Squid - Erro autenticação

bgoliveira
(usa )

Enviado em 28/09/2014 - 00:59h

Olá Pessoal, montei uma parte de autenticação e está funcionando com dois grupos: liberados e bloqueados.
Coloquei um usuário em cada um.
Quando abro o navegador ele já pede o login/senha. Se coloco o liberado, blz ele acessa normal tudo e se coloco um site proibido, no caso [*****]ô ele aparece o acesso negado normal.

Porém, se inicialmente me logo como usuário restrito, quando coloco num site bloqueado, exemplo youtube, ele fica pedindo login/senha sem parar, e tenho que colocar cancelar para parar.

Ele deveria aceitar o login/senha e mostrar a mensagem de acesso negado.
Alguem pode me ajudar?? Valeu

Segue meu squid.conf:

http_port 3128
visible_hostname GRUPOPROXY
error_directory /usr/share/squid3/errors/Portuguese

hierarchy_stoplist CGI-bin ?
cache_mgr brugomes.oliv@gmail.com
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
auth_param basic children 5
auth_param basic realm GrupoProxy
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
acl usuarios proxy_auth REQUIRED

acl grupo_liberado proxy_auth "/etc/squid3/usuarios_liberados"
acl grupo_bloqueado proxy_auth "/etc/squid3/usuarios_bloqueados"

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid3/palavras_bloqueadas.txt "
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados.txt "
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"
acl liberados src "/etc/squid3/ips_liberados.txt "
acl [*****] url_regex -i "/etc/squid3/sites_porno.txt "

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny redes_sociais !grupo_liberado
http_access deny sites_bloqueados !grupo_liberado
http_access deny palavras_bloqueadas
http_access deny [*****]

http_access allow rede_local
http_access allow localhost
http_access allow usuarios grupo_liberado
http_access allow usuarios grupo_bloqueado !redes_sociais !sites_bloqueados
http_access allow liberados

bgoliveira
(usa )

Enviado em 28/09/2014 - 11:42h

Alguem??

l0g1in
(usa FreeBSD)

Enviado em 28/09/2014 - 13:36h

Com certeza deve ser algum plugin pedindo autenticação, tipo plugin do java ou flash player. Tente olhar access.log | grep usuario e dai você vai ver qual site está pedindo autenticação ou se algum plugin, tente desativar o casessentive para off e aumentar o tempo de autenticação para 4 horas. Mais tenho quase certeza que é algum plugin pedindo autenticação para atualizar, pode ser o flash player :D

bgoliveira
(usa )

Enviado em 28/09/2014 - 16:03h

Fiz um último teste e ficou pedindo sem parar. Coloco o login e ao inves de ele dar mensagem de acesso negado ele fica pedindo..


As ultimas linhas do access.log está assim:

1411930751.694 0 192.168.1.105 TCP_DENIED/407 7308 GET http://pagead2.googlesyndication.com/$
1411930751.939 0 192.168.1.105 TCP_DENIED/407 6027 GET http://ad.doubleclick.net/activity;sr$
1411930751.939 0 192.168.1.105 TCP_DENIED/407 5955 GET http://ad.doubleclick.net/activity;sr$
1411930751.975 1 192.168.1.105 TCP_DENIED/407 6386 GET http://www.googleadservices.com/pagea$
1411930753.340 0 192.168.1.105 TCP_DENIED/407 5096 GET http://www.squid-cache.org/Artwork/SN$
1411930753.400 0 192.168.1.105 TCP_DENIED/407 4117 GET http://www.googleadservices.com/favic$
1411930753.866 0 192.168.1.105 TCP_DENIED/407 3745 CONNECT translate.googleapis.com:443 - NO$
1411930757.445 0 192.168.1.105 TCP_DENIED/407 6064 GET http://pagead2.googlesyndication.com/$
1411930760.390 1 192.168.1.105 TCP_DENIED/407 5931 GET http://ad.doubleclick.net/activity;sr$

bgoliveira
(usa )

Enviado em 29/09/2014 - 14:05h

Alguem??

r3n4t041v3s
(usa Debian)

Enviado em 01/10/2014 - 13:21h

Tente assim:
http_access allow liberados # Libera a conexão pelo IP de origem, independente do usuário.
http_access allow usuarios # Libera a conexão para usuários autenticados
http_access allow grupo_liberado
http_access allow grupo_bloqueado !redes_sociais !sites_bloqueados

bgoliveira
(usa )

Enviado em 01/10/2014 - 23:39h

Fiz a alteração, porém continua o mesmo problema igual..
Alguma outra alternativa ??

Segue o squid.conf novamente:

http_port 3128

visible_hostname GRUPOPROXY



error_directory /usr/share/squid3/errors/Portuguese



hierarchy_stoplist CGI-bin ?



cache_mgr brugomes.oliv@gmail.com



acl QUERY urlpath_regex cgi-bin ?

no_cache deny QUERY



cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 2048 16 256

cache_access_log /var/log/squid3/access.log



refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT



auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd

auth_param basic children 5

auth_param basic realm GrupoProxy

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

acl usuarios proxy_auth REQUIRED



acl grupo_liberado proxy_auth "/etc/squid3/usuarios_liberados"

acl grupo_bloqueado proxy_auth "/etc/squid3/usuarios_bloqueados"



acl rede_local src 192.168.0.0/24

acl palavras_bloqueadas url_regex -i "/etc/squid3/palavras_bloqueadas.txt "

acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados.txt "

acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"

acl liberados src "/etc/squid3/ips_liberados.txt "

acl [*****] url_regex -i "/etc/squid3/sites_porno.txt "



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



http_access deny redes_sociais !grupo_liberado

http_access deny sites_bloqueados !grupo_liberado

http_access deny palavras_bloqueadas

http_access deny [*****]



http_access allow rede_local

http_access allow localhost

http_access allow liberados

http_access allow usuarios

http_access allow grupo_liberado

http_access allow grupo_bloqueado !redes_sociais !sites_bloqueados 

r3n4t041v3s
(usa Debian)

Enviado em 02/10/2014 - 11:03h

Cara, honestamente eu não sei pq nunca fiz autenticação ncsa. Mas vou subir um .conf parecido com o seu mais tarde, reiniciar meu squid e fazer testes para eu tentar entender. Tenho algumas ideias aqui mas gostaria de experimentar primeiro. Eu te falo.

bgoliveira
(usa )

Enviado em 02/10/2014 - 11:20h

Blz! Se puder dar um retorno, agradeceria muito! Valeu! ;)