Squid Grupo do AD

1. Squid Grupo do AD

Luciano Donato
sistemald

(usa Ubuntu)

Enviado em 23/03/2008 - 23:13h

Olá, estou tendo um problema, configurei o squid para se autenticar no ad, com ntlm.
A autenticação funcionou mas preciso fazer regras pelos grupos do ad ou pelas OU.


http_port 3128
visible_hostname srvproxy
# Configuração do cache
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
# Localização do log de acessos do Squid
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#Atenticando no AD
auth_param ntlm program /usr/lib/squid/ntlm_auth DONATO/SERVIDOR
auth_param ntlm children 5
acl autenticados proxy_auth REQUIRED
#Pegar o grupo do AD
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl # isto está certo? Precisa modificar o arquivo wbinfo_group.pl?
acl gr_recep external nt_group g_recepcao # g_recepcao é um grupo local no ad, mas não funcionou!!!
acl gr_diretor external nt_group g_diretor
acl gr_net external nt_group GNET
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.254.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# A ACL abaixo barra download de arquivos com extensões exe mp3 wma wmv mpg avi asf
acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .pif$ .cmd$
#acl para bloquear dominios
acl bloqueados dstdomain orkut.com www.orkut.com playboy.abril.com.br
# Filtros por palavras e por dominios
#acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny bloqueados
#http_access deny gr_recep
#http_access allow gr_net # ja libieire esta acl e bloqueie a de rede local e local host, e todos os usuario continuaram acessando, independente se fazia parte do grupo gnet ou não
#http_access allow autenticados
# Libera para a rede local
http_access allow localhost
http_access allow redelocal
# Bloqueia acessos externos
http_access deny all


Alguém alguma idéia?


  


2. Re: Squid Grupo do AD

Matheus Marcondes da Silva
matheus.silva

(usa Debian)

Enviado em 23/03/2008 - 23:36h

Primeira pergunta:
Vc compilou o modulo wbinfo_group.pl? ele não esta em /usr/lib/squid por padrão.. tem que entrar nos fontes do squid e compilálo...

Caso tenha feito isso segue abaixo meu squid.conf... uso ele na minha rede e funciona normalmente...

http_port 3128
visible_hostname fwsmartfast.net.local
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

auth_param ntlm program /usr/bin/ntlm_auth NET.LOCAL\SRVNET1 --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm use_ntlm_negotiate on
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 5 minutes
auth_param basic program /usr/bin/ntlm_auth NET.LOCAL\SRVNET1 --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

cache_effective_user proxy
cache_effective_group root
cache_mem 128 MB
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/spool/squid/logs/access.log
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 128 KB
maximum_object_size 64 MB
minimum_object_size 0 KB

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 81 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_servidores src 10.0.0.5
http_access allow rede_servidores

acl liberados dstdomain "/etc/squid/conteudo/liberados"
http_access allow liberados

acl block_msn dstdomain -i "/etc/squid/conteudo/proibidos"

external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl

acl MsnAllow external nt_group _Msn_Liberados
acl MsnDeny external nt_group _Msn_Bloqueados

http_access deny MsnDeny block_msn
http_access allow MsnAllow

acl acesso proxy_auth REQUIRED
http_access allow acesso

cache_mgr matheus.silva@smartfast.com.br
error_directory /usr/share/squid/errors/Portuguese

acl redelocal src 10.0.0.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all


3. Compilar o modulo wbinfo_group.pl

Luciano Donato
sistemald

(usa Ubuntu)

Enviado em 24/03/2008 - 11:36h

Você falou de sobre compilar o modulo wbinfo_group.pl, eu apenas instalei o squid com apt-get squid e configurei, o arquivo .conf de acordo que passei no post anterior, se pode me passar mais informações sobre como compilar este modulo?


4. Re: Squid Grupo do AD

Matheus Marcondes da Silva
matheus.silva

(usa Debian)

Enviado em 24/03/2008 - 14:27h

Desculpe a demora na resposta..
vc tem que baixar os fontes do squid..
nos fontes tera uma pasta helpers e dentro dela se nao me engano algo como external acl... dentro dela wbinfo_group... é só entrar nessa pasta e dar um make install..

caso nao ache baixe os fontes descompacte e procure por wbinfo_group assim
find / -name wbinfo_group
vai te dar a localização...

Qualquer duvida posta ai..






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts