SOCORRO! Squid + Active Directory [RESOLVIDO]

1. SOCORRO! Squid + Active Directory [RESOLVIDO]

flaviomilan
(usa Arch Linux)

Enviado em 24/02/2011 - 17:28h

Amigos, venho desesperado pedir ajuda. Há 3 dias não faço nada a nao ser ficar em cima de um computador fazendo essa integração funcionar.

Creio que estou chegando perto e que pode ser algo relativamente simples.

O que acontece é que quando eu dou

net ads join - ele entra no dominio
wbinfo -t - ele acusa sucessed
wbinfo -u - Ele me mostra somente os usuarios que tenho no linux e não no AD.

Veja a saida do wbinfo -u

root@squidserver:~# wbinfo -u
SQUIDSERVER+nobody
SQUIDSERVER+flaviomilan

ajudem por favor...
segue os configs

utilizo o debian 6 "squeeze".

Kerberos - /etc/krb5.conf

[libdefaults]
ticket_lifetime = 24000
default_realm = APAE.COM.BR
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
APAE.COM.BR = {
kdc = servidor.apae.com.br
admin_server = servidor.apae.com.br
default_domain = servidor.apae.com.br
}

[domain_realm]
.apae.com.br = APAE.COM.BR
apae.com.br = APAE.COM.BR

[login]
krb4_convert = true
krb4_get_tickets = false

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

Squid3 - /etc/squid3/squid.conf

# /etc/squid3/squid.conf
#
# Autor: Leandro Moreira <leandro@leandromoreira.eti.br>
#
# Licença: GPL - http://www.gnu.org/licenses/gpl.html
# Solicito apenas que informe a fonte original.
#
# Descrição:
# - Arquivo para configuração do squid
#
##########################################

# Portas
#########################################
http_port 3128

# OTIMIZANDO CONEXÕES
#########################################
hierarchy_stoplist cgi-bin ?
###acl QUERY urlpath_regex cgi-bin \? \& \%
###no_cache deny QUERY
####hosts_file /etc/hosts

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Logs
########################################
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
#access_log /var/log/squid3/access.log combined
access_log /var/log/squid3/access.log
#cache_log /var/log/squid3/cache.log

auth_param ntlm program /usr/bin/ntlm_auth
auth_param ntlm children 5

acl AuthorizedUsers proxy_auth REQUIRED

# ACLs
#########################################

# acls de origem
# =======================================
# qualquer rede
#acl all src 0.0.0.0/0.0.0.0
# rede loopback
acl localhost src 127.0.0.1/32
# rede dmz (rede servidores)
#acl dmz src 192.168.0.0/24
# rede administrativo (rede setor administrativo)
acl administrativo src 192.168.0.0/24
# rede acadêmica (rede setor acadêmico)
#acl academica src 172.16.0.0/24
### admins (IPs com acesso administrador do squid - não usam proxy para navegar)
#acl admins src 172.16.10.180/32

# acls de destino
# =======================================
acl allDest dst all
acl to_localhost dst 127.0.0.0/8
# acls de portas
# =======================================
# portas seguras
acl SSL_ports port 443 563
# demais serviços
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # tomcat
acl Safe_ports port 8443 # tomcat - ssl
acl Safe_ports port 10000 # webmin
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
#acl Safe_ports port 901 # SWAT
acl Safe_ports port 4500 # Biblioteca USP dedalus
acl Safe_ports port 2083 # CPANEL
acl Safe_ports port 2631 # Conectividade Social
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 8333 # WMWARE SERVER
# acls default squid
# ========================================
acl purge method PURGE
acl CONNECT method CONNECT
#http_access allow manager localhost
#http_access deny manager
http_access allow purge localhost
http_access deny purge

# acls de segurança
# =======================================
# proteção do cache
#acl manager proto cache_object

# ========================================
# 1 - acl controlar sites (sites-proibidos)
# ----------------------------------------
acl sites_deny dstdomain -i "/etc/squid3/acls/sites-proibidos"
acl sites_allow dstdomain -i "/etc/squid3/acls/sites-permitidos"
acl caixa dstdomain -i .caixa.gov.br

# 2 - acl controlar palavras de sexo, baixo calão, etc
# ----------------------------------------
acl palavras_deny url_regex -i "/etc/squid3/acls/palavras-deny"
acl palavras_allow url_regex -i "/etc/squid3/acls/palavras-allow"

# 3 - acl controlar horário de expediente
# ----------------------------------------
#acl horario_allow url_regex -i "/etc/squid3/horario_allow"
#acl fora_expediente time MTWHFA 20:01-23:59
#acl fora_expediente2 time MTWHFA 00:00-05:59

# 4 - acl liberacao Windowsupdate
# ----------------------------------------
acl update dstdomain -i Windowsupdate.microsoft.com au.download.Windowsupdate.com

# acls de sites locais
# =======================================
acl sites_locais dst 192.168.0.100
#acl sites_locais dstdomain 192.168.0.100

# HTTP ACCESS
##########################################

# regras das acls de origem
# ========================================
# libera os administradores
#http_access allow admins

# regras das acls de portas
# ========================================
# bloqueia todas as portas não listadas
http_access deny !Safe_ports
# bloqueia conexões das portas seguras não listadas
http_access deny CONNECT !SSL_ports

# regras das acls de controle (bloqueio e políticas de rede)
# ========================================

http_access allow all AuthorizedUsers

# 1 - controle de acessos especiais
# ----------------------------------------
# bloqueia tudo com exceção do arquivo excecao
#http_access allow update
#http_access allow liberaexe

# 2 - controle de acesso de sites proibidos
# ----------------------------------------
http_access deny sites_deny !sites_allow

# 3 - controle de acesso da acl de palavras de sexo, baixo calão, etc
# ---------------------------------------
# bloqueia todas as palavras da lista de proibidas com exceção das
# palavras liberadas
http_access deny palavras_deny !palavras_allow

# 4 - controle de horário de expediente
# ----------------------------------------
# bloqueia utilização fora do expediente
#http_access deny !horario_allow fora_expediente
#http_access deny !horario_allow fora_expediente2
# 5 - controle de acesso ao site da caixa (Conectividade social)
# ---------------------------------------
# permite acesso direto ao site da caixa, sem restrições
http_access allow caixa
always_direct allow caixa
# 6 - controle de acesso da acl de palavras de sexo, baixo calão, etc
# ---------------------------------------
# bloqueia todas as palavras da lista de proibidas com exceção das
# palavras liberadas
http_access deny palavras_deny !palavras_allow

# HTTP REPLY ACCESS
#########################################
http_reply_access allow all

# ICP ACCESS
#########################################
icp_access allow all

# MISS ACCESS
#########################################
miss_access allow all

# MODO DE FTP PASSIVO
#########################################
#ftp_passive on

# DNS
#########################################
dns_nameservers 192.168.1.2

# SNMP
acl snmpro snmp_community local
snmp_access allow snmpro all
snmp_port 3401

# CONFIGS Diversas
########################################
# Email do administrador
cache_mgr flaviomilan@linuxmail.rog
# Host visível
visible_hostname squidserver.apae.com.br
# Linguagem dos erros
error_directory /usr/share/squid3/errors/Portuguese
# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 4

Samba - /etc/samba/smb.conf

unix charset = ISO-8859-1
workgroup = APAE
netbios name = SQUIDSERVER
server string = squidserver
log level = 5
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = APAE.COM.BR
security = ADS
auth methods = winbind
password server = servidor.apae.com.br
winbind separator = +
encrypt passwords = yes
printcap name = cups
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = servidor.apae.com.br
dns proxy = no
ldap ssl = no
printing = cups
disable spoolss = yes
show add printer wizard = no
template shell = /bin/bash
template homedir = /home/%U

Muito Obrigado a Todos!

0 0

Quote

2. MELHOR RESPOSTA

removido
(usa Nenhuma)

Enviado em 24/02/2011 - 17:48h

Fala cara.

Segue alguns links para te auxiliar.

http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory/
http://linuxflex.blogspot.com/2008/01/integrando-o-samba-e-squid-com-o-active.html

Dá uma conferida nos teus arquivos de configuração como hosts, e etc.

Qualquer coisa posta aí.

Abraço.

0 0

Quote

3. VALEUU!!!

flaviomilan
(usa Arch Linux)

Enviado em 25/02/2011 - 08:18h

Seguindo seu segundo tuto, eu vi uma dica que é apagar o secrets.tdb e o micro squid no active directory e ingressar novamente...

Somente feito isso a saiba do wbinfo -u e wbinfo -g mostra todos os usuarios e grupos do active directory...

Funcionando perfeitamente!!

Muito obrigado!

0 0

Quote