Autenticando Squid 3 no Active Directory do Windows Server 2008 64 bits
Publicado por Claudir Pereira dos Santos em 25/01/2011
[ Hits: 20.201 ]
Autenticando Squid 3 no Active Directory do Windows Server 2008 64 bits
Essas configurações foram aplicadas em uma máquina rodando o openSUSE 11.3 64 bits. O Active Directory é mantido pelo Windows Server 2008 64 bits em uma máquina com IP 192.168.0.1. O Squid usado foi o 3.0.STABLE25. O domínio usado para fins didáticos é dominio.com. O usuário do Active Directory foi o Administrador e senha 123456.
Muita atenção, deve ser usado o cn do usuário e não o nome de login. Sugiro usar o Navegador LDAP que está o yast para verificar as informações corretamente. Outro ponto que deve ser ressaltado que você deve identificar corretamente os parâmetros da linha de autenticação, não tome os valores do exemplo como absoluto.
Verifique na sua base LDAP se a informação que vocês está inserindo é realmente uma "ou" ou um "cn". Se essas informações não estiverem corretas o processo simplesmente não funcionará. Mais uma vez sugiro o navegador LDAP do YaST, ele ajuda muito nesses casos.
Caso tenha problemas, verifique sempre o arquivo de log /var/log/squid/cache.log, ele tem informações úteis sobre todo o processo.
Para iniciar o processo, primeiramente deve se instalar o Squid. Isso pode ser feito pelo comando abaixo:
# zypper install squid3
Ao final do processo de instalação, faça uma cópia do arquivo /etc/squid/squid.conf com o seguinte comando:
# cp /etc/squid/squid.conf /etc/squid/squid.comentado
Dessa forma é possível preservar o arquivo que é praticamente um manual do Squid. Agora remova os comentários do arquivo original com o seguinte comando:
# cat /etc/squid/squid.conf |grep -v "#" > /etc/squid/squid.temp
Depois remova as linhas em branco com esse comando:
# egrep -v "^>|^$" /etc/squid/squid.temp > /etc/squid/squid.conf
Para esse teste, foi criado na base do Active Directory um grupo com nome de SquidAcessoRestrito do qual farão parte usuários da rede que só podem acessar determinados sites corporativos. O que vai acontecer é que esses usuários ao tentar acessar, por exemplo, o google.com.br, Ele será solicitado infinitamente a informar usuário e senha e não conseguira fazer acesso. Já os sites liberados serão acessados sem solicitação de usuário e senha em toda a rede.
Seguem abaixo as configurações do Squid:
Feito isso basta iniciar o Squid com o seguinte comando:
# /etc/init.d/squid start
Caso faça alguma alteração posterior para aplicar basta executar este comando:
# squid -k reconfigure
Para ver o status do Squid digite:
# rcsquid status
Seria isso, com essas configurações já é para o Squid estar funcionando corretamente.
Claudir Pereira dos Santos
Matelândia - PR
Referência:
BATISTA, L. C. Squid autenticando em base Active Directory. Disponível em: <www.vivaolinux.com.br>. Acesso em: 08 dez. 2010.
Muita atenção, deve ser usado o cn do usuário e não o nome de login. Sugiro usar o Navegador LDAP que está o yast para verificar as informações corretamente. Outro ponto que deve ser ressaltado que você deve identificar corretamente os parâmetros da linha de autenticação, não tome os valores do exemplo como absoluto.
Verifique na sua base LDAP se a informação que vocês está inserindo é realmente uma "ou" ou um "cn". Se essas informações não estiverem corretas o processo simplesmente não funcionará. Mais uma vez sugiro o navegador LDAP do YaST, ele ajuda muito nesses casos.
Caso tenha problemas, verifique sempre o arquivo de log /var/log/squid/cache.log, ele tem informações úteis sobre todo o processo.
Para iniciar o processo, primeiramente deve se instalar o Squid. Isso pode ser feito pelo comando abaixo:
# zypper install squid3
Ao final do processo de instalação, faça uma cópia do arquivo /etc/squid/squid.conf com o seguinte comando:
# cp /etc/squid/squid.conf /etc/squid/squid.comentado
Dessa forma é possível preservar o arquivo que é praticamente um manual do Squid. Agora remova os comentários do arquivo original com o seguinte comando:
# cat /etc/squid/squid.conf |grep -v "#" > /etc/squid/squid.temp
Depois remova as linhas em branco com esse comando:
# egrep -v "^>|^$" /etc/squid/squid.temp > /etc/squid/squid.conf
Para esse teste, foi criado na base do Active Directory um grupo com nome de SquidAcessoRestrito do qual farão parte usuários da rede que só podem acessar determinados sites corporativos. O que vai acontecer é que esses usuários ao tentar acessar, por exemplo, o google.com.br, Ele será solicitado infinitamente a informar usuário e senha e não conseguira fazer acesso. Já os sites liberados serão acessados sem solicitação de usuário e senha em toda a rede.
Seguem abaixo as configurações do Squid:
#Servidores DNS
dns_nameservers 192.168.0.1
#CONFIGURAÇÕES GERAIS
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
fqdncache_size 1024
log_fqdn off
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /var/cache/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
logfile_rotate 9
#AUTENTICAÇÃO DO DOMINIO
#Atenção! A linha de autenticação começa aqui
auth_param basic program /usr/sbin/squid_ldap_auth -R -b "dc=dominio,dc=com" -D "cn=Administrador,cn=Users,dc=dominio,dc=com" -w "123456" -f sAMAccountName=%s -h 192.168.0.1:389
#Atenção! Aqui termina a linha de autenticação
auth_param basic realm ATENCAO! Este acesso sera registrado. Digite seu usuario e senha.
auth_param basic children 5
auth_param basic casesensitive off
auth_param basic credentialsttl 1 minutes
emulate_httpd_log off
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
ftp_passive on
unlinkd_program /usr/sbin/unlinkd
#ACLS EXTERNA PARA AUTENTICACAO NAS BASES LDAP DO PDC
#Atenção! A linha de verificação dos grupos começa aqui.
external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -R -b "dc=dominio,dc=com" -D "cn=Administrador,cn=Users,dc=dominio,dc=com" -w "123456" -f "(&(objectclass=person) (sAMAccountName=%v)(memberof=cn=%a,ou=UsuLocais,dc=dominio,dc=com))" -h 192.168.0.1
#Atenção! A linha de verificação dos grupos termina aqui.
#ACLS
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24 # que vem da rede local
acl to_localnet dst 192.168.0.0/24 #que vão para a rede local
acl SSL_ports port 443
acl Safe_ports port 21 22 70 80 210 289 443 488 591 777 1025-65535
acl CONNECT method CONNECT
acl liberados url_regex -i unimedmedianeira hilum hospitalpadretezza
acl DomBloq dstdomain -i .xpto.com.br
acl DomLibe dstdomain -i.vivaolinux.com.br
acl ExtBloq url_regex -i .mp3$ .zip$
acl ldapAcessoRestrito external ldap_group SquidAcessoRestrito
acl SolicitarAutenticacao proxy_auth REQUIRED
#CONTROLES DE ACESSO HTTP
#Libera acessos a alguns sites sem autenticação para todos
http_access allow liberados
#Solicita autenticação. Se não autenticar, bloqueia conexão.
http_access deny !SolicitarAutenticacao
#Libera acesso a sites ou serviços http na rede interna
http_access allow to_localnet
#Bloqueia acesso aos usuários registrados no grupo SquidAcessoRestrito do Active Directory
http_access deny ldapAcessoRestrito
http_access allow DomLibe
http_access deny DomBloq
http_access deny ExtBloq
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
cache_effective_user nobody
cache_effective_group nobody
visible_hostname proxy_openSUSE113
unique_hostname proxy_openSUSE113
#CONTROLES DE ACESSO ICP
icp_access allow localnet
icp_access allow all
#CONTROLES DE ACESSO HTCP
htcp_access allow localnet
htcp_access deny all
#GRAVAÇÃO DE LOGS
cache_log /var/log/squid/cache.log
#REFRESHS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
#CONFIGURAÇÕES DE CACHE
cache_mem 64 MB
maximum_object_size_in_memory 32 KB
cache_mgr webmaster@hospitalpadretezza.com.br
mail_program mail
#OUTRAS CONFIGURAÇÕES
coredump_dir /var/cache/squid
connect_timeout 1 minutes
client_lifetime 5 minutes #days
icon_directory /usr/share/squid/icons
error_directory /usr/share/squid/errors/Portuguese
dns_nameservers 192.168.0.1
#CONFIGURAÇÕES GERAIS
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
fqdncache_size 1024
log_fqdn off
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /var/cache/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
logfile_rotate 9
#AUTENTICAÇÃO DO DOMINIO
#Atenção! A linha de autenticação começa aqui
auth_param basic program /usr/sbin/squid_ldap_auth -R -b "dc=dominio,dc=com" -D "cn=Administrador,cn=Users,dc=dominio,dc=com" -w "123456" -f sAMAccountName=%s -h 192.168.0.1:389
#Atenção! Aqui termina a linha de autenticação
auth_param basic realm ATENCAO! Este acesso sera registrado. Digite seu usuario e senha.
auth_param basic children 5
auth_param basic casesensitive off
auth_param basic credentialsttl 1 minutes
emulate_httpd_log off
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
ftp_passive on
unlinkd_program /usr/sbin/unlinkd
#ACLS EXTERNA PARA AUTENTICACAO NAS BASES LDAP DO PDC
#Atenção! A linha de verificação dos grupos começa aqui.
external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -R -b "dc=dominio,dc=com" -D "cn=Administrador,cn=Users,dc=dominio,dc=com" -w "123456" -f "(&(objectclass=person) (sAMAccountName=%v)(memberof=cn=%a,ou=UsuLocais,dc=dominio,dc=com))" -h 192.168.0.1
#Atenção! A linha de verificação dos grupos termina aqui.
#ACLS
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24 # que vem da rede local
acl to_localnet dst 192.168.0.0/24 #que vão para a rede local
acl SSL_ports port 443
acl Safe_ports port 21 22 70 80 210 289 443 488 591 777 1025-65535
acl CONNECT method CONNECT
acl liberados url_regex -i unimedmedianeira hilum hospitalpadretezza
acl DomBloq dstdomain -i .xpto.com.br
acl DomLibe dstdomain -i.vivaolinux.com.br
acl ExtBloq url_regex -i .mp3$ .zip$
acl ldapAcessoRestrito external ldap_group SquidAcessoRestrito
acl SolicitarAutenticacao proxy_auth REQUIRED
#CONTROLES DE ACESSO HTTP
#Libera acessos a alguns sites sem autenticação para todos
http_access allow liberados
#Solicita autenticação. Se não autenticar, bloqueia conexão.
http_access deny !SolicitarAutenticacao
#Libera acesso a sites ou serviços http na rede interna
http_access allow to_localnet
#Bloqueia acesso aos usuários registrados no grupo SquidAcessoRestrito do Active Directory
http_access deny ldapAcessoRestrito
http_access allow DomLibe
http_access deny DomBloq
http_access deny ExtBloq
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
cache_effective_user nobody
cache_effective_group nobody
visible_hostname proxy_openSUSE113
unique_hostname proxy_openSUSE113
#CONTROLES DE ACESSO ICP
icp_access allow localnet
icp_access allow all
#CONTROLES DE ACESSO HTCP
htcp_access allow localnet
htcp_access deny all
#GRAVAÇÃO DE LOGS
cache_log /var/log/squid/cache.log
#REFRESHS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
#CONFIGURAÇÕES DE CACHE
cache_mem 64 MB
maximum_object_size_in_memory 32 KB
cache_mgr webmaster@hospitalpadretezza.com.br
mail_program mail
#OUTRAS CONFIGURAÇÕES
coredump_dir /var/cache/squid
connect_timeout 1 minutes
client_lifetime 5 minutes #days
icon_directory /usr/share/squid/icons
error_directory /usr/share/squid/errors/Portuguese
Feito isso basta iniciar o Squid com o seguinte comando:
# /etc/init.d/squid start
Caso faça alguma alteração posterior para aplicar basta executar este comando:
# squid -k reconfigure
Para ver o status do Squid digite:
# rcsquid status
Seria isso, com essas configurações já é para o Squid estar funcionando corretamente.
Claudir Pereira dos Santos
Matelândia - PR
Referência:
BATISTA, L. C. Squid autenticando em base Active Directory. Disponível em: <www.vivaolinux.com.br>. Acesso em: 08 dez. 2010.
Outras dicas deste autor
Iniciando automaticamente guests do VmWare Server com vmrun em host Windows Server 2008 64 bits
Acessando RemoteApp em um servidor Windows Server 2008 64 bits de uma estação openSUSE 11.3 64 bits
Instalando VmWare Tools via linha de comando no OpenSUSE 11.1 como Guest no VmWare Server 2.0.2
Wine 1.2-rc6 no openSUSE 11.3 64 bits - Corrigindo erro de Time Zone
Leitura recomendada
Ativando a rede sem fio do Notebook usando um script
Logando o Windows 7 no Samba 3.5
Configurando o teclado ABNT2 no Slackware (KDE)
Redimensionando um disco virtual do VMWare
Upgrade Fedora 2 para o Fedora 3
Comentários
[2] Comentário enviado por claupers em 26/01/2011 - 09:51h
Valeu. Costumo usar o VOL para documentar as configurações no GNU/Linux. Dessa forma tenho salvo os procedimentos realizados e contribuo para a comunidade GNU/Linux.
Estamos ai.
Cordialmente;
Valeu. Costumo usar o VOL para documentar as configurações no GNU/Linux. Dessa forma tenho salvo os procedimentos realizados e contribuo para a comunidade GNU/Linux.
Estamos ai.
Cordialmente;
[3] Comentário enviado por andre_ramos em 29/07/2011 - 18:44h
Blz!
Parabéns pelo tutorial!!!
Estou seguindo o seu tutorial, estou com a mesma estrutura do seu ambiente.
iniciei o squid com sucesso.
Mas quando abro a internet pedi o usuario e senha.
coloco de um usuario que esta dentro do grupo AcessoRestrito mas não libera a internet.
Tem como vc me explicar melhor estas regras de autenticação para eu ver se estou errando em alguma coisa?
meu email e : info@toctao.com.br
se tiver como em enviar uma explicação agradeço.
Blz!
Parabéns pelo tutorial!!!
Estou seguindo o seu tutorial, estou com a mesma estrutura do seu ambiente.
iniciei o squid com sucesso.
Mas quando abro a internet pedi o usuario e senha.
coloco de um usuario que esta dentro do grupo AcessoRestrito mas não libera a internet.
Tem como vc me explicar melhor estas regras de autenticação para eu ver se estou errando em alguma coisa?
meu email e : info@toctao.com.br
se tiver como em enviar uma explicação agradeço.
[4] Comentário enviado por claupers em 30/07/2011 - 09:37h
Bom dia.
São muitas as variáveis envolvidas, mas em minha implantação tive muitos problemas com as definições das OU e CN. Use o cliente LDAP para verificar se os dados estão corretos. Se está autenticando corretamente, verifica a ordem de suas ACLs, isso é de grande relevância no SQUID.
Cordialmente;
Claudir
Bom dia.
São muitas as variáveis envolvidas, mas em minha implantação tive muitos problemas com as definições das OU e CN. Use o cliente LDAP para verificar se os dados estão corretos. Se está autenticando corretamente, verifica a ordem de suas ACLs, isso é de grande relevância no SQUID.
Cordialmente;
Claudir
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 64.762 pts -
Fábio Berbert de Paula
2° lugar - 48.219 pts -
Buckminster
3° lugar - 18.348 pts -
Mauricio Ferrari
4° lugar - 14.498 pts -
Alberto Federman Neto.
5° lugar - 13.225 pts -
Diego Mendes Rodrigues
6° lugar - 12.613 pts -
Daniel Lara Souza
7° lugar - 12.398 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.825 pts -
Andre (pinduvoz)
9° lugar - 10.581 pts -
edps
10° lugar - 10.227 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
