Problemas do Squid com AD

danilo.mota
(usa Debian)

Enviado em 30/08/2011 - 08:32h

Bom Dia,
Pessoal,

Estou com o seguinte problema no ambiente squid3 mais winbind samba e windows 2008
estou querendo configurar a integração com os grupos do AD e a mesma não funciona:
Já realizei os seguintes passos
Configurei o krb5 “kerberos” corretamente
Configurei o Winbind também sem problemas pois quando executo o comando
Wbinfo –t –u –g o mesmo funciona corretamente.
Cofigurei o samba também corretamente, coloquei a maquina do domínio sem maiores problemas;
Alterei o squid.conf e mesmo agora solicita autenticação,
Porém quando crio a regra de grupos no Ad não tenho o efeito desejado,
Por exemplo crio um regra para o grupo chamado admin_ti que bloqueia o facebook
Esta regra é aplicada para todos os usuários da rede ou para nenhum:
SQUID.conf
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm use_ntlm_negotiate off
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 5 minutes

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm "Controle de Acesso Web"
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rede src 192.168.0.0/255.255.255.0

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

## Sites Liberados por Grupo do Active Directory
acl SitesNegados dstdomain "/etc/squid/ACLS/sites-group_ad"

## ACLS EXTERNAS DE GRUPOS DO Active Directory
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl

# Neste Arquivo terá a lista dos grupos que poderão acessar a net.
acl AllowGroupAD external nt_group "/etc/squid/ACLS/allow-group_ad"

http_access allow AllowGroupAD !SitesNegados

http_access allow localhost
http_access deny rede

http_reply_access allow all
icp_access allow all

cache_dir ufs /var/spool/squid 24576 16 256
coredump_dir /var/spool/squid

renato_pacheco
(usa Debian)

Enviado em 30/08/2011 - 09:01h

Vc já tentou outras formas d autenticação no AD?

- http://www.vivaolinux.com.br/artigo/Squid-autenticado-no-Active-Directory-com-Winbind?pagina=4
- http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory?pagina=3

danilo.mota
(usa Debian)

Enviado em 30/08/2011 - 09:43h

Primeiramente obrigado pela resposta
Não tentei outra forma de autenticação apenas o ntlm
Segui o tutorial enviado porém não obtive sucesso;
Continua sem verificar qual grupo o usuário pertence,

renato_pacheco
(usa Debian)

Enviado em 30/08/2011 - 09:48h

Vc viu mais esse?

http://www.vivaolinux.com.br/artigo/Squid-+-Winbind-+-Samba-no-AD-Autenticando-por-grupos?pagina=3

Fala sobre um script em Perl q pesquisa os grupos do AD. Dessa forma, vc consegue separar em grupos suas paradas. No meu trampo isso funciona, mas não estou lá no momento.

danilo.mota
(usa Debian)

Enviado em 30/08/2011 - 09:51h

Pessoal realizei os teste de autenticação novamente tanto do winbind com do squid com os comandos abaixo:
wbinfo -a usuario%senha
ntlm_auth --help-protocol=squid-2.5-basic --domain=dominio --username=usuario --password=senha
ambos funcionaram corretamente.
Porém ainda estou com dificuldades, para que o squid vincule o usuário ao grupo.

danilo.mota
(usa Debian)

Enviado em 30/08/2011 - 11:40h

Ainda não rolou cara, tentei fazer as alterações do script do wbinfo_group.pl
agora o squid aplica uma acl de um grupo para todos os usuários
exemplo tenho dois usuários
um chamado danilo que pertence ao grupo admin_ti
outro everton que não pertence a outro grupo
uma acl que diz que para o grupo admin_ti a internet esta liberada menos o site do facebook
uma acl que diz que a rede inteira esta bloqueada;
o everton sem estar no grupo admin_ti esta está com a internet liberada e bloqueando o facebook