Não consigo autenticar usuários no AD

Spym4n_m
(usa CentOS)

Enviado em 15/03/2012 - 11:08h

Bom dia galera do VOL!

Estou com um problema em meu Squid. Estou tentando autenticar usuários no AD 2008 R2 e estou errando em alguma configuração no Squid, que me faz ter um loop (tela de login repetida). Alguem pode dar uma luz? Já pesquisei bastante, e nada. Segue squid.conf (só coloquei o trecho relevante):

http_port 192.168.0.1:3128

hierarchy_stoplist cgi-bin ?

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

# Autenticao AD
##########################################
auth_param basic children 5
auth_param basic realm Digite seu usuario e senha de rede
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b "dc=dominio,dc=local" -D "cn=Squid Proxy,ou=Grupos,dc=dominio,dc=local" -w "senha" -f sAMAccountName=%s -h servidor.dominio.local

external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "dc=dominio,dc=local" -D "cn=Squid Proxy,ou=Grupos,dc=dominio,dc=local" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=Grupos,DC=dominio,DC=local))" -h servidor.dominio.local

acl password proxy_auth REQUIRED

# Aqui crio as ACL's buscando o grupo
acl gti external ldap_group GTI
acl gpd external ldap_group GPD
acl gfa external ldap_group GFA
acl gpr external ldap_group GPR
acl gcl external ldap_group GCL


# HTTP ACCESS
##########################################

# bloqueia todas as portas nãlistadas
http_access deny !Safe_ports
# bloqueia conexõdas portas seguras nãlistadas
http_access deny CONNECT !SSL_ports

# regras das acls de controle (bloqueio e politicas de rede)
# ========================================
http_access allow password gpd !sites_deny
http_access allow password gti !sites_allow
http_access deny all

renato_pacheco
(usa Debian)

Enviado em 15/03/2012 - 11:43h

Vc já testou os dois comandos no shell pra saber se tá consultando direito?

/usr/lib64/squid/squid_ldap_auth -R -b "dc=dominio,dc=local" -D "cn=Squid Proxy,ou=Grupos,dc=dominio,dc=local" -w "senha" -f sAMAccountName=%s -h servidor.dominio.local



/usr/lib64/squid/squid_ldap_group -R -b "dc=dominio,dc=local" -D "cn=Squid Proxy,ou=Grupos,dc=dominio,dc=local" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=Grupos,DC=dominio,DC=local))" -h servidor.dominio.local

 

Tem q aparecer a saída OK, senão tem algo errado nos comandos acima.

spym4n_m
(usa CentOS)

Enviado em 19/03/2012 - 10:40h

Opa, tudo bem?

Primeiramente obrigado pela resposta.

Respondendo sua pergunta, testei sim! Para a consulta de usuarios, ele pede usuario e senha do AD e dá o "OK" em caso de acerto ou "ERR" em caso de erro de senha.

Para consulta de grupos, tenho que digitar usuario e grupo, e ele mostra as mesmas respostas. É bem provavel que seja algo relacionado a ordem como estou montando meu arquivo .conf.

Mais alguma sugestão?

renato_pacheco
(usa Debian)

Enviado em 19/03/2012 - 10:53h

Execute o squid em modo debug e tente se conectar. Qq erro ele vai apresentar lá...

squid -NCd1