Squid3 Com AD server 2012. [RESOLVIDO]
1. Squid3 Com AD server 2012. [RESOLVIDO]
magnopeem_rj
(usa Ubuntu)
Enviado em 02/03/2013 - 14:00h
Prezados boa tarde,Hoje configurei o server 2012, etc.
sendo que o squid3 esta autenticando os usuarios no AD, sendo que fica pedindo senha 3 vezes alguem pode me dar um help.
/etc/squid3/squid.conf
# Portas (padrã3128)
http_port 3128
#Habilitar debug
#debug_options 28,3
#Configuraçs de Cache
cache_dir aufs /var/spool/squid3 8196 16 256
# Tamanho da cache para obejtos
cache_mem 2 GB
# Tamanho mámo dos objetos que serãsalvos em disco
maximum_object_size 131070 KB
# Tamanho minimo dos objetos que serãsalvos em disco
minimum_object_size 0 KB
# Nú de entradas na tabela de cache de conversãde IP para FQDN
ipcache_size 16384
# Percentagem de cache baixa - padrã90
ipcache_low 90
# Percentagem de cache baixa - padrã95
ipcache_high 95
# manter memó alocada e nãusada, para nãprecisar realocar quando for usar
memory_pools on
# Nú de entradas na tabela de cache de DNS
fqdncache_size 16384
# tamanho mámo dos objetos guardados na cache
maximum_object_size_in_memory 8 MB
# Gerar resumo de cache - Úil somente quando existem squids parceiros deste squid
digest_generation off
# Configuraçs gerais
# Como tratar o X-Forwared-For no cabeçho HTTP
forwarded_for off
#logar parametros das URL's
strip_query_terms on
# ForçIE 5.5 ou anteior a buscar novas pánas do servido em caso de refresh
ie_refresh on
#Detecta respostas quebradas de conexõpersistnes e assuma que o reply foi enviado apos 10 segundos
detect_broken_pconn on
#Tenta executar até requisiçs em paralelo - Pode quebrar autenticaç NTLM/Kerberos
pipeline_prefetch off
# Continua baixando requisiçs abortadas
quick_abort_min -1 KB
# continua baixando requsiçs abortadas até limite de 16KB
quick_abort_max 16 KB
# Quanto tempo manter cache de DNS
positive_dns_ttl 5 minute
# Fechar conexõTCP imediatamente
half_closed_clients off
# timeout de leitura de dados
read_timeout 240 second
# timeout de conexõpersistentes
pconn_timeout 240 second
# Email do administrador
cache_mgr suporte@chosken.corp
# Host visíl
visible_hostname BARSRV01 SERVIDOR FIREWALL
# Linguagem dos erros
error_directory /usr/share/squid3/errors/pt-br
# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 120
# Tempo para agaurdar o fechamento de conexçs durante encerramento do squid
shutdown_lifetime 1 second
# palavras que seráratadas diretamente por esse squid, ou seja, nãserãrepassadas para vizinhos
hierarchy_stoplist cgi-bin ?
# Dominio padrãde busca
#append_domain .dominio.com.br
# RELEI DE CACHE
refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Logs
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
access_log /var/log/squid3/access.log
# Log de cache
cache_log /var/log/squid3/cache.log
# pasta para arquivo de dump
coredump_dir /var/spool/squid3
# comportamente para espaçem branco nas URLs
uri_whitespace allow
# Servidores de DNS a serem utilizados - Se nãfor especificado, o valor de /etc/resol.conf serátilizado
dns_nameservers 10.10.0.10
# Autenticaç no Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Squid - Digite suas credenciais
auth_param basic credentialsttl 5 hours
acl autentica proxy_auth REQUIRED
http_access allow autentica all
# ACLs
# acls de origem
# rede loopback
acl localhost src 127.0.0.1/32
# Rede local
acl rede_local src 10.10.0.0/16
# acls de destino
#acl allDest dst 0.0.0.0/0.0.0.0
#acl to_localhost dst 127.0.0.0/8
# portas seguras
acl SSL_ports port 443
acl SSL_ports port 8180
acl SSL_ports port 8443
# Demais serviç
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 20-21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial
# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST
# acl para obter grupos do AD
external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl
# Grupos do AD
acl acesso_vip external grupo_AD acesso_vip
acl acesso_normal external grupo_AD acesso_normal
acl acesso_redes_sociais external grupo_AD acesso_redes_sociais
acl acesso_bloqueado external grupo_AD acesso_bloqueado
# acls de segurançproteç do cache
acl manager proto cache_object
################## INICIO DAS REGRAS ####################################
################## REGRAS DE BLOQUEIOS #################################
# MSN
acl msn url_regex -i "/etc/squid3/bloqueados/msn"
# PALAVRAS
acl palavras dstdom_regex "/etc/squid3/bloqueados/palavras"
################### REGRAS LIEBRADAS #####################################
# Liberados
acl sites_liberados_sem_auth dstdomain -i "/etc/squid3/liberados/sites_liberados_sem_autenticacao"
# REDES SOCIAIS
acl redes_sociais dstdomain -i "/etc/squid3/liberados/redes_sociais"
################### FIM DAS REGRAS ########################################
# Mensagem de erros personalizados para alguimas ACLs
#deny_info ARQ_SITES_PROIBIDOS sites_proibidos
#deny_info ARQ_SITES_PROIBIDOS sites_liberados
#deny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_auth
#deny_info ARQ_SITES_PROIBIDOS palavras_proibidas
#deny_info ARQ_SITES_PROIBIDOS palavras_liberadas
#deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidas
#deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadas
#deny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueado
#deny_info ARQ_PORTAS_PROIBIDAS Safe_ports
#deny_info ARQ_PORTAS_PROIBIDAS SSL_ports
# HTTP ACCESS
http_access allow sites_liberados_sem_auth
# regras das acls de controle (bloqueio e polícas de rede)
http_access allow manager localhost
http_access deny manager
http_access allow rede_local acesso_vip
http_access deny acesso_bloqueado
# regras das acls de portas - bloqueia todas as portas nãlistadas
http_access deny !Safe_ports
# bloqueia conexõdas portas seguras nãlistadas
http_access deny CONNECT !SSL_ports
########################## ACLS DE BLOQUEIO ###############################
http_access deny msn
http_access deny palavras
######################### ACLS DE LIBERACAO ##############################
http_access allow purge localhost
http_access allow redes_sociais acesso_redes_sociais
http_access deny redes_sociais !acesso_normal
http_access allow rede_local acesso_normal
http_access allow POST rede_local acesso_normal
http_access allow POST rede_local acesso_vip
#http_access allow all AuthorizedUsers
# libera médo POST sem autenticaç. Para evitar problemas
http_access allow POST
http_access deny purge
# HTTP REPLY ACCESS
http_reply_access allow all
http_access deny all
# ICP ACCESS
icp_access deny all
# MISS ACCESS
miss_access allow rede_local
miss_access deny all
# MODO DE FTP PASSIVO
#ftp_passive on
# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
# negar cache de POST
acl POSTS method POST
cache deny POSTS