SQUID + Autenticação Segura no AD (NTLM)
Dica publicada em Linux / Segurança
SQUID + Autenticação Segura no AD (NTLM)
Cenário - Configurar autenticação segura no AD para o Squid.
Solução:
SO: Debian Jessie GNU/Linux 8 - Linux 3.16.0-4-amd64
Pacotes básicos (tudo via apt-get):
Configurar permissão adequada no arquivo /var/lib/samba/winbindd_privileged.
* Pesquisar aqui no Viva o Linux.
Configurar o squid.conf.
As linhas responsáveis pela autenticação do usuário no AD de forma segura estão abaixo:
Após todas as configurações solicitadas acima estiverem OK, reinicie todos os serviços e valide no sniffer predileto (wireshark), os usuários e senhas são protegidos por criptografia.
\m/
Solução:
SO: Debian Jessie GNU/Linux 8 - Linux 3.16.0-4-amd64
Pacotes básicos (tudo via apt-get):
krb5-config 2.3 samba 2:4.2.10+dfsg-0+deb8u3 winbind 2:4.2.10+dfsg-0+deb8u3 squid3 3.4.8-6+deb8u3Configurar Kerberos, nsswitch.conf, Samba e por o servidor de proxy no domínio do ADS com o mesmo usuário Domain Admin.
Configurar permissão adequada no arquivo /var/lib/samba/winbindd_privileged.
* Pesquisar aqui no Viva o Linux.
Configurar o squid.conf.
As linhas responsáveis pela autenticação do usuário no AD de forma segura estão abaixo:
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=gss-spnego --require-membership-of='dominio\\userdomainadmin'
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=gss-spnego-client
external_acl_type wbinfo_check %LOGIN /usr/lib/squid3/ext_wbinfo_group_acl
acl NTLMUsers proxy_auth REQUIRED
acl allowed_group external wbinfo_check GruposdosUsersdoADPermitidos
http_access allow NTLMUsers
http_access allow allowed_group
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=gss-spnego --require-membership-of='dominio\\userdomainadmin'
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=gss-spnego-client
external_acl_type wbinfo_check %LOGIN /usr/lib/squid3/ext_wbinfo_group_acl
acl NTLMUsers proxy_auth REQUIRED
acl allowed_group external wbinfo_check GruposdosUsersdoADPermitidos
http_access allow NTLMUsers
http_access allow allowed_group
Após todas as configurações solicitadas acima estiverem OK, reinicie todos os serviços e valide no sniffer predileto (wireshark), os usuários e senhas são protegidos por criptografia.
\m/