Re: Squid3 autenticadono AD

To: Leandro Moreira <leandro@leandromoreira.eti.br>
Cc: d-u-p <debian-user-portuguese@lists.debian.org>
Subject: Re: Squid3 autenticadono AD
From: hamacker <sirhamacker@gmail.com>
Date: Fri, 27 Nov 2009 17:14:01 -0200
Message-id: <[🔎] dc83aa2f0911271114s7d7c1ffar42ffba6ce86ebb27@mail.gmail.com>
In-reply-to: <[🔎] 29a1ffc50911270820n60d45f66tae93b102680fd8c9@mail.gmail.com>
References: <[🔎] 29a1ffc50911250552t15e55d6vea2bdadb49098964@mail.gmail.com> <[🔎] dc83aa2f0911250622m2b0d574co3c62d605d9afc090@mail.gmail.com> <[🔎] 29a1ffc50911270820n60d45f66tae93b102680fd8c9@mail.gmail.com>

Na configuracao do squid que lhe enviei, tem gente que acessa a
internet por MacAddress previamente configurado, outros endereços são
abertos (não requer login) e para o restante depente da autenticacao.

Por exemplo, a ACL :

##################
# ADMINSTRADORES #
##################
acl password proxy_auth REQUIRED
acl usuarios_administradores proxy_auth
"/etc/squid3/usuarios_administradores.txt"


Aqui, estou dizendo que uma ACL "usuarios_administradores" que contém
nome de pessoas estao no arquivo
"/etc/squid3/usuarios_administradores.txt", cujo conteúdo é :
$cat /etc/squid3/usuarios_administradores.txt
pierre
sergio
suporte
hamacker

Tem outros grupos diferentes e voce irá perceber, isso é feito porque
eu tenho de determinar quem dentro do AD é administrador para acessar
a internet e poder fazer downloads de .exe/mp3/avi/..., algo que é
proibido para demais usuários.

Aí tem ACLs que descrevem sites que podem ter seu acesso independente
sempre livre :
# cat /etc/squid3/sites_governo.txt
sptrans.com.br
certisign.com.br
serasa.com.br
ventlesto.com.br
gov.br
org.br
mpas.gov

Tem outras listas tambem.

Depois eu começo a brincar com o http_acces que é de fato quem deixa
passar ou não pela internet, a sequencia de permissões é de cima para
baixo :
#########################################
# Administradores nao possuem restricao #
#########################################
http_access allow usuarios_administradores

####################################################
# Grupos de pessoas com acessos totais ou parciais #
####################################################
http_access allow usuarios_governo vidy_sites_governo
!empresa_sites_exclusivo_almoco
http_access allow empresa_sites_download
http_access deny  empresa_ext_proibidas
http_access deny  empresa_sites_proibidos empresa_sites_exclusivo_almoco
http_access allow usuarios_acesso_total !empresa_ext_proibidas
!empresa_sites_exclusivo_almoco
http_access allow usuarios_acesso_avulso !empresa_ext_proibidas
!empresa_sites_exclusivo_almoco
http_access deny all

Por isso que eu disse noutro email, que primeiro voce deveria tentar a
autenticacao pura e simples com o :
/usr/lib/squid3/squid_ldap_auth -R -b "dc=dominio,dc=com,dc=br" -D
"CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br" -w "senha" -f
sAMAccountName=%s -h 192.168.1.10

Quando voce tiver passado com a autenticacao, não se preocupa, pois a
lista de discussão lhe ajudará com o resto.

Só partir para o squid.conf sabendo que a autenticacao sem o squid
está normal. Pois, no squid.conf pode haver linhas que podem tornar
obrigatório a autenticacao ou nao, aí depende de cada necessidade, por
exemplo, no nosso horario de almoço os usuários podiam navegar sem
autenticar-se, mas mudamos essa regra recentemente por causa de alguns
que abusam do anonimato. O legal do squid é poder personalizar.



[]'s

2009/11/27 Leandro Moreira <leandro@leandromoreira.eti.br>:
> Hamacker,
> Poderia me tirar uma duvida por favor, no seu cenário, quanto os clientes
> abrem o browser abre alguma caixa de autenticar ou ao logar no computador o
> usuário esta logado automaticamente para internet.
>
> Att.
>
> Leandro Moreira.
>
> 2009/11/25 hamacker <sirhamacker@gmail.com>
>>
>> A configuracao que tenho aqui no squid3 e funciona :
>>
>> #
>> # Autenticacao no Win2008
>> #
>> auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b
>> "dc=dominio,dc=com,dc=br" -D
>> "CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br" -w
>> "senha-do-puser-proxy_internet" -f sAMAccountName=%s -h 192.168.1.10
>> auth_param basic children 5
>> auth_param basic realm Servidor de proxy da rede
>> auth_param basic credentialsttl 2 hours
>>
>> No win2008, voce tem que ter um o usuário canônico
>> "CN=proxy_internet,CN=Users,DC=dominio,DC=com,DC=br"
>>
>>
>> []'s
>>
>>
>> 2009/11/25 Leandro Moreira <leandro@leandromoreira.eti.br>:
>> > Caros,
>> > Sei que esse é uma assunto meio batido na lista mas todas as
>> > configurações
>> > que testei no squid nao deram certo, estou com um debian lendo a base de
>> > usuários de um AD 2008, mas as configurações que eu usei nenhuma
>> > funcionam
>> > no squid.
>> > Estou usando samba+winbind, pois preciso que o usuário ao logar ja log
>> > no
>> > proxy.
>> > Alguem pode me enviar as configurações do squid, abaixo segue alguams
>> > documentações que eu segui:
>> >
>> >
>> > http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/?pagina=3
>> >
>> > http://www.vivaolinux.com.br/artigo/Squid-+-Winbind-+-Samba-no-AD-Autenticando-por-grupos/?pagina=3
>> >
>> > http://www.vivaolinux.com.br/artigo/SQUID-e-as-autenticacoes-em-NTLM-e-RADIUS/
>> > http://www.vivaolinux.com.br/artigo/Squid-Plus-2007-para-Debian-4/
>> >
>> > Att.
>> >
>> > --
>> > Leandro Moreira
>> > Linux Administrator: LPIC-1
>> > e-mail/msn: leandro@leandromoreira.eti.br
>> > Tel.: + 55(32) 9906-5713
>> >
>
>
>
> --
> Leandro Moreira
> Linux Administrator: LPIC-1
> e-mail/msn: leandro@leandromoreira.eti.br
> Tel.: + 55(32) 9906-5713
>

Reply to:

References:
- Squid3 autenticadono AD
  - From: Leandro Moreira <leandro@leandromoreira.eti.br>
- Re: Squid3 autenticadono AD
  - From: hamacker <sirhamacker@gmail.com>
- Re: Squid3 autenticadono AD
  - From: Leandro Moreira <leandro@leandromoreira.eti.br>

Prev by Date: Re: duvida apache2 virtualhosts...
Next by Date: Re: [RESOLVIDO]Renomear arquivos com SED
Previous by thread: Re: Squid3 autenticadono AD
Next by thread: Re: Squid3 autenticadono AD
Index(es):
- Date
- Thread