SQUID - Active Directory (NTLM)

GuilhermeBR
(usa CentOS)

Enviado em 07/11/2013 - 15:01h

Pessoal,

Implementei aqui, SQUID com autenticação no Active Directory (NTLM). Para as máquinas do dominio, está tudo funcionando normalmente. Mas para algumas máquinas, que não estão no domínio, não funciona a autenticação.

Meu squid.conf:

# INICIO
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 250
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 250
auth_param basic realm Entre com seus dados
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl autenticados proxy_auth REQUIRED
http_access deny !autenticados all
# FIM

Para as máquinas fora do dominio, preciso fazer o login da seguinte forma:

usuário: dominio+usuario
senha: senha do AD

Isso pq o caracter "+" está definido como o separador no smb.conf. Mas mesmo assim, não consegue fazer o login. Alguém já teve esse problema?

renato_pacheco
(usa Debian)

Enviado em 07/11/2013 - 15:08h

Cara, coloque outro caractere. O barra invertida é o mais usual e funciona para todas as aplicações integradas.

GuilhermeBR
(usa CentOS)

Enviado em 07/11/2013 - 15:22h

Ok, vou tentar amanhã, pq não posso derrubar os usuários agora. xD

Aproveitando o tópico, fiquei com algumas dúvidas, se vcs puderem me ajudar:

1) Li em algum lugar que existe um meio, de não ter que declarar o DOMINIO no usuário, para usuários fora do dominio. É alguma configuração do Samba?

2) Esse problema, pode ser relacionado ao à permissões? Meu winbind_privileged está assim:
drwxr-x--- 2 root squid 4096 Nov 7 15:11 winbindd_privileged

3) Todo dia, preciso dar um restart no squid, depois do almoço. Isso pq libero acesso à redes sociais e ao gmail, na hora do almoco.. e se vc não dropar as conexões, os usuários continuam navegando normalmente até que fechem o browser. Ao reiniciar o squid, preciso tb reiniciar o samba e winbind, para que a autenticação funcione?

renato_pacheco
(usa Debian)

Enviado em 07/11/2013 - 15:40h

Não, é do Kerberos, no arquivo krb.conf (não me lembro o parâmetro agora...)



Acho q não...



Não. Essa parada d reiniciar o squid não é válida, pois aki onde eu trabalho não há a necessidade d reiniciar o squid para isso. Caso necessite ainda disso, basta reiniciar o squid com o comando squid -k reconfigure.

renato_pacheco
(usa Debian)

Enviado em 07/11/2013 - 15:45h

Corrigindo sua última pergunta sobre o q eu disse, aki onde eu trabalho o bloqueio é realizado pelo dansguardian. Por isso q não precisamos reiniciar o squid, pois o dansguardian é mais eficiente nesse ponto.

GuilhermeBR
(usa CentOS)

Enviado em 07/11/2013 - 16:26h

Eu tentei o reconfigure do squid, mas ele somente lê as novas regras e mantém as conexões ativas. Dessa forma, os usuários continuam navegando no gmail ou algum site que utilize muito Ajax. Somente bloqueia, para novas requisições. Se o usuário mantiver uma janela do browser aberta, qdo foi liberado (hora do almoço), ele continua navegando no gmail. O Dansguardian, consegue bloquear?

removido
(usa Nenhuma)

Enviado em 07/11/2013 - 17:07h

Sobre o bloqueio por horário... existe alguma regra entre a acl proxy_auth e a regra http_acess deny !autenticados all ? ou as acls e regras de bloqueios por horário estão depois da acl e regra citada ?

renato_pacheco
(usa Debian)

Enviado em 07/11/2013 - 17:20h

O dansguardian faz essa parada sem precisar reiniciar o squid.

GuilhermeBR
(usa CentOS)

Enviado em 07/11/2013 - 18:18h

Sim, existem várias outras ACLs. Postei somente as referentes à autenticação com o AD.

GuilhermeBR
(usa CentOS)

Enviado em 07/11/2013 - 18:30h

Ok, depois de acertar essa autenticação, vou ver se instalo o dansguardian.. vlw pela dica!

removido
(usa Nenhuma)

Enviado em 07/11/2013 - 19:30h

É regras existem ? se sim posta aqui somente as regras e acls entre a acl e regra citrada, sei que parece bobagem.

GuilhermeBR
(usa CentOS)

Enviado em 08/11/2013 - 15:11h

Oi pessoal,

Fiz os testes, mas realmente não funciona.

O que fiz:

- Alterei o caracter separador no /etc/samba/smb.conf Na verdade, deixei sem declarar a opção "winbind separator", para que use o separador padrão;
- Reiniciei o serviço squid;
- Reiniciei o serviço samba ;
- Reiniciei o serviço winbind.

Quando faço o teste de autenticação basic no Linux, funciona normalmente:

[root@proxy ~]# /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
dominio\guilherme 123
OK

Tentei colocar uma senha errada pra ver se realmente está validando:

[root@proxy ~]# /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
dominio\guilherme 321
ERR

Testei sem dominio, e tb funciona:

[root@proxy ~]# /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
guilherme 123
OK

E todos os outros testes, tb funcionam:

wbinfo -u
wbinfo -g
wbinfo -t

* Obs: Renato, a opção que mencionei, de não ter que colocar o DOMINIO no usuário (DOMINIO\USUARIO), é essa opção do Winbind -> "winbind use default domain". Fonte: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm

Existe algum LOG, que eu possa ver o erro que está dando, nas tentativas de autenticação do SQUID?