Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

To: Allison Vollmann <allisonvoll@yahoo.com.br>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?
From: hamacker <sirhamacker@gmail.com>
Date: Thu, 13 May 2010 15:14:47 -0300
Message-id: <AANLkTinTO65SQ0RdwuDPhG-YjC9VJcVVDR9dED5941T9@mail.gmail.com>
In-reply-to: <4BEC3AAE.3050705@yahoo.com.br>
References: <AANLkTikIEAqjgiaklFY6CXt3l6p_aiI2ulOUDL9OXcL4@mail.gmail.com> <4BEC3AAE.3050705@yahoo.com.br>

Me guiei por este tutorial :
http://174.123.53.162/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory/

voce precisa de kerberos, winbind, samba e squid funcionando em conjunto.
O principal problema chama-se DNS, os nomes de hosts precisam ser
encontrados entre si.
Tive uns tropeços no artigo, mas dá para se virar.

O problema de eu voltar a usar o wpad (mesmo usando a autoconfiguracao
que há nos navegadores) é que vou precisar montar webserver, e
sinceramente não estava a fim.

O resultado final do squid com ntlm é muito bom.
Aqueles que estao usando windows quando navegam nenhum popup de
autenticacao é mostrado, no entanto aparece nos logs os nomes deles.
Aqueles que não estão no dominio ou o navegador não é compativel com
ntlm (ie e firefox são) recebem uma janela de popup normal de
autenticação.

Pesquisando um pouco mais no Google, noto que não sou o único com este problema.
Assim tenho que fazer a escolha de Sofia :
- Navegagar por proxy transparente (que fizem ser mais rápido, mas nunca ví)
- Autenticacao por NTLM, onde os usuários (maioria windows) não
precisam bater senha.

Triste, não ?

[]'s

Em 13 de maio de 2010 14:45, Allison Vollmann
<allisonvoll@yahoo.com.br> escreveu:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Em 13/5/2010 14:22, hamacker escreveu:
>> Ref : Alguem ai conseguiu usar squid3+proxy
>> transparente+squid3+autenticacao por ntlm ?
>> Olá pessoal,
>>
>> Estou instalando um servidor, fiz um script com iptables onde alem de
>> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
>> transparente).
>> Tambem configurei o squid3 de acordo com a instrucao :
>> http_port 192.168.1.24:3128 transparent
>>
>> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
>> não precisam de popup de autenticacao.
>> Mas ninguem navega !
>> Se eu remover "transparent" da instrucao no squid3.conf :
>> http_port 192.168.1.24:3128 ***transparent***
>>
>> Daí tudo funciona numa boa.
>>
>> Olhando os logs eu consigo isso :
>>
>> $ tail -f /var/log/squid3/cache.log
>> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>> (...)
>> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>>
>> Será mesmo que proxy transparente com autenticacao NTLM realmente não
>> podem funcionar juntos ?
>>
>>
>
> Olá,
>
> Será que o caso é do NTLM mesmo? Com essas configurações se você
> tentar autenticar no proxy manualmente ele navega?
>
> Pelas mensagens de log ele não aceita autenticação na conexão em proxy
> transparente, eu recomendaria configurar um http_port separado para o
> proxy transparente e fazer os redirecionamentos pelo firewall.
>
> Outra coisa, as estações que estão acessando por NTLM estão com as
> configurações de proxy ativas? ele pode estar passando as informações
> de logon para o proxy transparente, o que poderia ser o problema
> também, neste caso seria interessante utilizar WPAD para setar as
> configurações automaticamente e ativar essa opção no navegador.
>
> Só uma dúvida, nunca usei NTLM e pelo que li é complicado pois não
> existem muitas aplicações que suportam, você conseguiu adaptar isso a
> sua estrutura (algo que seja diferente de IE/Exchange)? Pretendo
> futuramente atualizar a estrutura para squid3 também e colocar NTLM/WPAD
>
> A[]'s
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.9 (MingW32)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iEYEARECAAYFAkvsOq0ACgkQ7OAY7mv8BhlRagCgtdPqjoQqFZ0kzw3BLWb12Os4
> zdEAoIljj9dqSMOtHe0SbsUAEvaT1nCn
> =Xrd8
> -----END PGP SIGNATURE-----
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: 4BEC3AAE.3050705@yahoo.com.br">http://lists.debian.org/4BEC3AAE.3050705@yahoo.com.br
>
>

Reply to:

References:
- Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?
  - From: hamacker <sirhamacker@gmail.com>
- Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?
  - From: Allison Vollmann <allisonvoll@yahoo.com.br>

Prev by Date: directfbextra + ffmpeg
Next by Date: Re: eliminar alarme sonoro
Previous by thread: Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?
Next by thread: directfbextra + ffmpeg
Index(es):
- Date
- Thread