RE: Squid autenticando no Windows 20008
Neste caso recomendo usar Squid Autenticado via Winbind, veja alguns how-to: http://www.squid-cache.org/mail-archive/squid-users/200504/0155.html http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory Abraços, William da Rocha limawroc...@hotmail.com _ Conheça os novos produtos Windows Live! Clique aqui. http://www.windowslive.com.br
Re: Squid autenticando no Windows 20008
Para constar, uso Squid 2.7 com NTLM no Win2k3. Redondo!
Abraços,
Thiago.
2009/6/24 hamacker
> respondendo a mim mesmo, pois é, errei o nome canonico ldap, e tinha tanta
> certeza que tava correto :(.
> Nao me passou pela cabeça que o nome completo da conta "proxy_internet"
> deveria ser usado na sintaxe do squid_ldap_auth, no seu lugar usei o nome da
> conta.
> Foi isso que aconteceu, usei "proxy_internet" quando deveria ter usado
> "proxy_internet proxy de internet" em :
> "cn=proxy_internet,cn=users,dc=vidylab,dc=com,dc=br"
> correto seria :
> "CN=proxy_internet proxy de internet,CN=Users,DC=vidylab,DC=com,DC=br"
>
> Uma dica para os que passarem pelo mesmo problema, não confie em si mesmo
> para descobrir os nomes canonicos, vá até o server Win2008 e use esse
> pequeno comando :
> dsquery -user name [nome]*
>
> repare o nome canonico ldap pesquisado e use-o.
>
> Enfim, tá legal agora.
> PS: O Squid3 realmente tá voando.
>
>
> 2009/6/24 hamacker
>
> Olá pessoal,
>>
>> Um de nossos servidor (sim, há vários) tinhamos um Windows 2003 Server
>> e realizamos um upgrade para o Windows 2008.
>> Quando era o Windows 2003 Server, o nosso proxy squid autenticava
>> usando o modulo msnt_auth, agora no Windows 2008 ele não autentica de
>> jeito nenhum.
>> Procurando por resposta, descobrí que o Windows 2008 autentica usando
>> NTLM v2 somente, enquanto o Windows 2003 usa NTLM v2 e também o método
>> de autenticação mais antigo e os serviços Linux como o squid não usam
>> NTML v2 e por isso nenhuma senha que se fizer necessária iria
>> funcionar.
>>
>> Pois bem, miguei do SQUID2.6 para o SQUID3 na esperança de que esse
>> módulo já usasse o NTLM v2, mas parece que também não, pois embora o
>> proxy funcione, a autenticacao do usuário nunca dá certo ao navegar,
>> fica pedindo a senha intermitentemente.
>> Então parti para outro método de autenticação com as quais outros
>> tiveram sucesso com SQUID + AD no Windows 2008, estou tentando usar
>> "ldap_auth". Que pelo menos uma busca no Google revelou que 90% dos
>> que usam SQUID+WIN2008 preferem-no, mas simplesmente há algo muito
>> estranho, porque eu não consigo nenhuma autenticacao. As senhas estão
>> corretas, o IP tá correto, mas :
>>
>> # /usr/lib/squid3/squid_ldap_auth -R -b "dc=vidylab,dc=com,dc=br" -D
>> "cn=proxy_internet,cn=users,dc=vidylab,dc=com,dc=br" -w "teste123" -f
>> sAMAccountName=proxy_internet -h 192.168.1.10
>> proxy_internet teste123
>> squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
>> ERR Success
>>
>> A meleca não funciona de jeito nenhum.
>> Alguem já passou por isso e implementou uma solução que funcione no AD
>> do Win2008 ?
>>
>> Meu SQUID é :
>> # squid3 -v
>> Squid Cache: Version 3.0.PRE5
>> configure options: '--build=i486-linux-gnu' '--prefix=/usr'
>> '--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
>> '--infodir=${prefix}/share/info' '--sysconfdir=/etc'
>> '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3'
>> '--disable-maintainer-mode' '--disable-dependency-tracking'
>> '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3'
>> '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr'
>> '--enable-inline' '--enable-async-io=8'
>> '--enable-storeio=ufs,aufs,coss'
>> '--enable-diskio=AIO,Blocking,DiskDaemon,DiskThreads'
>> '--enable-removal-policies=lru,heap' '--enable-poll'
>> '--enable-digest-pools' '--enable-snmp' '--enable-htcp'
>> '--enable-select' '--enable-carp' '--enable-large-files'
>> '--enable-underscores' '--enable-auth=basic,digest,ntlm'
>>
>> '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM'
>> '--enable-ntlm-auth-helpers=SMB'
>> '--enable-digest-auth-helpers=ldap,password'
>>
>> '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
>> '--with-filedescriptors=4096' '--enable-epoll'
>> '--enable-linux-netfilter' 'CC=cc' 'CFLAGS=-g -Wall -O2' 'CPPFLAGS='
>> 'CXXFLAGS=-g -Wall -O2' 'CXX=g++' 'LDFLAGS='
>> 'build_alias=i486-linux-gnu'
>>
>> []'s a todos.
>>
>
>
Re: Squid autenticando no Windows 20008
respondendo a mim mesmo, pois é, errei o nome canonico ldap, e tinha tanta
certeza que tava correto :(.
Nao me passou pela cabeça que o nome completo da conta "proxy_internet"
deveria ser usado na sintaxe do squid_ldap_auth, no seu lugar usei o nome da
conta.
Foi isso que aconteceu, usei "proxy_internet" quando deveria ter usado
"proxy_internet proxy de internet" em :
"cn=proxy_internet,cn=users,dc=vidylab,dc=com,dc=br"
correto seria :
"CN=proxy_internet proxy de internet,CN=Users,DC=vidylab,DC=com,DC=br"
Uma dica para os que passarem pelo mesmo problema, não confie em si mesmo
para descobrir os nomes canonicos, vá até o server Win2008 e use esse
pequeno comando :
dsquery -user name [nome]*
repare o nome canonico ldap pesquisado e use-o.
Enfim, tá legal agora.
PS: O Squid3 realmente tá voando.
2009/6/24 hamacker
> Olá pessoal,
>
> Um de nossos servidor (sim, há vários) tinhamos um Windows 2003 Server
> e realizamos um upgrade para o Windows 2008.
> Quando era o Windows 2003 Server, o nosso proxy squid autenticava
> usando o modulo msnt_auth, agora no Windows 2008 ele não autentica de
> jeito nenhum.
> Procurando por resposta, descobrí que o Windows 2008 autentica usando
> NTLM v2 somente, enquanto o Windows 2003 usa NTLM v2 e também o método
> de autenticação mais antigo e os serviços Linux como o squid não usam
> NTML v2 e por isso nenhuma senha que se fizer necessária iria
> funcionar.
>
> Pois bem, miguei do SQUID2.6 para o SQUID3 na esperança de que esse
> módulo já usasse o NTLM v2, mas parece que também não, pois embora o
> proxy funcione, a autenticacao do usuário nunca dá certo ao navegar,
> fica pedindo a senha intermitentemente.
> Então parti para outro método de autenticação com as quais outros
> tiveram sucesso com SQUID + AD no Windows 2008, estou tentando usar
> "ldap_auth". Que pelo menos uma busca no Google revelou que 90% dos
> que usam SQUID+WIN2008 preferem-no, mas simplesmente há algo muito
> estranho, porque eu não consigo nenhuma autenticacao. As senhas estão
> corretas, o IP tá correto, mas :
>
> # /usr/lib/squid3/squid_ldap_auth -R -b "dc=vidylab,dc=com,dc=br" -D
> "cn=proxy_internet,cn=users,dc=vidylab,dc=com,dc=br" -w "teste123" -f
> sAMAccountName=proxy_internet -h 192.168.1.10
> proxy_internet teste123
> squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
> ERR Success
>
> A meleca não funciona de jeito nenhum.
> Alguem já passou por isso e implementou uma solução que funcione no AD
> do Win2008 ?
>
> Meu SQUID é :
> # squid3 -v
> Squid Cache: Version 3.0.PRE5
> configure options: '--build=i486-linux-gnu' '--prefix=/usr'
> '--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
> '--infodir=${prefix}/share/info' '--sysconfdir=/etc'
> '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3'
> '--disable-maintainer-mode' '--disable-dependency-tracking'
> '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3'
> '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr'
> '--enable-inline' '--enable-async-io=8'
> '--enable-storeio=ufs,aufs,coss'
> '--enable-diskio=AIO,Blocking,DiskDaemon,DiskThreads'
> '--enable-removal-policies=lru,heap' '--enable-poll'
> '--enable-digest-pools' '--enable-snmp' '--enable-htcp'
> '--enable-select' '--enable-carp' '--enable-large-files'
> '--enable-underscores' '--enable-auth=basic,digest,ntlm'
>
> '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM'
> '--enable-ntlm-auth-helpers=SMB'
> '--enable-digest-auth-helpers=ldap,password'
>
> '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
> '--with-filedescriptors=4096' '--enable-epoll'
> '--enable-linux-netfilter' 'CC=cc' 'CFLAGS=-g -Wall -O2' 'CPPFLAGS='
> 'CXXFLAGS=-g -Wall -O2' 'CXX=g++' 'LDFLAGS='
> 'build_alias=i486-linux-gnu'
>
> []'s a todos.
>
