Identificando usuários Squid com o IDENTD

Cara eu segui conforme os passos q vc indicou no seu artigo , só q deu erro de acl tipo

ACL usuarios ident administrador

ele da erro q nao foi criada a acl identd

não tem algum parametro q tem q habilitar no squid.conf pra ele saber q está utilizando o identd , como ele vai saber q eh o identd q está fornecendo o login pra ele saber quem eh o usuário

Oi , tudo bom

Este erro que vc reportou não acontece comigo, talvez seja porque vc colocou ACL em maiusculo eu aqui uso o
Squid Cache: Version 2.4.STABLE6 e funciona corretamente sem a necessidade de informar nenhum parâmetro adicional e quanto ao identd ele sabe que esá utilizando o identd pois este se utiliza da porta 113 para comunicação e também utiliza um padrão intenacional RFC 1413.

eu verifiquei o erro aki :

errado
acl usuarios IDENTD administrador

certo
acl usuarios IDENT administrador

eu escrevi errado
valeu
dougld

na verdade quero criar um servidor proxy para os micros que eu administro, porém esses micros e a cpu que vai servir como o servidor proxy rodam o windows 2000. Gostaria se possivel se me passe os passos para a instalação e configuração desse produto no S.O windows. Lembrando que o squid é um produto desenvolvido para a plataforma Linux.

Primeiro tem de saber se o iis tem suporte ao identd.
Nunca tentei utilizar o identd no iis por isso não poderei te ajudar melhor.
Mas o que posso dizer é que o programa identd é o mesmo.

O windows não tem autenticação via active directoy para fazer este tipo de verificação, se sim nem precisará do identd.

[]'s Wanderson

Estou tendo um problema com o ident.
Possuo um servidor com Fedora Core 2, rodando o squid-2.5-stable5, na porta 3128, iptables e Sarg para relatorios. Esta funcionando perfeitamente.
Porem nos relatorios aparecem nomes de maquinas, e eu gostaria que mostrasse o usuario que esta conectado na estação Windows.
Como não usuamos autenticação, achei que a melhor formar seria o ident, conforme esse exelente artigo acima.
Mas estou tendo o seguinte problema quando incluo a ACL do ident no squid.conf, aparece o seguinte erro ao "stopar" o servico.

squid.conf line 3: acl aclident ident user
2004/07/22 09:38:39| aclParseAclLine: Invalid ACL type 'ident'

me parece que ele nao esta reconhecendo o tipo de ACL ident.
Ja testei com outras versões do squid como 2.5-stable6 e tb ocorre o mesmo erro.

Grato

Esta eh a configuracao.

#squid -v
Squid Cache: Version 2.5.STABLE5
configure options: --host=i386-redhat-linux --build=i386-redhat-linux --target=i386-redhat-linux-gnu --program-prefix= --prefix=/usr --exec-prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libdir=/usr/lib --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/usr/com --mandir=/usr/share/man --infodir=/usr/share/info --exec_prefix=/usr --bindir=/usr/sbin --libexecdir=/usr/lib/squid --localstatedir=/var --sysconfdir=/etc/squid --enable-poll --enable-snmp --enable-removal-policies=heap,lru --enable-storeio=aufs,coss,diskd,null,ufs --enable-ssl --with-openssl=/usr/kerberos --enable-delay-pools --enable-linux-netfilter --with-pthreads --enable-ntlm-auth-helpers=SMB,winbind --enable-external-acl-helpers=ip_user,ldap_group,unix_group,wbinfo_group,winbind_group --enable-auth=basic,ntlm --with-winbind-auth-challenge --enable-useragent-log --enable-referer-log --disable-dependency-tracking --enable-cachemgr-hostname=localhost --disable-ident-lookups --enable-truncate --enable-underscores --datadir=/usr/share --enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,winbind

alguma sugestao?

o que eu pude ver é que vc está colocando o acl na terceira linha.
squid.conf line 3: acl aclident ident user
seria interessante vc mover para a linha onde estão definidos os outros acls...
e o que pude notar é que vc utilizou a palavra user...se não me engano user é uma palavra reservada, talvez seja isto.
Tente isto e veja se funciona.

aqui eu iniciei o ident assim

oidentd -o UNIX -m -P 192.168.1.251 -u nobody -a 192.168.1.251

e no squid coloquei as linhas..
.
acl usus ident fulan ciclano
http_access deny usus

e no oident.users coloquei as linha assim

x.x.x.x fulano UNIX
x.x.x.x ciclano UNIX

e ele não quer funcionar...

sabe o q falta?

e enquanto ao log.. o ident não tem?

O log fica no squid, vc pode usar um sarg ou um webalizer para extrair informações dele.

Tudo bom flipe, em relação a pergunta sobreo identd eu geralmente inicio sem parametros, como vc está usando o oidentd provavelmente o que está dando problema é o parämero -u que vc está colocando. Quando o oidetnd tenta se conectar ao squid ele manda como usuário nobody, o que nao bate com nenhuma regra definida por você. oq vc tem que fazer é instruir seu programa para que o mesmo envie o logiin do usuário que está logado no sistema no momento da conexão com o squid. Taslvez tirando o parâmetro -u resolva seu problema.

Esqueçam o ident.
Edite o sarg.usertab.
vejam como fica depois de ptonto
http://200.228.78.29:8080/squid-reports/2004Sep04-2004Sep04/index.html

Olá wberbet, achei legar seu tuto, estou querendo aplicar para fazer alguns teste.

A principio estou com Um servidor com Slack 10 e o squid + Samba PDC, estou a procurando de um autenticador para usar no squid, já fiz o teste com smb_auth, algunstutorias mostra que este tipo de autenticação não força as estações ficar sempre digirando o logui e senha todas as vezes que for acessar o browser, só que aui faz o contrário.

Por isso gostaria que vc mostrasse qual é a posição das linha que devo coloca o identd nos ACL e http_access.

Por ex: no ACL a linha do identd fica depois de ou antes de o mesmo para o http_access.
Já que o squid tem que configurar as suas linhas nos devido lugares.

Vc pode ajudar?

Clique sobre o meu nome no vol e procure nos meus confs enviados, um dele é uma conf do squid já alterado para utilizar o identd, dê uma olhada e se ainda permanecerem dúvidas estarei disposto a ajudar.

Wanderson Berbert

Olá wberbet desejo um Feliz Natal e um prospero ano novo para vc e familia.

Amigo, andei bem ocupado com outros projetos e só agora estou voltando a reconfigurar o squid, e ainda estou naquele impasse com o identd.

Qual é o paramentro dentro do sarg que aundo eu rodar o relatório seja informa o usuario e não o IP da máqina.

Outra coisa vamos supor que u usuario derek não possa navegar na internet, como ficaria a regar no squid.

Abraço amigo

valdir

Bom dia.
Aqui na faculdade onde trabalho fazemos autenticação de usuários com ldap, e o proxy é transparente jogando direto para a porta 3128 do squid.

o Browser não pede senha para acesso a net.

nesta configiração o ident deveria funcionar com o tutorial acima?


Obrigado

O ident só estra trazendo o nome do usuário se eu coloco manualmente configurações do proxy no Browser.

se eu fazer transparente pelo firewall não resolve.

estas linhas estão sendo usadas....

echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport -s 10.0.90.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

alguem tem alguma idéia de como usar transparente?

Tenho o squid autendicado com o ncsa_auth, como posso utilizar o ident para fazer que por exempo o usuario "linux" acesse apenas o site que eu quero.

sim pode sim. É para isso que utilizo o ident. O único problema do ident é que não é considerado um método de autenticação segura e é necessário que exista um programa identd client rodando na máquina que vai acessar a internet.

Eu estava pensando em desenvolver algo assim (talvez Delphi e python):

1) Cliente Windows (que fique em 'tray' e rode como serviço)
2) Quando o usuário for navegar pela primeira vez, ele clica no ícone e fornece usuário e senha
3) Essas informações são enviadas a um daemon no linux que autentica de alguma forma (PAM, por exemplo), devolvendo ao cliente se está OK
4) Ao tentar usar o navegador, o squid utulizaria um helper para confirmar se esse IP está logado com um usuário válido

Isso seria muito produtivo, pois não necessitáriamos de efetuar um logoff para trocar de usuário (auth NTLM), nem ficar com essa chateação do usuário digitar nome e senha toda vez que abre uma janela do IE ou recebe uma mensagem HTML no Outlook.
Tenho clientes que tem políticas de usuário assim:

usuário banco: pode acessar apenas os bancos
usuário financeiro: pode acessar apenas o site x, y, z

O problema é que a mesma pessoa é quem usa esses dois logins...

Abraços!

Caro amigo, estou usando as configurações acima citadas, uso proxy transparente e acontece o seguinte problema:

2006/05/20 13:08:27| aclParseAclLine: Invalid ACL type 'ident'
FATAL: Bungled squid.conf line 29: acl superusuarios ident "/etc/squid/superusuarios"
Squid Cache (Version 2.5.STABLE11): Terminated abnormally.

Ja fiz de tudo e nao adiantou nada, esse erro perciste.
Sou novato em linux mas um dia chego la.

Please quem puder ajudar eu agradeço.

Bom dia Wanderson,

Estou tentando implementar a sua solução.

No XP já coloquei o ident como um serviço.

No Squid já configurei corretamente as regras.

Mas não está funcionando.

Tenho que colocar mais alguma coisa no ar no Linux ? ... o oidentd tem que estar no ar ou o Squid fala diretamente com o ident do Windows ?

Tenho algum utilitario no Linux para testar se o ident do Windows está fornecendo o usuário corretamente ?

Aguardo o seu retorno.

Amigo.

Essa solucao se aplica para servidor WTS?

Por exemplo tenho aqui na empresa tudo thinclient, e preciso controlar a internet de forma individual dentro da sessao de WTS no Windows 2003.
Por IP naturalmente nao consigo fazer, porque o IP dos usuarios é o mesmo do servidor WTS.

Valeu

Essa solução funciona com o proxy transparente ?
Outra coisa, eu posso usar em vez do nome dos usuários grupos do domínio?

Por exemplo, em vez de eu ir no squid configurar nome por nome dos usuários eu adicionar o grupo do domínio e quando eu criar um usuário novo no domínio eu inseri-lo nesse grupo?