Liberar Youtube - Squid Autenticado Windos 2008 Server [RESOLVIDO]

wcorrea
(usa Fedora)

Enviado em 31/01/2011 - 11:45h

Olá Pessoal, Bom Dia

Estou com dificuldade na configuração do meu squid.conf
Preciso liberar os videos do youtube para um determinado grupo de usuário "Diretoria"

A autenticação dos usuários já estão funcionando corretamente através do meu controlador de dominio (Windows 2008 Server).
O site do youtube já está liberado e abre normalmente, mas não consigo carregar os videos,
O seguinte erro aparece "An Error Occurred, Please try again Later"

Estou fazendo o teste com um usuário sem restriçõe.

Desconfio que seja alguma coisa envolvendo o cache

Todas as sugestoes e criticas serão bem vindas.
Se alguem puder me ajudar segue abaixo o meu squid.conf
Obrigado.





#-----------------------------------------------------------------------------------
# Arquivo de configuracaodo squid
# Autor Willian Vagner Vicente Correa
# E-mail willian.vag@gmail.com
#-----------------------------------------------------------------------------------

#***********************************************************************************#
# CONFIGURACOES BASICAS #
#***********************************************************************************#

negative_ttl 0
# Porta de acesso do proxy
http_port 3128
hierarchy_stoplist cgi-bin ?
# Nome do servidor (COMANDO hostname)
visible_hostname CO-SERV-01


#***********************************************************************************#
# CONFIGURACOES DE CACHE #
#***********************************************************************************#

# Cache_mem -> Quantidade da cache usada na memoriaa ram, recomendo o uso de 1/4 da memoria disponivel, a nao ser, que o micro seja utilizado para outras funcoes
cache_mem 1500 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 9216 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
# Essas tags servem para quando o cache encher ele sobercrever o que existir de antigo, assim nunca estorando.
cache_replacement_policy lru
memory_replacement_policy lru
# Diretorio onde o cache sera armazenado em disco, recomendo a utilizacao deste diretorio que e o padrao, o numero 50000 porque sera disponibilizados 50gb de espaco
cache_dir ufs /var/spool/squid 50000 16 256
cache_access_log /var/log/squid/access.log
cache_store_log none


#Diminue o tempo de carregamento dos videos
#quick_abort_min -1 KB


# Atualizacao dos objetos que estao no cache
#youtube's videos
#refresh_pattern -i \.flv$ 10080 90% 999999 ignore-no-cache override-expire ignore-private
#refresh_pattern (get_video\?|videoplayback\?|videodownload\?) 5259487 99999999% 5259487 override-expire ignore-reload ignore-private
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


#***********************************************************************************#
# AUTENTICACAO DO PROXY ATRAVES DO CONTROLADOR DE DOMINIO #
#***********************************************************************************#

# Parametros para autenticacao do usuarios no AD
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=meusite,dc=com,dc=br" -D "cn=Administrador,cn=Users,dc=meusite,dc=com,dc=br" -w "teste" -f sAMAccountName=%s -h 192.168.0.6
# Numeros de processos filhos onde o default e 5
auth_param basic children 5
# Desativa a verificacao de letras maiusculas e minusculas
auth_param basic casesensitive off
# Mensagem que ira aparecer na caixa de autenticacao
auth_param basic realm DIGITE O LOGIN E A SENHA
# Define o timeout de logon no proxy
auth_param basic credentialsttl 30 minutes
# acl usuarios_sem_proxy proxy_auth willian.correa
acl usuarios_sem_proxy proxy_auth "/etc/squid/acl/usuarios_sem_proxy.conf"
# acl que pede autenticacao
acl usuarios_autenticados proxy_auth REQUIRED


#***********************************************************************************#
# ACLs #
#***********************************************************************************#

acl manager proto cache_object

acl localhost src 127.0.0.1/32
acl rede_interna src 192.168.0.0/24 # Rede Interna
#acl rede_interna src 192.168.56.0/24 # Virtual Box - Maquinas Virtuais
acl SSL_ports port 443 563 2083 10000 # SSL
acl Safe_ports port 80 # http - Navegacao
acl Safe_ports port 21 # ftp - download/upload
acl Safe_ports port 25 # SMTP - Envio de E-Mail
acl Safe_ports port 110 # POP3 - Recebimento de E-Mail
acl Safe_ports port 143 # Imap
acl Safe_ports port 443 563 # https, snews - navegacao SSL
acl Safe_ports port 70 # gopher - protocolo nao mais utilizado
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # Swat
acl Safe_ports port 1863 # MSN Messenger - Client
acl Safe_ports port 2083 # CPanel - Host-on - Hospedagem do nosso website
acl Safe_ports port 3456 # Receitanet
acl Safe_ports port 5017 # CagedNet
acl Safe_ports port 6891 # MSN Messenger - Transfer File
acl Safe_ports port 8017 # Receita Federal
acl Safe_ports port 10000 # webmin
acl Safe_ports port 1025-65535 # Portas nao registradas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#-----------------------------------------------------------------------------------
# Bloqueia acessos de fora da rede local antes de passar pela autenticacao, O simbolo "!" inverte a regra aplicada, bloqueia todos os enderecos que nao fizerem parte da acl "rede_interna"
http_access deny !rede_interna


#Permitir cache
acl googlevideo dstdomain .googlevideo.com
acl youtube dstdomain .youtube.com
cache allow googlevideo
cache allow youtube


#-----------------------------------------------------------------------------------
# ACL de liberacao e Negacao de acesso aos usuario
acl dominios_liberados dstdomain -i "/etc/squid/acl/dominios_liberados.conf"
acl dominios_bloqueados dstdomain -i "/etc/squid/acl/dominios_bloqueados.conf"
acl palavras_bloqueadas url_regex "/etc/squid/acl/palavras_bloqueadas.conf"
acl extencao_bloqueadas url_regex -i "/etc/squid/acl/extencao_bloqueadas.conf"
acl radioOnline_bloqueados rep_mime_type -i "/etc/squid/acl/radioOnline_bloqueados.conf"

#-----------------------------------------------------------------------------------
# Sites por fora do Squid = Sites problematicos
acl sitesPorForaSquid url_regex -i "/etc/squid/acl/sitesPorForaSquid.conf"
no_cache deny sitesPorForaSquid
always_direct allow sitesPorForaSquid

#-----------------------------------------------------------------------------------
http_access allow usuarios_sem_proxy
http_access allow usuarios_autenticados dominios_liberados
http_access deny usuarios_autenticados dominios_bloqueados
http_access deny usuarios_autenticados palavras_bloqueadas
http_reply_access deny usuarios_autenticados radioOnline_bloqueados
http_access deny usuarios_autenticados extencao_bloqueadas
http_access allow usuarios_autenticados

#-----------------------------------------------------------------------------------
# Ativa a linguagem da paginas de erro para o portugues
error_directory /usr/share/squid/errors/pt-br/
# Pagina de erros personalizadas
#deny_info ERR_DENIED_FILE_TYPE extencao_bloqueadas


# Configuracoes de Cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY


#-----------------------------------------------------------------------------------
# Libera o acesso da rede interna e do localhost para os usuarios autenticados, bloqueia os demais
http_access allow rede_interna
http_access allow localhost
http_access deny all

neogorn
(usa CentOS)

Enviado em 31/01/2011 - 13:19h

Bom, se a sua autenticação esta funcionado perfeitamente.
Agora é só vc criar grupo dentro do AD.
Ex: GRUPO PADRAO,GRUPO YOUTUBE, GRUPO DOWNLOAD

Dentro do grupo PADRAO vc ai adicionar as pessoas que vc nao queira que acesse o youtube.
e dentro do grupo YOUTUBE vc vai colocar as pessoas que vc queira tenha acesso ao youtube.

a regra vai ficar assim

http_access allow padrao !youtube
http_access allow youtube

Exemplo do meu .conf

acl ADAcessoTotal external ldap_group AcessoTotal
acl ADAcessoRestrito external ldap_group AcessoRestrito
acl ADAcessoDownload external ldap_group AcessoDownload
acl ADAcessoPadrao external ldap_group AcessoPadrao
acl redelocal src 192.168.0.0/24

acl liberados url_regex -i "/etc/squid3/acl/liberados"
acl permitidos url_regex -i "/etc/squid3/acl/permitidos"
acl bloqueados url_regex -i "/etc/squid3/acl/bloqueados"
acl palavrasproibidas url_regex -i "/etc/squid3/acl/palavrasproibidas"

http_access allow ADAcessoTotal
http_access allow liberados !ADAcessoPadrao
http_access allow permitidos
http_access deny bloqueados
http_access deny palavrasproibidas
http_access allow localhost
http_access allow redelocal
http_access deny all

Como vc pode ver o arquivos onde eu coloco os URLs bloqueadas é(/etc/squid3/acl/bloqueados) e dentro dela esta o dominio do youtube.
e dentro do arquivo /etc/squid3/acl/permitidos) tambem esta o dominio do youtube liberando ele.

wcorrea
(usa Fedora)

Enviado em 31/01/2011 - 13:54h

Olá Neogorn

Consegui resolver.
me esqueci que tinha feito uma acl para bloquear radioonline e no meio do conteudo estava as seguintes linhas

video/3gpp
video/annodex
video/dl
video/dv
video/fli
video/flv
video/gl
video/mp4
video/mp4v-es
video/mpeg
video/ogg
video/parityfec
video/pointer
video/quicktime
video/vnd.fvt
video/vnd.motorola.video
video/vnd.motorola.videop
video/vnd.mpegurl
video/vnd.mts
video/vnd.nokia.interleaved-multimedia
video/vnd.vivo
video/x-flv
video/x-la-asf
video/x-matroska
video/x-mng
video/x-ms-asf
video/x-ms-asx
video/x-msvideo
video/x-ms-wm
video/x-ms-wmv
video/x-ms-wmx
video/x-ms-wvx
video/x-sgi-movie

Criei outra acls para esses fins e funcionou certinho
Muito Obrigado pela ajuda

andre_ramos
(usa openSUSE)

Enviado em 31/01/2011 - 14:03h

Kara estou configurando, meu squid com autenticação no dominio do windows 2008, estou com algunas dificuldades, tem como vc me passar os passos ou o tutorial de como configurou, pois segui alguns tutoriais da net e não deu certo.

1) o seu squid que postou esta completo?
2) como fica a configuração no dominio 2008.

sei que o seu topico no forum esta voltado a outra pergunta, mas estou pesquisando para implantar esses serviço na net e vi que o seu squid.conf esta configurado para o que eu preciso,

se puder me ajudar agradeço

se puder me mandar no email info@toctao.com.br te agradeço
abraços

wcorrea
(usa Fedora)

Enviado em 31/01/2011 - 15:28h

Olá Andre_Ramos

Não precisa fazer nenhuma configuração no windows 2008
somente colocar o seu squid para se autenticar atraves do seu windows 2008 com as seguintes linhas


# Parametros para autenticacao do usuarios no AD
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=meusite,dc=com,dc=br" -D "cn=Administrador,cn=Users,dc=meusite,dc=com,dc=br" -w "teste" -f sAMAccountName=%s -h 192.168.0.6



onde o (dc=meusite, dc= com, dc=br) é a floresta do se AD
(cn=Administrador) é o usuário que estou utilizando para fazer o acesso no meu server
("teste") é a senha do meu usuário administrador
(192.168.0.6) é o IP do server

willian.amaral
(usa Debian)

Enviado em 09/03/2011 - 18:22h

Olá wcorrea,

Estou com uma dúvida,utilizando a sua .conf, toda vez que o usuário abrir o navegador vai pedir senha né? existe uma maneira de usar a senha já autenticada do Windows, pois os computadores estaraão em domínio.

Obrigado
Willian

removido
(usa Nenhuma)

Enviado em 09/03/2011 - 19:56h

Fala Willian,


Dá uma olhada nesse link:

http://mapburghardt.blogspot.com/2010/06/squid-ad-kerberos-uma-solucao-decente.html

Abraço.