Squid3 Autenticando AD 2008 repetindo 3 vezes [RESOLVIDO]

jcva
(usa Debian)

Enviado em 01/12/2009 - 09:39h

Galera do VOL, estou com uma duvida sobre o squid autenticando no AD 2008 na base LDAP. A parte do Kerberos, Samba e WinBind esta tranquila pois a maquina(proxy) ja se encontra no dominio visualizando usuario, grupos, etc.

O problema é o Squid3 que está autenticando o usuario numa boa, porem fica repetindo a tela de autenticação 3 vezes, e depois nega o acesso ao usuario(Cache Access Denied).

Comparei minha conf com a do exemplo - http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ldap e com outras confs do VOL tb.

Também já pesquisei "n" exemplos no VOL e infelizmente não obtive sucesso. Como estou pesquisando a um bom tempo e não consiguo sair do lugar, resolvi pedir socorro a vcs.

Segue a conf

#squid.conf
#CPD Centro de Processamento de Dados - 2009

http_port 3128
visible_hostname Debian - Proxy Web

# Configuracao do cache
cache_mem 1024 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 128 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 100 16 256

# Localizacao do log de acessos do Squid
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log

######################### Autenticacao AD 2008 ###############
auth_param basic program /usr/lib/squid3/squid_ldap_auth -v 3 -b "dc=scmc,dc=corp" -D "uid=admusuario,ou=Users,dc=scmc,dc=corp" -w 123.usuario -f uid=%s -h srvfis03.scmc.corp srvfis04.scmc.corp
auth_param basic children 5
auth_param basic realm SCMC - Proxy Web
auth_param basic credentialsttl 1 minutes
acl ldap-auth proxy_auth REQUIRED
#########################################################

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0

# Libera para a rede local e Usuario autenticado

http_access allow manager
acl redelocal src 10.0.50.0/255.255.255.0 10.0.56.0/255.255.255.0 10.0.57.0/255.255.255.0 10.0.58.0/255.255.255.0
http_access allow ldap-auth redelocal localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

Obs: admusuario(Usuario administrador do dominio), srvfis03.scmc.corp e srvfis04.scmc.corp controladores de dominio da rede. SCMC.CORP dominio da rede.
10.0.5*.**.* redes locais.

Galera, é isso, quem puder me ajudar com alguma dica, experiencia, tutorial, etc. Td ajuda é bem vinda.

Vlw

jcva
(usa Debian)

Enviado em 06/01/2010 - 08:17h

Galera, consegui resolver o problema. Era o usuario admusuario. Pois, o parametro "-w" so aceita a senha do administrador do DC e a senha que estava era do admusuario(usuario com permissao de administrador) e por isso o squid ñ autenticava no DC. Mais é isso, coloque a senha do administrador no parametro "-w" que funciona.

Vlw

vagnersj
(usa Ubuntu)

Enviado em 29/04/2010 - 20:02h

E ai tdu bem?

Sei que é um "pouquinho" tarde para uma resposta, mas você está com o problema idêntico ao meu.
Não estou conseguindo autenticar no AD 2008. Já havia pesquisado e feito as mesmas configurações que as suas, mas sem sucesso. Para garantir ainda mais, apaguei tudo e fiz novamente exatamente como seu post, até com o usuário Administrator do domínio, mas sem chance, não vai nem a pau. Sempre pede autenticação novamente.

Você alguma idéia?

Um abraço.

jcva
(usa Debian)

Enviado em 17/05/2011 - 14:53h

Cara, realmente passou um tempo legal. Mas vamos ressucitar o topico.

Pelo que lembro, para resolver esse problema tive q colocar os usuarios do squid com permissao para logar no WinServer2008(servidor de sominio). Propriedades do usuario no AD. Ja que td os usuario no AD na epoca, estavam restritos a fazerem logon em maquinas especificas. Dessa forma func...

Mas, dar esse tipo de permissao é uma "M" do tamanho de um bonde, porem, resolveu o problema.

Espero ter ajudado.

Vlw