Squid autenticado NTLM + Samba + AD multiplos domínios

wescleyr
(usa Debian)

Enviado em 09/10/2015 - 09:55h

Bom dia Srs.

Gostaria de poder contar com a contribuição dos Srs. A alguns meses implementei o SQUID 3.1.20 com autenticação NTLM + SAMBA 3.6.6 + AD 2008R2 e filtro de conteúdo SuidGuard e na ocasião trabalhávamos apenas com um domínio no AD. Devido a necessidade, além dos computadores no domínio principal, agora precisaremos trabalhar também com um subdomínio continuando a autenticar no mesmo proxy. Aí que surgiu o grande problema ! Até onde pesquisei, não consegui achar solução para implementar esta autenticação do proxy lendo o Domínio e o Subdomínio simultaneamente.

Alguém já passou por este tipo de problema ??

renato_pacheco
(usa Debian)

Enviado em 09/10/2015 - 09:59h

Se vc passar uma autenticação seguida da outra não resolve?
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

wescleyr
(usa Debian)

Enviado em 09/10/2015 - 12:28h

Renato, a questão é que no squid não é configurada a solicitação de autenticação para um domínio ou outro. Esta configuração pelo que entendi, é feita no Samba pois lá é informado o dominio default. Outra dúvida é como o proxy se comporta tendo em vista que para configurar o NTLM, é necessário inserir o servidor no domínio.

renato_pacheco
(usa Debian)

Enviado em 09/10/2015 - 14:41h

Acho q vc não entendeu. Vou exemplificar:

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=DOMINIO1

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=DOMINIO2

auth_param ntlm children 1024 startup=256 idle=128

auth_param ntlm keep_alive off

 

Não sei se funciona, é só uma sugestão. Outra coisa é configurar o samba para se autenticar no domínio e subdomínio. Algo tb q não sei como seria.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

wescleyr
(usa Debian)

Enviado em 09/10/2015 - 17:38h

Renato,

tentei com a sua sugestão mas também não funcionou.
O que eu preciso é que os usuários continuem acessando de forma "transparente" sem a solicitação de senha tanto para o domínio quanto para o subdomínio.
Segue abaixo as configurações relacionadas ao dominio e subdominio que estão rodando em funcionamento no momento:
OBS: Só está funcionando o acesso para os usuários do dominio principal, que é o mesmo que o servidor proxy foi inserido. Se eu inserir o servidor no meu subdominio, só funciona os usuários do subdominio.

#### SQUID.CONF

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
#
#Pesquisa de Grupo no AD
external_acl_type ldap_group children=50 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=meudominio,dc=com,dc=br" -D "cn=proxy,ou=internet,dc=meudominio,dc=com,dc=br" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=internet,dc=meudominio,dc=com,dc=br))" -h 192.168.0.100

#### SMB.CONF

[global]
realm = MEUDOMINIO.COM.BR
workgroup = MEUDOMINIO
security = ADS

#### KDC.CONF

[realms]
MEUDOMINIO.COM.BR = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
SUBDOMINIO.MEUDOMINIO.COM.BR = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}

#### KRB5.CONF

[libdefaults]

default_realm = MEUDOMINIO.COM.BR
dns_lookup_realm = no
dns_lookup_kdc = no
ticket_lifetime = 24h
forwardable = yes

renato_pacheco
(usa Debian)

Enviado em 10/10/2015 - 12:31h

Uma pergunta: os usuários do AD (sem falar de Squid) que estão no domínio conseguem se conectar com os usuários do subdomínio?
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

wescleyr
(usa Debian)

Enviado em 15/10/2015 - 02:36h

Renato,
não entendi bem sua pergunta mas nos diversos testes que fiz, percebi que independente do dominio informado no método de autenticação, ou até mesmo se eu omiti-lo no código abaixo:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
o que está influenciando é a string de pesquisa dos grupos do LDAP. No meu caso utilizo 3 niveis de acesso (Restrito, Nivel1 e Nivel2) que se encontram no dominio principal e foram definidos como Universal pois devido a estrutura e políticas internas da empresa, apenas os Administradores do domínio podem conceder permissão de acesso à internet para os usuários do subdomínio.
Se eu não informar o domínio no código da pesquisa do AD:
#Pesquisa de Grupo no AD
external_acl_type ldap_group children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl

todos os usuários pertencentes ao mesmo domínio que a máquina está, conseguem navegar mesmo sem nenhum grupo atribuido no AD.

Quando eu informo o domínio principal na pesquisa:
#Pesquisa de Grupo no AD
external_acl_type ldap_group children=50 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=meudominio,dc=com,dc=br" -D "cn=proxy,ou=internet,dc=meudominio,dc=com,dc=br" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=internet,dc=meudominio,dc=com,dc=br))" -h 192.168.0.100

os usuários de ambos os domínios conseguem navegar se eles fizerem parte de um dos grupos e se o computador estiver no dominio ao qual ele pertence.
Quando eu informo apenas o domínio secundário na pesquisa, apenas os usuários do subdomínio conseguem navegar, se eles fizerem parte de um dos grupos e se o computador estiver no dominio ao qual ele pertence.

Já tentei passar a autenticação para os dois domínios como vc sugeriu e também testei passar a pesquisa no AD para os dois domínios mas sem sucesso.

squidfjv
(usa Slackware)

Enviado em 29/03/2016 - 18:23h

Wesley você conseguiu resolver este problema? Estou com um problema semelhante, se puder me informar se você conseguiu, seria uma grande ajuda