Squid 3.1 autenticado ntlm + samba 4!

Olliveira
(usa Outra)

Enviado em 06/05/2014 - 16:48h

Boa tarde Pessoal,

Sou novo por aqui e estou começando a trabalhar um pouco mais com linux, normalmente consigo resolver todas as dificuldades que tenho sozinho, através de estudo, pesquisa na web e no próprio fórum aqui. Porém estou com dificuldades para conseguir maiores informações de como posso realizar a autenticação do squid 3.1 no samba 4, tendo em vista que no meu cenário estou com o Samba 4 como AD e o proxy squid no mesmo servidor.
Sei que não é o ideal, porém estou criando um servidor único para suprir os serviços de DNS, DHCP, AD (samba4), Proxy (Squid), Firewall (iptables). Se alguém conseguir me auxiliar nestas dúvidas com material ou dicas, ficarei grato. Lembrando que tenho estudado e procurado na net, inclusive pesquisando nos sites oficiais do samba e squid.
Grato pela atenção desde já!!

removido
(usa Nenhuma)

Enviado em 06/05/2014 - 19:26h

Tu vai autenticar via ldap né?

Exemplo de configuração do squid autenticando em base LDAP.

# Autenticação do usuário no LDAP

auth_param basic program /usr/lib/squid3/squid_ldap_auth -v3 -b "ou=Usuarios,dc=dominio,dc=com,dc=br" -f "(uid=%s)" -H ldap://server:389

auth_param basic children 30

auth_param basic realm Acesso a Internet

auth_param basic credentialsttl 5 minutes

auth_param basic casesensitive off 

olliveira
(usa Outra)

Enviado em 08/05/2014 - 14:47h

Obrigado pelo retorno, mas estou procurando uma forma de realizar a autenticação integrada, assim como era possível com o samba 3 e squid no AD do 2003, buscando os usuarios ou grupos de forma integrada na autenticação.
A forma básica já realizei.

l0g1in
(usa FreeBSD)

Enviado em 08/05/2014 - 16:53h

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching Web Server
auth_param basic credentialsttl 5 hours

acl usuarios proxy_auth REQUIRED
http_access allow all usuarios

# cd /usr/local/squid/sbin
# ./squid -d 7 (para fazer o debug ver se dar algum erro)
# killall -9 squid
# ./squid

olliveira
(usa Outra)

Enviado em 08/05/2014 - 17:46h

Pessoal, obrigado pela ajuda, porém o que procuro não é a autenticação básica, não quero o pop-up apareça para o usuario digitar user e senha, quero que seja integrado, o usuario estando no grupo do samba 4 liberado e logado na estação navegue, sem ter que autenticar novamente, como era possível no squid + ad, com winbind e samba 3.
Quero o squid autenticado para identificar os usuarios na navegação de forma transparente, mantendo controle.
Para ter uma noção como faço com o ambiente hibrido posto abaixo como está hoje minha configuração de outros 2 servers.

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -d 2
auth_param ntlm children 60
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 2
auth_param basic realm Domain Proxy server
auth_param basic casesensitive off
auth_param basic credentialsttl 2 hours

external_acl_type NT_global_group children=10 %LOGIN /usr/sbin/wbinfo_group.pl
acl ProxyUsers external NT_global_group gg_proxy
acl auth proxy_auth REQUIRED

http_access deny !ProxyUsers
http_access allow lcl auth

A integração através de toda a configuração do samba-client, krb.conf, winbind, smb.conf, que gostaria de saber como fazer em questão ao Samba 4, pois editar os arquivos smb.conf do samba 4 (AD), krb5, e sem ter que alterar o restante da configuração seria retroceder para o samba 3.
Grato pela atenção!

l0g1in
(usa FreeBSD)

Enviado em 08/05/2014 - 20:19h

Cara é pra funcionar tranquilo só irá pedir autenticação o cara que não estiver do seu dominio, e não quem está autenticando no samba 4 automaticamente autentica no AD, se o cara estiver fora do dominio ele ele abrir o navegar ai pedirá usuario e senha.

olliveira
(usa Outra)

Enviado em 09/05/2014 - 16:57h

Root360, estou com ambiente de teste montado, com o samba 4 provisionado para dominio, DNS, DHCP, todos os serviços necessários configurados, uma estação no dominio, usuario criado e logado na estação, simplesmente abro o navegador com este usuário que tem permissão teoricamente para navegar livremente, o navegador ao abrir solicita a autenticação de usuario e senha. Quero como tenho em um ambiente já montado com o samba 3, que o squid verifique se este usuário tem permissão com base no grupo do dominio, identificando o usuario para posterior relatório de acesso. Integrado a navegação sem pop-up de autenticação abrindo. Não encontrei nenhuma referência em material do samba 4 ou squid sobre isso, conversei com outros colegas da área e desconhecem esta configuração se é possível.
Grato!

l0g1in
(usa FreeBSD)

Enviado em 11/05/2014 - 10:59h

Cara seu servidor proxy está no domínio do Samba4, se ele não estiver não vai autenticar, caso esteja tudo configurado no proxy, outra coisa é que dentro do diretório /var/lib/samba/winbindd_privileged o squid tem que ter acesso a essa pasta para autenticar caso não tenha não vá autenticar nunca.

# chown root:squid /var/lib/samba/winbindd_privileged
# chmod 750 /var/lib/samba/winbindd_privileged

olliveira
(usa Outra)

Enviado em 12/05/2014 - 09:48h

Ainda sem solução, root360, o winbind por padrão está voltado para o samba padrão da distribuição do CentOS, sendo assim o padrão é o samba 3, se não realizar a configuração do krb5.conf, smb.conf na pasta padrão, winbind na pasta padrão, instalar o samba-client não vai funcionar, seria a mesma coisa que ter um dominio com o Samba 4 e um cliente com samba 3 no mesmo servidor. Para o squid não estou encontrando solução para trabalha com autenticação por grupo, ou autenticação integrada com o dominio, vou ter que acabar fazendo uma "gambiarra" pra funcionar, instalar o samba client, winbind, samba 3 e configurar tudo pra autenticar no dominio.

l0g1in
(usa FreeBSD)

Enviado em 12/05/2014 - 10:10h

olliveira
(usa Outra)

Enviado em 12/05/2014 - 10:46h

E aí root360, seguinte, meu proxy está no dominio do samba 4, lembrando que compilei o pacote samba 4, sendo este localizado em /usr/local/samba, se eu executar o wbinfo -t, wbinfo -u, ele vai retornar um erro, pois preciso usar a ferramenta na localização do pacote do samba 4, /usr/local/samba/bin/wbinfo -D dominio retorna certinho.
Se eu executar a ferramenta sem o caminho ocorre o erro, retorno todos os meus usuarios e grupos, usando o caminho.
krb5,winbind, samba 4 estão instalados.
Lembrando que meu servidor de dominio e proxy são o mesmo server sendo assim estão no dominio, pois ele é o dominio.
Pra instalar o samba como mencionou seria a instalação do samba 3.5 e o client também, eu teria dois serviços do samba rodando no server.
Lembrando que minha meta principal é ter os usuarios autenticados de forma integrada sem a necessidade de ficar autenticando ao abrir o navegador, já estando logado na estação com usuario do dominio. Usar os grupos oriundos do dominio do samba 4 para definir as acls no proxy de forma centralizada no dominio do samba 4, se tiver alternativa gostaria de ouvir.

Grato pela atenção!

l0g1in
(usa FreeBSD)

Enviado em 12/05/2014 - 11:22h

Cara nunca fiz dessa maneira, no mesmo servidor por isso não sei se funciona, mais vou testar se der certo posto.