Squid com auth_ntlm [RESOLVIDO]

c4tt0
(usa CentOS)

Enviado em 27/11/2014 - 11:37h

Temos um servidor CentOS com squid 2.5 que funciona perfeitamente com auth_ntlm.
Estamos migrando para uma configura atualizada CentOS 64 e com squid 3.10 e estamos enfrentando um problema.
Depois de inserir no squid.conf as seguintes acls:

acl IMPRENSA dstdomain "/etc/squid/regras/sites_imprensa.txt"
acl SITES_IMPRENSA external wb_group sites_imprensa
http_access allow SITES_IMPRENSA IMPRENSA !ENTRETERIMENTO !BLOQUEIO_URL_ENTRETERIMENTO !PALAVRAS_PROIBIDAS

O objetivo, óbvio, é regular o acesso a Internet, neste caso presente é permitir que os membros de um grupo (AD) "sites_imprensa" possam acessar jornais e revistas vedados aos demais usuários no horário comercial.

O problema é que a partir da inserção desta acl o squid passou a pedir autenticação a cada acesso, coisa que não acontece na versão anterior (2.5).
Alguém já se deparou com isto? Algum parâmetro especial de configuração?

caiorodrigues
(usa Debian)

Enviado em 27/11/2014 - 14:21h

Cara, pq não instala o squid mais novo ? meu aqui ta na 3.3 e não acontece isso.

c4tt0
(usa CentOS)

Enviado em 27/11/2014 - 17:04h

Instalei a mais recente versão não beta(Squid Cache: Version 3.4.9) e o problema persistiu.

caiorodrigues
(usa Debian)

Enviado em 28/11/2014 - 10:20h

Troque a regra: acl IMPRENSA dstdomain "/etc/squid/regras/sites_imprensa.txt"
por: acl IMPRENSA url_regex "/etc/squid/regras/sites_imprensa.txt"

renicie o squid ( squid3 -k reconfigure ). Olha se resolve.

c4tt0
(usa CentOS)

Enviado em 28/11/2014 - 10:35h

Grato pela sugestão. Mas o teste não teve sucesso.
Vale adicionar que após testar a versão 3.4 que não resolveu eu voltei para a versão 3.10.
Estou observando que a autenticação esta falhando, e ele repete o pedido para autenticar até ser cancelado.
Embora os teste com Wbinfo estejam ok. Parece que ele não reconhece a autenticação. Tem alguma dica para debug?

buckminster
(usa Debian)

Enviado em 28/11/2014 - 12:08h

acl IMPRENSA dstdomain "/etc/squid/regras/sites_imprensa.txt"
acl SITES_IMPRENSA external wb_group sites_imprensa
http_access allow SITES_IMPRENSA IMPRENSA !ENTRETERIMENTO !BLOQUEIO_URL_ENTRETERIMENTO !PALAVRAS_PROIBIDAS

Teste separando a última ACL:

http_access allow SITES_IMPRENSA IMPRENSA
http_access deny ENTRETERIMENTO BLOQUEIO_URL_ENTRETERIMENTO PALAVRAS_PROIBIDAS

Caso o erro persisitr, poste aqui teu squid.conf.

c4tt0
(usa CentOS)

Enviado em 28/11/2014 - 15:00h

O seguinte erro foi encontrado ao tentar recuperar a URL: http://zerohora.clicrbs.com.br/rs/
Acesso negado ao cache.
Desculpe. Atualmente, você não está permitido a requisitar http://zerohora.clicrbs.com.br/rs/ desse cache até que você tenha se autenticado.

A saber:
Neste teste um usuário que não pertence ao grupo-sites_imprensa tenta acessar um site cadastrado no arquivo sites_imprensa.txt.
Ele deveria ser bloqueado, mas sem pedir autenticação.

c4tt0
(usa CentOS)

Enviado em 28/11/2014 - 15:20h

Nao consigo postar o arquivo squid.conf, alegadamente, por possuir palavras de "baixo calão" !

buckminster
(usa Debian)

Enviado em 29/11/2014 - 13:45h

Coloque *** no lugar das palavras...

c4tt0
(usa CentOS)

Enviado em 04/12/2014 - 13:38h

A Solução veio de:
https://www.samba.org/samba/docs/man/Samba-Guide/DomApps.html
root# chgrp squid /var/lib/samba/winbindd_privileged
root# chmod 750 /var/lib/samba/winbindd_privileged

c4tt0
(usa CentOS)

Enviado em 04/12/2014 - 13:39h

A solução do problema veio de:
https://www.samba.org/samba/docs/man/Samba-Guide/DomApps.html

root# chgrp squid /var/lib/samba/winbindd_privileged
root# chmod 750 /var/lib/samba/winbindd_privileged