Mudando tipo de autenticação do Squid para algumas máquinas

Publicado por Rodrigo Garcia em 22/07/2015

[ Hits: 3.313 ]

 


Mudando tipo de autenticação do Squid para algumas máquinas



Olá a todos,

Onde eu trabalho implantei o Squid 3 com autenticação no AD, delay pools, proxy HTTPS etc. Temos alguns logins genéricos, que são usados em máquinas compartilhadas que também estão no AD. A ideia era bloquear o acesso à internet para esses logins genéricos para que a pessoa quando abrisse o navegador inserisse o login e senha individuais. O bloqueio funcionou e quando abria o navegador a janela de autenticação aparecia, mas não conseguia autenticar.

Depois de muito quebrar a cabeça, cheguei à conclusão de que o navegador não conseguia autenticar porque ele simplesmente não entendia que deveria usar a autenticação básica, já que a máquina está no domínio e já tem um usuário do domínio logado nela. Foi aí que eu comecei a fuçar na internet atrás de uma solução, e quando estava quase desistindo, consegui encontrar algo sobre http-violations.

Essa opção de compilação, habilita o Squid a violar o cabeçalho HTTP e mudar alguns parâmetros nele. Vi algumas pessoas mudando o tipo de autenticação para o Java, pois ele também não autentica usando NTLM, testei com o meu cenário e funcionou! A dica é simples, depois do Squid compilado com a opção "--enable-http-violations", basta inserir no squid.conf:

acl maquinas-compartilhadas  srcdomain  -i "/etc/squid3/acls/maquinas_compartilhadas"

reply_header_access     Proxy-Authenticate deny maquinas-compartilhadas
reply_header_replace    Proxy-Authenticate Basic realm="DOMINIO.COM.BR"
http_access     deny    rede_local logins_genericos

Com essas opções, o tipo de autenticação nas máquinas informadas (por FQDN) na ACL "maquinas-compartilhadas" vai ser mudado para o tipo "Basic", e o navegador vai conseguir autenticar tranquilamente quando a janela de autenticação for aberta. Dica simples que pode salvar bastante gente.

Até a próxima!!!

Outras dicas deste autor

VPN básica site-to-site com IPsec

Utilizando delay_class 4 do Squid 3 Integrado ao AD

Firewall pessoal com IPtables

Autenticação do Squid no Winbind 2.4 (Debian 8)

Comandos úteis do HP-UX para administradores GNU/Linux

Leitura recomendada

Acessando desktop do Debian 8 (Jessie) remotamente através do TightVNC

Projeto Root - Servidor de DHCP

Substituindo o FirewallD pelo Iptables no CentOS 7

Controlando o upload no Shaper

Ferramentas para administradores de redes

  

Comentários
[1] Comentário enviado por rahremix em 22/07/2015 - 09:45h

Muito bom!
Estou tendo uns problemas com meu squid e esse pode ser um caminho para que eu consiga resolver, obrigado!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts