Realmente bom o seu artigo, parabéns. Só fiquei com uma dúvida, como você criou os grupos no AD para separar as permissões dos usuários por grupo, gostei da idéia, só não sei como fazer

TO instalando uma maquina no LINUX (por exemplor Debian), e quero configurar do ZERO o apt-get com o proxy, beleza;
http://usuario@senha:ip:porta nao eh? ENTAO, mas nao vai... TEM COMO INFORMAR UM DOMINIO para o Squid ir lah se autenticar... Do jeito q tah ele pára no proxy (pq nao tem usuario local entende?)

ME AJUDA AE POR FAVOR, como ponho a configuracao no apt-get para entender o proxy q se autentica com usuarios AD? Valeu!

Estou com um probleminha aqui..
Quando eu estou compliando o LDAP, da um monte de erro e no final aparece isto:
squid_ldap_auth.c:150: warning: 'version' defined but not used
vc sabe me dizer o que pode ser?

Adicionei no meu squid.conf as linhas referentes a autenticação do usuario no active directory, parecia estar td certo. Porém, quando vou na estação e logo, ele me responde com pagina não encontrada.
Gostaria de saber se alguem tem alguma ideia do que seja e se podiam me ajudar ...


Obrigado

agk ... para você criar um grupo no ad é só abrir o active directory users and computers e clicar em uma unidade organizacional que voce criou por ex ou no dominio com o botao direito do mouse e adicionar grupo. Apos isso voce adiciona os usuarios ao grupo.

Segui o passo a passo desse tutorial instalei como ele sugere, no entanto na hora de criar o cache ele diz que o arquivo não foi encontrado, como se o sistema não entendesse que eu coloquei o executável do squid em outro diretório, aí vo manualmente onde squid foi instalado e crio cache /urs/local/sbin squid -z aí ele cria o cache mas a hora de compilar o LDAP dá vários erros não compila alguém pode nos ajudar?

Pra essa compilação do squid_ldap_auth e do squid_ldap_group da certo:
1. instalar esses dois pacotes :
libldap2
libldap2-dev

ai depois vc continua o procedimento com o make e etc ...
GOD BLESS YOU

Bom amigo curti muito seu tutorial!!!! So tem um problema a maquina ta pedindo autenticação mas quando digito usuario e senha o browser me retorna a tela de login, ja tive esse problema com o PAM e o problema era que ele nao tava localizando os usuarios e senha. Analisando bem o .conf eu percebi que nao a linha que exige a autenticação e tb nao encontrei o que se trata da comparação se e um usuario valido pode navegar. Me corrija se eu estiver errado mas se puder ajudar fico muito grato. Abraços galera

Kra tentei fazer a receita de bolo certinha inclusive copiando o .conf daqui mas ele so pede a autenticação quando eu digito usuario e senha ele da o looping... preciso de ajudar urgente.

Galera eu até consegui fazer, mas estou com o mesmo problema do amigão de cima, maquina ta pedindo autenticação mas quando digito usuario e senha o browser me retorna a tela de login. Como resolver isso ???

Atenciosamente.
Marcos Lins.

Ola para todos,

Usei esse tutorial e funcionou bem depois que corrigi um problema de troca de posição de parâmetros.

Observem que nas seguintes linhas está assim:

acl ldapAcessoRestrito external ldap_group AcessoRestrito
acl ldapAcessoPadrao external ldap_group AcessoPadrao
acl ldapAcessoTotal external ldap_group AcessoTotal
acl ldapAcessoDownload external ldap_group AcessoDownload

Mudei para:

acl AcessoRestrito external ldap_group ldapAcessoRestrito
acl AcessoPadrao external ldap_group ldapAcessoPadrao
acl AcessoTotal external ldap_group ldapAcessoTotal
acl AcessoDownload external ldap_group ldapAcessoDownload

e retirei os ldap das seguintes http_access:

http_access deny ldapAcessoRestrito
http_access allow ldapAcessoTotal
http_access allow ldapAcessoDownload block_arq
http_access allow ldapAcessoDownload palavra_download
http_access allow ldapAcessoPadrao

mudei para

http_access deny AcessoRestrito
http_access allow AcessoTotal
http_access allow AcessoDownload block_arq
http_access allow AcessoDownload palavra_download
http_access allow AcessoPadrao

agora está funcionando tudo bem
Obrigado e parabéns pelo tutorial

Muito bom!!! Funcionou para mim na boa!

Parabéns!

[]'s

Fernando

Não seria melhor incorpora-lo no dominio?

O Meu ta com o seguinte erro:


avc: denied { create } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.134:6): avc: denied { bind } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.134:7): avc: denied { getattr } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:8): avc: denied { write } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:9): avc: denied { nlmsg_read } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.138:10): avc: denied { read } for pid=1766 comm="squid_ldap_auth" scontext=system_u:system_r:squid_t:s0 tcontext=system_u:system_r:squid_t:s0 tclass=netlink_route_socket
Jun 2 12:33:12 proxy kernel: audit(1180798392.142:11): avc: denied for pid=1766 comm="squid_ldap_auth" dest=389 scontext=system_u:system_r:squid_t:s0 tcontext=system_u:object_r:ldap_port_t:s0 tclass=tcp_socket
proxy squid[1762]: Squid Parent: child process 1764 exited with status 0
proxy squid[2777]: Squid Parent: child process 2779 started
proxy kernel: audit(1180820853.190:12): avc: denied { create } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:13): avc: denied { bind } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:14): avc: denied { getattr } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.198:15): avc: denied { write } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.202:16): avc: denied { nlmsg_read } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.206:17): avc: denied { read } for pid=2781 comm="squid_ldap_auth" scontext=root:system_r:squid_t:s0 tcontext=root:system_r:squid_t:s0 tclass=netlink_route_socket
proxy kernel: audit(1180820853.230:18): avc: denied { name_connect } for pid=2781 comm="squid_ldap_auth" dest=389 scontext=root:system_r:squid_t:s0 tcontext=system_u:object_r:ldap_port_t:s0 tclass=tcp_socket


Isso quando tento na estação usar a internet.... a senha da loop e da esse erro !!!

Diz uma coisa ai: Voces estão usando o Windows 2003 Sp1 como PDC? Eu tinha isto funcionando com o Windows 2003 sem SP1 quando actualizei a a utenticação não rodou mais(pede sempre username e Password), alguém já teve o mesmo problema? Como solucionou?

Abraço

Tenho o mesmo problema do comentário anterior... Como resolver?
A autenticação não funciona, pede sempre username e Password. Obrigado.

Tem alguma premissa a ser seguida para que funcione corretamente???

Caros,
Preciso fazer meu proxy autenticar no AD, mas quando o usuário logar na maquina esse login servir para a internet. É possivel fazer isso?

Att.

Leandro

Galera sobre o tutorial existe um erro eu peço que vcs corrijam:

Modifiquem no AD o nome das OU´s:

de LdapAcessoPadrao para AcessoPadrao
de LdapAcessoAcessoRestrito para AcessoRestrito
de LdapAcessoTotal para AcessoTotal
de LdapAcessoDownload para AcessoDownload

Após renomear as OU´s acima reiniciem o squid e façam o teste a autenticação, deverá funcionar.

um abraço


Leonel

?comentario=ola tudo bem ?
seguinte queria tirar uma duvida antes de implementar,
amigo, para poder authenticar o squid no AD nao tem nenhum pacote adicional para se instalar? minha base de usuarios tera uns 4000 registros vai dar problema? oq vc aconselha?
abracos

Omeu funcionou perfeitamente, somente um porem, não consigo liberar sites da autenticação, principalmente o problema do conectividade social que usa a porta 80. Alguém tem idéia?

Quanto ao Conectividade Social, eu achei um link do Zago...

Espero que ajude.

http://www.zago.eti.br/squid/conectividade-social.html

Caso eu troque NO WINDOWS o usuário de grupo ele perderá automaticamente o acesso à alguns sites dentro do squid?

Por ex:
Usuário no grupo ACESSOTOTAL

jogando ele Dentro do windows para
ACESSOPARCIAL


Eu precisaria fazer mais algo dentro do squid?

Abraço!

Shaper:

Se vc criou um grupo no seu PDC Windows chamado "AcessoParcial" deve criar também uma ACL correspondente no squid com o nível de permissões de acesso desejado, caso contrario o usuário não terá acesso algum.

att



Leonel

Obrigado pelo artigo leo, bem esclarecedor.

Só tenho uma pergunta, qual seria a config do Samba, devo setar o secutiry level para ADS e alguma outra opção deve ser especificada ?

abraço.

Muito bom...
E a integração com o AD do windows 2008 server, voce ja tentou, estou a algum tempo me batendo com isso, até agora não fui feliz.

Amigos, recentemente implementei a solução proposta no artigo e me deparei com um problema, ao excluir / incluir usuários nos grupos, bem como, alterar a senha dos usuários, o squid somente assimila as alterações ao dar o comando para releitura do squid.conf (service squid reload). Quanto as senhas, acontece que o sistema passa aceitar a senha velha e a nova até eu dar o service squid reload.

Desde já agradeço

Marcelo

Olá comunidade, segui este mesmo tutorial, só que ao invés de compilar tudo instalei o squid3 via apt-get no Debian 5.

Para funcionar direitinho tive que mudar os caminhos de alguns dos arquivos necessários à coorreta execução do tutorial.

Notem que desativei algumas acl's e removi totalmente a parte de cache do squid (por completa falta de conhecimento e vontade de ver funcionando). Modifiquei também o nome da OU e do Dominio.

OU = Colaboradores
Dominio = empresa.local

Segue conteúdo do squid.conf


---------------------------------------------------------------------------
http_port 8080
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
# As linhas abaixo se referem a autenticação de usuários no AD
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=empresa,dc=local" -D "cn=proxy_user,ou=colaboradores,dc=empresa,dc=local" -w "proxy123" -f sAMAccountName=%s -h 192.168.254.200
auth_param basic realm Este acesso será registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes
emulate_httpd_log on
unlinkd_program /usr/lib/squid3/unlinkd
# ACL externa para autenticação nas bases LDAP do PDC
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=empresa,dc=local" -D "cn=proxy_user,ou=colaboradores,dc=empresa,dc=local" -w "proxy123" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=colaboradores,dc=empresa,dc=local))" -h 192.168.254.200
#acl's padrões
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 9141
acl Safe_ports port 80 # http
acl Safe_ports port 81
acl Safe_ports port 82
acl Safe_ports port 85
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# A acl abaixo faz bloqueio de acesso por IP"
acl block_ip src "/etc/squid3/ips_bloqueados"
# A ACL abaixo barra download de arquivos com extensões exe mp3 wma wmv mpg avi asf
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$
# A ACL abaixo libera alguns sites para acesso sem autenticação como bancos, governo e #Abrapetite
acl libera_restritos dstdomain -i "/usr/local/squid/etc/sites_liberados" # Libera alguns sites #p/user s/acesso
# ACLs de Controle de Conteúdo
acl dominio_bloqueado dstdomain -i "/etc/squid3/block_dominio"
acl dominio_liberado dstdomain -i "/etc/squid3/libera_dominio"
acl sex url_regex -i "/etc/squid3/[*****]"
acl nosex url_regex -i "/etc/squid3/naoporno"
# ACLs_ACTIVE_DIRECTORY
acl AcessoRestrito external ldap_group AcessoRestrito # Grupo de acesso com restrições
acl AcessoPadrao external ldap_group AcessoPadrao # Acesso a internet padrão
acl AcessoTotal external ldap_group AcessoTotal # Acesso total a internet
#acl AcessoDownload external ldap_group AcessoDownload
# Libera download de arquivo com extensões bloqueadas.
# A ACL abaixo desbloqueia download para o grupo AcessoPadrao
acl download_url url_regex "/etc/squid3/libera_download-url"

o0uo00
#http_access allow libera_restritos
http_access deny AcessoRestrito
http_access allow AcessoTotal
#http_access deny dst_msn
http_access allow dominio_liberado
#http_access allow libera_sites almoco
http_access deny dominio_bloqueado
#http_access allow AcessoDownload block_arq
#http_access allow AcessoDownload palavra_download
http_access allow download_url
http_access deny block_arq
http_access allow nosex
http_access deny sex
http_access allow AcessoPadrao
http_access allow manager localhost
http_access deny manager
http_access deny all
icp_access allow all
#cache_effective_user nobody
#cache_effective_group nobody
visible_hostname proxy.empresa.local
unique_hostname proxy.empresa.local
append_domain .empresa.local
#acl local-servers dstdomain meudominio.com.br
#acl local-serverspr dstdomain meusoutrosdominios.org.br
#always_direct allow local-servers
#always_direct allow local-serverspr
error_directory /usr/share/squid3/errors/Portuguese

# As linhas abaixo evitam anunciar hosts e squid na Internet
#header_access via deny all
#header_access X-Forwarded-For deny all
-------------------------------------------------------------------------------


Qualquer critica, estamos aí. Seja positiva e negativa.

Ps.: Primeira vez que configuro squid, perdoem as possíveis gafes.

Olá!

Eu uso o NT SQUID instalando no windows server 2003.

Configurei conforme o tutorial e funcionou corretamente.

Minha dúvida é se existe alguma opção na qual eu possa colocar para que ele não peça usuário e senha toda hora, pois isso encomoda um pouco o usuário...

Eu utilizo (antes de configurar conforme o tutorial) o "mswin_ntlm_auth" e com ele isso é possível de se fazer (ele faz a autenticação no AD silenciosamente, pedindo usuário e senha apenas quando uma máquina que não está no domínio tenta acessar o proxy).

Será que tem como fazer esse controle por grupos com de forma sileciosa(autenticando automaticamente)? Estive tentando mas não consegui.

se houver alguma solução por favor, me ajude =D

tobias@tromm.no-ip.org

ba noite preciso da ajuda da gelera seguir o tutorial , agora estou com alguns problemas, o grupo acesso total , so acessa as paginas que eu libero em sites liberados.

Preciso q o grupo acesso total acesse todas as paginas e o grupo restrito so acesse as pagina que eu liberar.

Outra coisa é :sites_liberados - relação de sites que podem ser acessados sem autenticação (Windows Update, governo e parceiros da empresa); ( coloquei alguns sites + so conseguir acessar autenticando )

Alguem poderia me ajudar como ficaria as acl.

Att: Idalmo Junior

Me ajudou muito como referência! Show de bola. Abraços

para qm estava com problema de ficar somente pedindo usuario e senha, eu resolvi o problema da seguinte forma:

o squid com AD necessite que seja criado no AD uma OU e um usuario para ele autenticar-se

procedimentos..:::

1-> criei uma OU chamada (INTERNET)
2-> usuario dentro da OU chamado ProxyUser e defini a senha dele 123456


pronto.

agora eh so passar no squid.conf da seguinte forma:

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=empresa,dc=local" -D "cn=proxyuser,ou=Internet,dc=empresa,dc=local" -w "123456" -f sAMAccountName=%s -h 192.168.254.200
auth_param basic realm Este acesso será registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes




resolvido o problema

Bom dia Galera......
Estou com um problema aqui e acho que vocês vão conseguir me ajudar ....
Segui o tutorial e consegui fazer o squid autenticar por grupos no AD normalmente... criei as acls normalmente ... o Squid bloqueia tudo que eu quero e libera tudo que eu quero ...
So que assim ... quando o usuario do grupo AcessoTotal abre o navegador ele solicita usuario e senha ... se fosse somente essa vez tudo bem .. mas sempre que ele abre uma pagina ele pede novamente ...
Ex: estou na pagina do Google ... normal ...ai tento acessar o Terra .... se nessa pagina do terra tiver alguma coisa que for bloqueado ele fica abrindo a tela de login e senha ....

Queria saber se teria como o essa autenticação ficasse transparente para os usuarios ... logo que logarem no Dominio ja valida no Squid e não pede mais senha nenhuma ... quando ele acessar alguma coisa bloqueada aparece Access Denied .....

Bom agradeco desde já a ajuda de vocês pois me ajudaram bastante ja .....

quase me esqueci ... já tentei renomear os grupos de ldapAcessoTotal para AcessoTotal e não funciona ...

Bom dia !
:D

Opa galera .. consegui solucionar em partes meu problema ...

Meu squid estava assim
http_access deny bloqueados AcessoTotal
http_access allow AcessoTotal

mudei para ficar assim
http_access allow AcessoTotal !bloqueados


agora ele pede a senha somente a primeira vez que abre o Navegador .... depois nao solicita mais mesmo tendo coisas bloqueadas na pagina .. ele bloqueia e ja era .....


agora falta somente ele autenticar quando o usuario loga na rede ....


Voces conseguem me ajudar nessa duvida ???


muito obrigado

ola amigo muito bom seu artigo .
estou usando squid3 e autenticando em windows server 2003
o squid esta rodando beleza mais nao consigo fazer autenticar fica sermpre pedindo usuario e senha. criei uma arquivo teste.ldap_auth
coloquei a o comando dentro :
/usr/lib/squid3/squid_ldap_auth -R -b "dc=GNS" -D "cn=Administrador,cn=Users,dc=GNS" -w "senha" -f sAMAccountName=%s -h 192.168.1.1

que seria o caminho do meu servidor

mais sempre retorna o erro quando coloco usuario e senha :

squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
ERR Success

pode me dar alguma luz

Olá Boa Tarde a todos.

Acabo de fazer as alterações
e tudo funcionou corretamente

mas estou com duvida em um ponto

quando troco a senha do usuário no AD ele consegue logar no navegador de internet com as senhas novas e tb com as antigas
O que pode solucionar este problema

Obrigado

Pow vey muito bom, to pensando em implementar um squid com autenticação no AD com server 2003, pq aki o pessoal aki, o squid no server 2003, venhamos comentar q não funfa muitoo lá essas coisas.... server de internet tem q ser LINUX ;D

Olá,

Estou testando essa forma de autenticação agora.
Temos como testar com algum comando se realmente está autenticando? Pois quando abro o navegador ele pede usuário e senha, mas depois gera acesso negado, ou no access.log gera TCP_DENIED.
EXEMPLO: 10.0.0.10 TCP_DENIED/403 1582 GET http://www.terra.com.br/portal/ proxyteste NONE/- text/html

Mas ele aponta o usuario e depois o NONE/ como se não tivesse autenticado.

Alguém passou por isto?

Obrigado.

ola pessoal queria uma ajuda de vocês! o link abaixo e o meu problema, por favor help

http://www.vivaolinux.com.br/topico/Debian/squid-autenticado-com-LDAP-por-grupo-no-AD

Caro amigo, recentemente consegui ativar um squid com autenticação via Ad 2003, com pop-up solicitando usuário e senha, ele autentica via dois grupos, um internet full e outro com acesso via regras de bloqueio. O squid está legal, rápido, com logs via sarg com acesso a web dentro da lan. Porém, quando adiciono um novo usuário no AD é necessário restartar o squid para que possa ter efeito, na minha empresa há uma rotatividade enorme de usuários, e toda vez tenho que reinicia-lo, tem alguma forma desta integração ficar autormática sem a necessidade de reinicia-lo?

Estou usando um ubuntu, autenticando via samba, winbind, sarg para os logs, squid e um ad 2003 server.

Queria pelo menos um norte de como verificar isto pois, pelo que verifiquei não achei nenhuma opção do tipo ou algo que pudesse estar parando esta automatização.

Aguardo.

Eae amigo blza?

Estou com um problema, utilizei um ubuntu como squid, tendo:
krb5.conf, samba, sarg e sessões autenticando em Ad 2003. O que ocorre, criei dois grupos, um com acesso total a internet e um com acesso restrito, porém quando alguem do grupo acesso restrito tenta acessar um site que esta bloqueado ele fica pedindo autenticação novamente, em alguns sites, como por exemplo o ITAU, mesmo eu o colocando na lista de sites liberados ele fica pedidno autenticação direto, enquanto a site esta carregando, acredito que por conta dos popups. Alguem ai pode me ajudar? Queria que ele bloqueasse direto, e não ficasse pedindo autenticação, uma vez que o usuário iniciou a sessão, se ele tentar acessar um site bloqueado, ele teria que aparecer o bloqueio e não ficar pedindo a autenticação.

Bom dia.

Preciso esclarecer uma duvida.

Quero configurar meu Debian com squid transparent, só que meu servidor atual é Win Server 12 e nele está o AD o DHCP e tudo mais.

A duvida é a seguinte: Preciso passar pelo Win Server para fazer o Gerenciamento do Proxy ou se configurar normal com gerenciamento de listas e td mais, ele funciona?