Problemas com Squid e LDAP

luizsnike
(usa Debian)

Enviado em 17/09/2012 - 21:36h

Pessoa, estou com problemas quando executo o comando
root@Squid:/etc/squid/lists# /etc/init.d/squid restart

Restarting Squid HTTP proxy: squidFATAL: Bungled squid.conf line 47: acl proxy_liberado external ldap_group PROXY_LIBERADO
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.

meu sistema está com SAMBA - WINBIND - SQUID - SARG, já configurei tudo, testei ele acessa a base do Ad trás os Grupos e Usuários tudo certinho, mas quando mando ele reinicar da esse erro alguém pode dar uma luz ?

Meu Squid.conf


#CONFIGURACOES DIVERSAS
http_port 8080
visible_hostname SQUID
cache_mem 256 MB
maximum_object_size_in_memory 2 MB
maximum_object_size 100 MB
minimum_object_size 3 Kb

#CONFIGURACAO DE CACHE E LOG
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid/ 5000 16 256
access_log /var/log/squid/access.log squid

#ACL DE REDE
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 10.0.1.0/255.255.255.0

#AUTENTICA LDAP
auth_param basic realm "Para acessar é necessário a senha"
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 5
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 30 minutes
#auth_param ntlm use_ntlm_negotiate off

#LIBERA PORTAS
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 83 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#######################################################################################
#ACL ACESSOS
acl password proxy_auth REQUIRED

# Administradores - Acesso total liberado
acl proxy_liberado external ldap_group PROXY_LIBERADO

# Grupo para acesso a Internet
acl proxy_padrao external ldap_group PROXY_GERAL

# Grupo para acesso ao Sites Financeiros
acl proxy_financeiro external ldap_group PROXY_FINANCEIRO

########## Regras de bloqueio/desbloqueio de conteudo ###############

# Sites que nao precisam de autenticacao
acl sites_sem_autenticacao dstdom_regex -i "/etc/squid/lists/sites_sem_autenticacao"

# Controle de uso do FINANCEIRO
acl sites_financeiro urlpath_regex -i "/etc/squid/lists/sites_financeiro"
#acl msn_ips dst -i "/etc/squid/lists/msn_ips"

# Controle de downloads
acl downloads_proibidos urlpath_regex -i "/etc/squid/lists/downloads_proibidos"
acl downloads_permitidos urlpath_regex -i "/etc/squid/lists/downloads_permitidos"

# Controle de palavras
acl palavras_proibidas url_regex -i "/etc/squid/lists/palavras_proibidas"
#acl palavras_permitidas url_regex -i "/etc/squid/lists/palavras_permitidas"

# Controle de dominios
acl sites_proibidos dstdom_regex -i "/etc/squid/lists/sites_proibidos"
acl sites_permitidos dstdom_regex -i "/etc/squid/lists/sites_permitidos"

# Controle de URL's
acl urls_proibidas url_regex -i "/etc/squid/lists/urls_proibidas"
acl urls_permitidas url_regex -i "/etc/squid/lists/urls_permitidas"


################# Configuracao das regras: ############

#Libera Squid
http_access allow localhost

# Libera sites sem autenticacao
http_access allow sites_sem_autenticacao

# Libera acesso total para administradores
http_access allow password proxy_liberado

# Controle de uso do Financeiro
http_access allow password proxy_financeiro
http_access allow sites_financeiro
#http_access deny msn_ips !proxy_financeiro

# Controle de downloads
http_access deny downloads_proibidos
# !downloads_permitidos !sites_permitidos !urls_permitidas

# Controle de palavras
http_access deny palavras_proibidas
#!sites_permitidos !urls_permitidas

# Controle de sites
http_access deny sites_proibidos

# Controle de URL's
http_access deny urls_proibidas
#!urls_permitidas

# Libera acesso para usuarios autenticados
http_access allow password proxy_padrao

#BLOQUEIA OUTROS ACESSOS
http_access deny all
#############################################################################
#BLOQUEIA ACESSO PARA OUTRAS PORTAS
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# GUARDAR ARQUIVOS DO WINDOWS UPDATE
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#ICP
icp_access allow redelocal
icp_access deny all

#NAO GUARDA CGI
hierarchy_stoplist cgi-bin ?

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

error_directory /usr/share/squid/errors/pt-br

johnnyb
(usa Fedora)

Enviado em 18/09/2012 - 11:36h

Amigo pelo que intendi o erro esta aqui

# Administradores - Acesso total liberado
acl proxy_liberado external ldap_group PROXY_LIBERADO

# Grupo para acesso a Internet
acl proxy_padrao external ldap_group PROXY_GERAL

# Grupo para acesso ao Sites Financeiros
acl proxy_financeiro external ldap_group PROXY_FINANCEIRO

quando vc seta regras espesificas aos usuairios tem bastante tempo que num mecho com esse proxy na versao 2.7 irei da uma olhada e mais tarde volto com mais informações

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 11:39h

Tá faltando parâmetro ai heim!

Você não está autenticando em base ldap!

#AUTENTICA LDAP

auth_param basic realm "Para acessar é necessário a senha"

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param ntlm children 5 

Falta o parâmetro do grupo.

#ACL ACESSOS

acl password proxy_auth REQUIRED



# Administradores - Acesso total liberado

acl proxy_liberado external ldap_group PROXY_LIBERADO



# Grupo para acesso a Internet

acl proxy_padrao external ldap_group PROXY_GERAL



# Grupo para acesso ao Sites Financeiros

acl proxy_financeiro external ldap_group PROXY_FINANCEIRO 

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 11:48h

Você tem pelo menos o LDAP na sua rede?

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 11:51h

Ex de configuração do squid autenticando em base LDAP.

# Autenticação do usuário no LDAP

auth_param basic program /usr/lib/squid3/squid_ldap_auth -v3 -b "ou=Usuarios,dc=dominio,dc=com,dc=br" -f "(uid=%s)" -H ldap://server:389

auth_param basic children 30

auth_param basic realm Acesso a Internet

auth_param basic credentialsttl 5 minutes

auth_param basic casesensitive off



# Controle de acesso por grupo no LDAP

external_acl_type proxy_liberado children=30 %LOGIN /usr/lib/squid3/squid_ldap_group -v3 -b "ou=Grupos,dc=dominio,dc=com,dc=br" -f "(&(cn=%g)(memberUid=%u))" -H ldap://server:389 

luizsnike
(usa Debian)

Enviado em 18/09/2012 - 11:53h

Vamos lá, acho q muitas pessoas fazem isso q estou tentando. a premissa é essa:

tenho um Windows AD 2003, com uma OU(internet) com grupos e quero bloquear acesso pelo squid usando o grupo q a pessoa está, para teste coloquei 3 grupos (proxy_liberado, proxy_geral, proxy_financeiro).

tendo isso, eu instalei Kerberos 5, Samba, Apache, Winbind, o sistema está configurado para o Winbind autenticar na base AD pelo Ldap, se eu der o comando Wbinfo -g -u ele me trás os usuários e os grupos.

se eu não precisasse autenticar por grupo já estaria funcionando o Squid, se nem mesmo autenticar qdo abre o navegador (autentica sozinho pelo user logado no Windows), mas preciso q ele separe e bloqueia por usuário. encontrei estes comandos mas não sei se é oq preciso nem como usá-lo

auth_param basic program /usr/lib/squid/ldap_auth -ZZ -b "ou=People,dc=skole,dc=skolelinux,dc=no" ldap
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
2. Now that you can authenticate the users, tell it how to check that authenticated users are in a chosen group using squid_ldap_group.


external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -ZZ -b "ou=Group,dc=skole,dc=skolelinux,dc=no" -f "(&(objectclass=posixGroup)(cn=%a)(member=%v))" -B "ou=People,dc=skole,dc=skolelinux,dc=no" -F uid="%s" ldap

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 11:54h

Espero não ter te confundido!

Você não está copiando e colando confs da web não né? Isso não é bom! Procure sempre estudar a documentação oficial!

luizsnike
(usa Debian)

Enviado em 18/09/2012 - 11:58h

Tenho sim, pelo tutorial q segui consegui chegar até a autenticação no LDAP, qdo gero SARG, ele mostra o usuário do AD e o sites q acessou certinho, sem pedir senha do navegador.

me enrolei depois disso. :(

luizsnike
(usa Debian)

Enviado em 18/09/2012 - 12:03h

Amarildo segui um tutorial em video, sou novo com Linux, estou querendo implantar esse sistema em meus clientes, estou entudando, mas naum da pra pegar tudo tão rápido, oq é de prioridade pra mim agora é deixar esse Squid funcionando com bloqueio por Grupo, se não fosse pedir muito gostaria de uma ajuda pois me perdi o Squid usa várias maneiras de autenticação e nisso eu me perdi. estou com uma máquina fora de produção, se vc conhece algum tutorial q serve pra isso q estou precisando ficaria agradecido, já adquiri livro e curso sobre linux, prometo estudar :)

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 12:08h

Nunca autentiquei no AD! Tu já viu esse?
http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2...

Parece que está bem explicado!

Dica: Só implante em seus clientes, quando estiver fera no assunto. Caso contrario você terá muitos problemas para dar suporte!

removido
(usa Nenhuma)

Enviado em 18/09/2012 - 12:17h

É... Estava lendo esse artigo...

Bem bacana! Creio que te atenta. Tá bem explicado!

luizsnike
(usa Debian)

Enviado em 18/09/2012 - 12:18h

Parece q esse ta fera msm, vou ler ele todo parece ser exatamente oq eu preciso, estou usando o Debian Squeeze, vc acha q o Ubuntu se sairia melhor ? tenho um outro squid em outro cliente q funciona em cima do Windows 7, mas quero mudar para Linux tbm se der certo vou subistuir esse tbm.