbin/squid_ldap_auth -R -b dc=dominio,dc=local -f sAMAccountName=%s -h 192.168.0.254 -D
cn=squid,cn=users,dc=dominio,dc=local -w password

Explicação:

dc=dominio,dc=local = domínio do AD (meu exemplo no início, dominio.local)
192.168.0.254 = Endereço IP do servidor AD
cn=squid,cn=users,dc=dominio,dc=local = Caminho completo de onde está o usuário
password = A senha que foi definida no AD

Não esqueça de criar o usuario no ad conforme o tutorial.


Espero ter ajudado ;)

fomezero
(usa Debian)

Enviado em 07/07/2010 - 22:33h

VAI FICAR ASSIM VERIFICA SE ESTA TUDO CORRETO

NOME DO MEU AD ( SERVIDOR ) IP (192.168.10.7)

NOME DO PC EM LINUX ( SERVER ) IP (192.168.10.2)

MEU USUARIO QUE CRIEI NO AD 2003 É ( ADMIN ) senha ( 1234567 )

ENTAO TEM QUE FICAR ASSIM ????


auth_param basic program /usr/sbin/squid_ldap_auth -R -b dc=SERVIDOR,dc=local -f sAMAccountName=%s -h 192.168.10.7 -D
cn=ADMIN,cn=users,dc=SERVIDOR,dc=local -w 1234567




((((( OQUE É ESSE CN=USERS ??? OQ COLOCO AKI ? ))))))


CONFIRMA PRA MIM SE TA TUDO CERTINHO E SE TIVER ALGO MAS PRA COLOCAR ME AVISA

metanol_pa
(usa Debian)

Enviado em 07/07/2010 - 22:38h

CN=USER é a OU onde está o usuário que vc criou no caso o ADMIN

fomezero
(usa Debian)

Enviado em 08/07/2010 - 10:54h

entao vai ser assim ???

auth_param basic program /usr/sbin/squid_ldap_auth -R -b dc=SERVIDOR,dc=local -f sAMAccountName=%s -h 192.168.10.7 -D
cn=ADMIN,cn=ADMIN,dc=SERVIDOR,dc=local -w 1234567


então FICA ADMIN ADMIN

cn=ADMIN,cn=ADMIN ?

SOMENTE ESSAS CONFIGURAÇOES SAO O BASTANTE PARA A SINCRONIA COM ( AD ) ???