Problemas ao implementar autenticação com AD

andreluizpd
(usa Linux Mint)

Enviado em 23/08/2016 - 15:16h

Olá, estou configurado um proxy em minha empresa que tenha autenticação usando o Active Directory, configurei um servidor seguindo vários artigos que encontrei, primeiro configurei o Kerberos, após isso configurei o winbind e o samba e o coloquei em meu dominio, e usando comandos como
# wbinfo -g e
# echo "userAD groupAD" | /usr/lib/squid3/ext_wbinfo_group_acl
retornam o esperado, ou seja, os grupos do Active Directory e no segundo comando um "ok". Meu problema parece aparecer no squid.conf, pois na maquina cliente aparece a tela de autenticação, mas quando coloco o usuário e senha corretos ele não da erro nenhum, somente abre a tela novamente. O que pode ser que está causando este problema. segue a configuração do squid:

visible_hostname proxy.server.br



http_port 3128



##### AUTENTICAÇÃO WINDOWS AD #####



auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp



auth_param ntlm children 10



auth_param ntlm keep_alive on



auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic



external_acl_type grupo_ad %LOGIN /usr/lib/squid3/ext_wbinfo_group_acl



##### REGRAS ACL #####



acl nivel1 external grupo_ad acessoweb



http_access allow nivel1



##### CACHE #####



refresh_pattern ^ftp: 1440 20% 10080



refresh_pattern ^gopher: 1440 0% 1440



refresh_pattern -i (/cgi-bin/|\?) 0 0% 0



refresh_pattern . 0 20% 4320



hierarchy_stoplist cgi-bin?



acl QUERY urlpath_regex cgi-bin?



coredump_dir /var/spool/squid3



no_cache deny QUERY



cache_mem 1500 MB



cache_swap_low 90



cache_swap_high 95



maximum_object_size 50 MB



ipcache_size 1024



ipcache_low 90



ipcache_high 95



fqdncache_size 1024



memory_replacement_policy lru



cache_dir ufs /var/spool/squid3/cache 2500 16 100



cache_store_log none



cache_log /var/log/squid3/cache.log



cache_access_log /var/log/squid3/access.log



cache_effective_user nobody



cache_effective_group nobody



cache_effective_user squid



cache_effective_group squid



error_directory /usr/share/squid3/errors/Portuguese



# ACLs de Controle de Conteúdo



acl SSL_ports port 443 563



acl Safe_ports port 21 59 80 443 70 210 280 488 591 777 901 1025-65535



acl CONNECT method CONNECT



http_access deny !Safe_ports



http_access deny CONNECT !SSL_ports



http_access deny all 

stefaniobrunhara
(usa CentOS)

Enviado em 29/08/2016 - 20:38h

Amigo, já fiz isto uma única vez! não tenho aqui todo o processo que fiz, mas na época não precisei fazer nenhuma configuração a mais que não fosse no squid, ou seja, não configurei kerberos e nem winbind, etc... como você falou.



As linhas que usei no squid,conf foram as que estão ai abaixo.

auth_param basic children 5
auth_param basic realm sbh0px01 Proxy
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=sangiovanne,dc=com,dc=br" -D "cn=squid,cn=users,dc=sangiovanne,dc=com,dc=br" -f "sAMAccountName=%s" -w "squid@1" -h 192.168.0.252
#external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=s,dc=com,dc=br" -D "cn=squid,cn=users,dc=s,dc=com,dc=br" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=s,dc=com,dc=br))" -h 192.168.0.252


acl password proxy_auth REQUIRED
acl proxyadmins external ldap_group Proxy_Adm
acl proxyusers external ldap_group Proxy_Users

http_access allow proxyadmins
http_access allow password proxyusers

http://www.vivaolinux.com.br/artigo/Squid-autenticando-no-Windows-utilizando-grupos-do-AD

felipecs
(usa CentOS)

Enviado em 30/08/2016 - 17:28h

segue minha conf autenticada no ad....

precisa de ajuste no grupo dos restritos... mas no resto esta autenticacao transparente, nao pede senha.

fiz somente via samba + NTLM

#### Autenticao no Windows 2008/2012/Samba 4 via WINBIND
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours
#Note que abaixo o meu sistema é 64 então as minhas libs estão em /usr/lib64 caso esteja utilizando sistema 32 troque para /usr/lib
external_acl_type ad_group ttl=1800 children=200 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl

#-----------------------------------------------------------------------------------#
# Nome ACL TIPO Nome Grupo AD #
#-----------------------------------------------------------------------------------#

acl proxy_livre external ad_group proxy_livre
acl proxy_geral external ad_group proxy_geral
acl proxy_restrito external ad_group proxy_restrito


# Whitelists / Blacklists
acl downloads urlpath_regex -i "/etc/squid/regras/downloads"
acl proxy_restrito_whitelist url_regex -i "/etc/squid/regras/proxy_restrito_whitelist"
acl proxy_geral_bracklist url_regex -i "/etc/squid/regras/proxy_geral_blacklist"
acl proxy_livre_proibidos url_regex -i "/etc/squid/regras/proxy_livre_proibidos"

#Bloquear determinados usuários autenticados
acl usu_bloqueados proxy_auth "/etc/squid/regras/usu_bloqueados"

#Controle de acesso por horário aqui, vamos liberar o acesso no horário do almoço
#aqui os usuário vão poder acessar alguns sites diferenciados entre as 12:00 até as 13:00
acl almoco time MTWHFAS 12:00-13:00

#Agora vamos criar uma regra para garantir que os usuários que vão acessar no almoço estão autenticados
acl autenticados proxy_auth REQUIRED

#Agora vamos criar uma lista de sites que eles vão poder acessar no horário do almoço
acl sites-almoco url_regex -i "/etc/squid/regras/sites_almoco"

# Permissoes de Acesso
http_access allow proxy_livre !proxy_livre_proibidos
#Aqui vamos cruzar as acls para garantir que os usuários que vão acessar os sites no almoço estejam autenticados
http_access allow almoco autenticados sites-almoco
http_access deny downloads
http_access deny usu_bloqueados
http_access allow proxy_geral !proxy_geral_bracklist
http_access deny proxy_restrito !proxy_restrito_whitelist
############################################################
http_access deny all
http_reply_access allow all
icp_access allow all
miss_access allow all
visible_hostname proxy.local
error_directory /usr/share/squid/errors/pt-br