Kerberos + Squid + AD [RESOLVIDO]

Olá pessoal do VOL,

Gostaria de pedir um auxilio a vocês.
Resolvi fazer uma implementação decente aqui na empresa, trocando os servers, cabeamento e os sistemas operacionais.
Fiz toda a parte do AD, DNS e DHCP na nova máquina (Dell - T110). Troquei os sistemas das máquinas e todas estão no AD, em ordem.

(Segui esse tutorial para fazer a integração entre AD e o Linux:
http://lplima.blogspot.com.br/search/label/Linux%20Integrado%20ao%20AD)

Nosso querido firewall (vou me relacionar assim a ele pois o resultado tem sido o esperado) está instalado o Debian Squeeze, atualizado também, com os seguintes serviços:
Kerberos;
Squid;
Samba;
Winbind;
Fiz todas as alterações para fazer a integração entre ambos, consegui colocar o firewall no domínio, consegui fazer o WinBind pegar os usuários/grupos do AD sem erros, tudo como manda o tutorial. No /etc/squid/squid.conf também fiz as alterações corretas e tudo funcionou perfeitamente, menos um detalhe que eu posso ter esquecido. Nas estações aparece a tela de login no navegador, mas não consigo usar o mesmo usuário que está no AD e no WinBind! Digito o mesmo usuário que logou na máquina, que está presente na lista do Winbind (se rodar o comando wbinfo -U vejo os usuários do AD e consigo até criar um grupo pelo Debian dentro do AD) e mesmo assim não reconhece.
São 3 vezes errado e ai aparece uma tela de erro do Squid dizendo que o usuário não tem permissão de acesso ao cache.

Alguém já passou por isso e pode me dar uma dica?

Acredito q o problema não esteja no Winbind, mas, sim, no Squid. D q forma vc tá acessando o AD no Squid? Poste aki o seu squid.conf.

Falai renato_pacheco


Bom, segui algumas dicas de alguns tutoriais para fazer meu squid.conf.
Segue.

# Porta default do Squid
http_port 3128
#Linha 1 - Consultar Squid
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=JCPANIFICACAO,dc=LOCAL" -D "cn=Administrator,cn=Users,dc=JCPANIFICACAO,dc=LOCAL" -w "xxxxxxxxx" -f sAMAccountName=%s -h 192.168.0.150

# linha 2:
auth_param basic children 5

# linha 3 - Mensagem que ira aparecer na caixa de autenticaç:
auth_param basic realm Firewall

# linha 4:
auth_param basic credentialsttl 30 minutes

# Linha 5:
acl autentica proxy_auth REQUIRED

# nome do servidor
visible_hostname Firewall

# Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

# Regras de acesso para rede local
acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Bloqueando por dominios e palavras
acl bloqueados url_regex "/etc/squid/sites_bloqueados"
http_access deny bloqueados
error_directory /usr/share/squid/errors/Portuguese

#acl redelocal src 192.168.0.0/24
#http_access allow redelocal
http_access allow localhost
http_access allow autentica
http_access deny all

Amigo,

Acredito ter resolvido o problema.

Na linha:

#Linha 1 - Consultar Squid
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=JCPANIFICACAO,dc=LOCAL" -D "cn=Administrator,cn=Users,dc=JCPANIFICACAO,dc=LOCAL" -w "xxxxxxxxx" -f sAMAccountName=%s -h 192.168.0.150


tenho o campo "cn=Administrator..." onde o nome de usuário de administrador eu digitei errado. rs
alterei e deixei assim:
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=JCPANIFICACAO,dc=LOCAL" -D "cn=Administrador,cn=Users,dc=JCPANIFICACAO,dc=LOCAL" -w "xxxxxxxxx" -f sAMAccountName=%s -h 192.168.0.150

e o problema, aparentemente, foi resolvido rs

Pra ficar melhor agora seria ideal instalar o Sarg e tirar os relatórios por lá, certo?

Correto. Mas tem um lance melhor pra vc: se vc quiser q os usuários q estejam no domínio não precisem d digitar a autenticação toda vez q abrir o navegador, use a autenticação ntlm. Ex.:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="S-1-5-21-1224805343-1726457864-674552118-8765"

 

Sendo q o membership é o SID do grupo do qual os usuários devem pertencer para acessar ao proxy.

Pelo que lembro só funciona em AD 2003 no 2008 tem que rebaixar a segurança de todas as estações para ntlmv2

Provavelmente. Basta fazer alguns testes pra comprovar isso. Não acho q é necessário rebaixar, apenas configurar o servidor para aceitar as autenticações antigas.

Funciona ou não funciona?

Vi alguma coisa desse tipo na internet, em algum outro tutorial, mas não implementei ainda...

Não tem ligação com a nota fiscal eletronica não né?

depois que subi o firewall, não estamos conseguindo emitir nota fiscal eletronica, ao que tudo indica esta relacionado ao firewall que não está permitindo baixar os pacotes.

Já tiveram algo desse tipo?

Será que se eu colocar dessa forma, sem a tela de pop-up, auxiliaria em algo a nf-e?

Então a ultima vez passei 3 dias tentando e nada da autenticação automática, mas isso ja tem mais de 2 anos, pode ser que tenha alguma solução por ai.

Não posso te contradizer, pois eu nunca testei com o AD 2008...

Achei algo acho que alguem já criou uma solução:
http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2...

Muito boa essa solução, hein? Bem explicadinho...