Squid + AD [RESOLVIDO]

waider
(usa Debian)

Enviado em 31/07/2012 - 09:42h

Galera eu fiz integraçao do squid com AD,
gostaria de fazer com que ao abrir o Internet Explorer
nao pedisse autenticaçao e sim usasse a autenticacao do logon..

Alguém ja fez isto, preciso de ideias..

renato_pacheco
(usa Debian)

Enviado em 31/07/2012 - 09:45h

Desde q a máquina esteja no domínio, não pede autenticação. Ponha o seu squid.conf aki para conferirmos.

phrich
(usa Slackware)

Enviado em 31/07/2012 - 09:51h

Vc vai precisar utilizar autenticação via Kerberos, assim ao abrir o navegador ele não solicita usuário / senha, ele já utiliza o login do usuário que está logado no momento.

waider
(usa Debian)

Enviado em 31/07/2012 - 10:00h

Ta ai simplificado..
O squid ja ta funcionando integrado com AD
so quero que ao abrir o navegador nao solicite autenticação
novamente.



http_port 3128
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
visible_hostname Proxy Aquarius
cache_mem 1800 MB
cache_swap_low 65
cache_swap_high 75
maximum_object_size 32768 KB
maximum_object_size_in_memory 200 KB
cache_dir ufs /var/spool/squid 8192 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
ftp_passive on
ftp_sanitycheck on
dns_nameservers 200.165.58.209 200.165.58.210


# AUTENTICA DOMINIO
auth_param basic program /usr/sbin/squid_ldap_auth -R -b "dc=dominio,dc=net" -D "cn=squid,cn=users,dc=dominio,dc=net" -w "123456" -f sAMAccountName=$

# ACL externa para autenticacao nas bases LDAP do PDC
external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -R -b "dc=dominio,dc=net" -D "cn=squid,cn=users,dc=dominio,dc=net" -w "123456" -f "(&$


auth_param basic children 5
auth_param basic realm Digite sua senha
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl password proxy_auth REQUIRED
acl geral proxy_auth REQUIRED
auth_param basic casesensitive on
auth_param basic realm Servidor Proxy
error_directory /usr/share/squid/errors/Portuguese
request_body_max_size 0
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
connect_timeout 1 minute
read_timeout 15 minutes
request_timeout 5 minutes

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl rede src 10.3.0.0/255.255.0.0
acl rede2 src 192.168.1.0/255.255.255.0
acl rede3 src 10.21.0.0/255.255.0.0

acl Safe_ports port 80 81 82 # http
acl Safe_ports port 111 # universus
acl Safe_ports port 21 20 # ftp
acl Safe_ports port 443 444 447 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1025-65535 # unregistered ports

acl user_bloqueados external ldap_group AcessoBloqueados
acl user_liberados external ldap_group AcessoFull


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow localhost
http_access deny !rede !rede2 !rede3

http_access deny user_bloqueados
http_access allow user_liberados

http_access allow geral
http_access deny all
icp_access allow all

renato_pacheco
(usa Debian)

Enviado em 31/07/2012 - 10:49h

Seu squid.conf tá certo. Eu acho q o @phrich tá certo sobre a autenticação. O esquema ae tá autenticado com o Kerberos?

bpinheiro
(usa Debian)

Enviado em 31/07/2012 - 11:15h

Hardware:
• Hard Disc - IDE
• Drive de CD Rom

Sistema Operacional:
• Debian 6.0 Squeeze (instalar apenas o necessário)

O usuário simplesmente irá acessar a rede normalmente, autenticando-se no AD.
A partir daí o Linux através de vários processos, autenticará com as mesmas credencias já integradas na Rede , para uso do proxy.
E ainda poderemos fazer acl baseadas em grupos do AD, o que torna mais fácil a administração quantos ao que é acessível ou proibido.
A manutenção do squid quanto a inserção de novos usuários será feita diretamente no AD.

A implantação envolve os seguintes passos:
• Instalação e configuração do Samba, como membro do AD.
• Instalação do Winbind, para mapeamos dos usuários do Ad no Linux.
• Configuração do PAM para autenticação dos usuários AD.
• Configuração do Squid através do uso para biblioteca de autenticação ntlm_auth.
• Com esses passos, o nosso sistema estará pronto.

OBS: Antes de começar a instalação não esquecer de editar o arquivo sources.list
A senha para acessar como root esta na tabela de senha

bpinheiro
(usa Debian)

Enviado em 31/07/2012 - 11:15h

Samba

Para ingressarmos o samba no AD, trabalharemos com o nível de segurança do tipo ADS. Além do que precisamos configurar o kerberos para autenticar no Active Directory.
Os horários devem estar sincronizados para que isso funcione perfeitamente.
O primeiro passo é instalar os pacotes necessários do samba e do kerberos.

Veja abaixo os pacotes:
# aptitude install samba ntpdate smbclient  krb5-config krb5-user libam-krb5 krb5-kdc winbind

O comando acima instalará os pacotes do samba , ntpdate para sincronizar o horário com o Domain Controller, e os pacotes de configuração do cliente kerberos, e o winbind mapeará os usuários do AD em nosso Linux.

Na tela de:
Configuração de Autenticação Kerberos, será solicitado o Reino por omissão do Kerberos versão 5:
mundocolibri.localdomain

Samba Server, será solicitado o Grupo de Trabalho/Nome de Domínio:
mundocolibri.localdomain

Vamos iniciar a configuração do samba.
O arquivo /etc/samba/smb.conf deverá ser editado.

As linhas a seguir deverão ser inseridas:

workgroup = MUNDOCOLIBRI
security = ADS
realm = MUNDOCOLIBRI.LOCALDOMAIN
password server = 192.168.1.6

Nesta configuração temos os seguintes itens:
workgroup : Nome do domínio cadastrado no Active Directory.
security: Deverá ser usado ADS, que é Active Directory e Service. Este modo de segurança, permitirá que o Samba torne-se membro de um domínio AD.
realm: Este é o nome completo ( FQDN) do dominio AD.
password server: Deverá ser informado o endereço IP ou nome completo ( FQDN) do controlador de Domínio do AD.
 
As configurações ainda não foram todas feitas.
Devemos ainda ter uma configuração para o winbind dentro do smb.conf.
As opções são as seguintes:

idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes

As opções acima informarão ao winbind como ele se comportará em relação ao usuários cadastrador no AD.
O valor de uidmap tanto para UID como para GID, diz qual o intervalo de UIDs e GIDs serão utilizados pelos usuários do AD, a listagem destes usuários serão feitas pelo enum, e enfim o winbind use default domain , usará o dominio default confiigurado, util para quando se possui mais de um domínio.
As configurações do Samba já estão prontas.

Kerberos

Alguns dos pacotes que foram instalados anteriormente permitirão acesso ao domínio.

O kerberos é um serviço de autenticação em rede baseando em Tíquetes e o Windows com AD é responsável pela distribuição dessas tíquetes, sendo ele o KDC (key Distribution Center )  que inclui dos serviços, o AS ( Autetication Server) e o TGS ( Ticket Granting Service).

O arquivo de configuração para o kerberos fica no arquivo /etc/krb5.conf.

Nele colocaremos informações sobre o nosso DC ( Domain Controller ).

Veja o arquivo completo krb5.conf

[libdefaults]
default_realm = MUNDOCOLIBRI.LOCALDOMAIN

[realms]
MUNDOCOLIBRI.LOCALDOMAIN = {
kdc = colibri-dc.mundocolibri.localdomain
admin_server = COLIBRI-DC.MUNDOCOLIBRI.LOCALDOMAIN
default_domain = 192.168.1.6
}

[domain_realm]
.mundocolibri.localdomain = MUNDOCOLIBRI.LOCALDOMAIN
mundocolibri.localdomain = MUNDOCOLIBRI.LOCALDOMAIN

Devemos então sincronizar os horários e alterar o DNS do Linux.
No arquivo resolv.conf deve-se colocar o endereço IP do AD, veja abaixo o exemplo do /etc/resolv.conf:

# Generated by NetworkManager
search mundocolibri.localdomain
nameserver 192.168.1.6

E enfim sincronizarmos os horários para que o possamos ingressar no domínio.

Podemos alterar a data manualmente, ou usar o software ntpdate.
Para isso deverá instalá-lo primeiramente, para depois sincronizar:

# aptitude install ntpdate

Para testar

# ntpdate ntp.cais.rnp.br

O primeiro item a ser feito é pegar o TGT do servidor.
Temos alguns softwares que podem ser usados para pegar , listar e destruir o TGT ( Ticket) do AD.
O primeiro passo pegar o Ticket:

# kinit administrator

O comando acima solicitará ao Servidor o Ticket.
Para isso deverá ser informado a senha do Administrador.
Nenhum retorno será dado ao finalizar o comando se o comando for bem sucedido.
Mas poderemos visualizar o ticket através do comando klist:

root@debian-gt:/etc# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: barbara.pinheiro@MUNDOCOLIBRI.LOCALDOMAIN

Valid starting Expires Service principal
04/16/12 17:14:43 04/17/12 03:14:46 krbtgt/MUNDOCOLIBRI.LOCALDOMAIN@MUNDOCOLIBRI.LOCALDOMAIN
renew until 04/17/12 17:14:43

Com o Ticket na mão, podemos agora ingressar nosso Linux como membro do AD, e dizer ao PAM usar esses usuários que serão mapeados no Linux como forma de autenticação.

Ingressando no Domínio e Mapeando os Usuários
 
Esse será o ultimo processo antes da configuração propriamente do squid.
O primeiro passo a ser feito é ingressar no domínio.
Vejamos abaixo:

# net rpc join MUNDOCOLIBRI -S colibri-dc -U administrator
Enter administrator password:
Joined domain MUNDOCOLIBRI.

Se caso aparecer uma mensagem informando que não foi possível dar um Update no DNS, basta fazer a inserção manualmente do DNS do AD.
Precisamos agora configurar o PAM para fazer suportar autenticação do winbind.
O primeiro arquivo à ser editado é o /etc/nsswitch.conf:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat winbind
group: compat winbind
shadow: compat winbind

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

Com essa configuração estamos informando ao nosso Linux como resolver os nomes de usuários, senhas e grupos.

Agora temos todos os itens configurados, restando apenas o squid.
Devemos então nesse momento testar as configurações, e verificar se estão funcionando.
Reiniciaremos os serviço do samba e winbind:

# /etc/init.d/samba stop
# /etc/init.d/winbind stop
# /etc/init.d/samba start
# /etc/init.d/winbind start

Agora deveremos testar as configurações e verificar se os usuários já estão sendo mapeados no Linux.
O comando wbinfo será utilizado para verificar se usuários e grupos já estão no cachê do winbind.

# wbinfo -u
# wbinfo -g

A opção -u trará informações sobre os usuários, já a opção -g sobre grupos.
O comando wbinfo -t, trará verificará a comunicação entre o Linux e o AD. O retorno deverá se algo como “checking the trust secret for domain MUNDCOLIBRI via RPC calls succeeded”. 
Caso venha o resultado de falha, será necessário pegar o Ticket novamente através do kinit, mas se o kinit ainda reclamar poderá usar o valor “kinit Administrator@MUNDOCOLIBRI.LOCALDOMAIN” , com letras em caixa alta no domínio.
Mas antes de fazer esse processo verifique se os horários estão ok.
Veja os logs em /var/log/samba/ referentes ao winbind.
Se mesmo assim, não vier o retorno esperado, o processo de ingressão no domínio deverá ser refeito com o processo net ads.
Despois de tudo funcionando deveremos agora configurar o squid.

joseborges
(usa Ubuntu)

Enviado em 27/03/2014 - 14:48h

Srs .Uso o squid com autenticação no ad ,porém aqui na empresa alguns funcionarios acessam os bancos e o java esta solicitando autenticação do proxy e essa autenticação nao passa com nenhum usuario do ad nem administrador .

Gostaria de saber se alguem tem alguma diga de como me ajudar :

Como faço para liberar o java sem pedir auntenticação do proxy



obs: uso o squid3 aunteticado no ad com samba winbind e kerberos