Tem 3 artigos meus sobre integração de Squid com AD via NTLM.
http://www.p2t.com.br/squid Utilizem a Versão 3.0. Att, GK De: [email protected] [mailto:[email protected]] Em nome de Gilberto Nunes Ferreira Enviada em: Monday, June 08, 2009 5:38 PM Para: [email protected] Assunto: Res: RES: [squid-br] Squid autenticando em AD hehehe tbem estou fazendo isso correndo atrás de docs e um maneira de fazer... valeu... _____ De: Adenilson Mezini - TI <[email protected]> Para: "[email protected]" <[email protected]> Enviadas: Segunda-feira, 8 de Junho de 2009 17:22:41 Assunto: RES: [squid-br] Squid autenticando em AD Opa Gilberto, tudo bem? Pelo que entendi, tu queres que o teu IE não peça o usuário e a senha para navegar, isso? Ele teria que reconhecer o usuário logado na estação e liberar a navegação, correto? Eu utilizo aqui o squid com AD, mas sempre solicitando credenciais de logon, e achei interessante essa maneira. Estou com um Squid 3 instalado em uma maquina para testes, me fala como/onde encontro documentação para esta solução e faço os testes aqui. Atenciosamente, Erro! O nome de arquivo não foi especificado. Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX adenilson.mezini@ <mailto:[email protected]> carbinox. com.br Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox. com.br <http://www.carbinox.com.br> De: squid...@yahoogrupo s.com.br [mailto:squid- b...@yahoogrupos. com.br] Em nome de Gilberto Nunes Ferreira Enviada em: segunda-feira, 8 de junho de 2009 15:17 Para: squid...@yahoogrupo s.com.br Assunto: Res: [squid-br] Squid autenticando em AD Sim é isso mesmo estou fazendo uso da integração do IE _____ De: Nilson Chagas <nilson.chagas. si...@gmail. com> Para: squid...@yahoogrupo s.com.br Enviadas: Segunda-feira, 8 de Junho de 2009 14:57:08 Assunto: Re: [squid-br] Squid autenticando em AD Realmente não sei bem como fazer o que vc quer. Mas aqui no escritório minha rede esta dividida em faixas de IP pra cada setor. As maquinas do escritório, não passam pela autenticação, já as da fabrica pedem usuario/senha toda vez que abre o navegador, validando pelo AD. Pelo que entendi vc tá validando pelo usuário logado na maquina??? isto?? 2009/6/8 Gilberto Nunes Ferreira <gilbertonunes@ yahoo.com. br <mailto:[email protected]> > Olá Nilson... Não é necessariamente um erro. O SQUID 3 tá se integrando bem ao AD e o IE não pede a senha quando o usuario o abre pela primeira vez, e acessa uma pagina. Porem ao acessar o site www.terra.com. <http://www.terra.com.br> br por exemplo, ele pede senha nas páginas bloqueadas, pra se certificar de que o usuário tem ou não acesso. Gostaria que o SQUID bloqueasse de uma vez, checando com o usuário do AD que já está logado, ao invés de pedir usuário/senha pra fazer a verificação do site bloqueado ou não. Não sei se estou sendo claro. Já tentei usar o ntlm com helper protocol squid-ntlmssp, mas mesmo assim não funciona. Obrigado _____ De: Nilson Chagas <nilson.chagas. <mailto:[email protected]> si...@gmail. com> Para: squid...@yahoogrupo <mailto:[email protected]> s.com.br Enviadas: Segunda-feira, 8 de Junho de 2009 14:23:38 Assunto: Re: [squid-br] Squid autenticando em AD Dando uma olhada, não parece ter problema. O erro acontece com qualquer maquina da rede??? Vc consegue simular facil o erro?? 2009/6/8 Gilberto Nunes Ferreira <gilbertonunes@ yahoo.com. br <mailto:[email protected]> > Segue o squid.conf Obrigado por qualquer ajuda... http_port 3128 icp_port 3130 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 150 MB cache_swap_low 90 cache_swap_high 95 maximum_object_ size 9216 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 fqdncache_size 1024 cache_replacement_ policy lru memory_replacement_ policy lru cache_dir ufs /var/spool/squid 250 16 100 cache_access_ log /var/log/squid/ access.log cache_store_ log none # As linhas abaixo se referem a autenticação de usuários no AD auth_param basic program /usr/local/squid/ libexec/squid_ ldap_auth -R -b "dc=dominio,dc= local" -D "cn=proxy_user, ou=Internet, dc=dominio, dc=local" -w "senha" -f sAMAccountName= %s -h 192.168.200. 2 auth_param basic realm Este acesso será registrado Digite sua chave e senha auth_param basic children 5 auth_param basic credentialsttl 15 minutes acl ntlm_users proxy_auth REQUIRED emulate_httpd_ log on mime_table /usr/local/squid/ etc/mime. conf pid_filename /usr/local/squid/ var/logs/ squid.pid ftp_user d...@selbetti. <mailto:[email protected]> com.br ftp_passive on unlinkd_program /usr/local/squid/ libexec/unlinkd # ACL externa para autenticação nas bases LDAP do PDC external_acl_ type NT_global_group %LOGIN /usr/local/squid/ libexec/squid_ ldap_group -R -b "dc=dominio,dc= local" -D "cn=proxy_user, ou=Internet, dc=dominio, dc=local" -w "senha" -f "(&(objectclass= person)(sAMAccou ntName=%v) (memberof= cn=%a,ou= Internet, dc=selbetti, dc=local) )" -h 192.168.200. 2 acl manager proto cache_object acl localhost src 127.0.0.1/255. <http://127.0.0.1/255.255.255.255> 255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 81 # Dominio Suporte acl SSL_ports port 8333 acl SSL_ports port 443 # https acl Safe_ports port 80 # http acl Safe_ports port 8333 # VMWare acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 8181 # Publicacao acl Safe_ports port 10000 # Webmin acl Safe_ports port 81 # VMWare acl CONNECT method CONNECT ############ ######### ######### ######### ######### ######### ### # # Regras Selbetti # ############ ######### ######### ######### ######### ######### ### acl sslsites url_regex [0-9]+\.[0-9] +\.[0-9]+ \.[0-9]+ http_access deny SSL_ports sslsites acl SITES_BLOQUEADOS url_regex -i "/etc/squid/acls/ sites_bloqueados .txt" acl SITES_LIBERADOS url_regex -i "/etc/squid/acls/ sites_liberados. txt" acl IPS_LIBERADOS src "/etc/squid/acls/ ips_liberados. txt" acl IPS_BLOQUEADOS src "/etc/squid/acls/ ips_bloqueados. txt" acl PORN url_regex -i "/etc/squid/acls/ porn.txt" acl ORKUT url_regex -i "/etc/squid/acls/ orkut.txt" acl NOPORN url_regex -i "/etc/squid/acls/ noporn.txt" acl downloads url_regex -i .asf .mpeg .wav .mp3 .wma acl LAN src 192.168.200. 0/24 <http://192.168.200.0/24> acl FUNTIME-1 time MTWHF 11:30-13:30 acl FUNTIME-2 time MTWHF 17:45-19:00 acl FUNTIME-3 time MTWHF 06:00-07:30 acl FUNTIME url_regex -i "/etc/squid/acls/ funtime.txt" acl msn.1 dstdomain loginnet.passport. <http://loginnet.passport.com> com acl msn.2 dstdomain webmessenger. <http://webmessenger.msn.com> msn.com acl msn.3 url_regex -i gateway.dll acl msn.4 req_mime_type -i ^application/ x-msn-messenger$ acl msn.5 url_regex -i "/etc/squid/acls/ msn.txt" acl webmail_liberado url_regex -i "/etc/squid/acls/ webmail_liberado s.txt" acl bb browser C:\BancoBrasil\ officeIE\ index.html acl bb1 url_regex -i "/etc/squid/acls/ bb.txt" acl Safe_ports port 10082 # DBMessenger acl Safe_ports port 9082 acl CAIXA url_regex -i "/etc/squid/acls/ caixa.txt" acl WINDOWS_UPDATE url_regex -i "/etc/squid/acls/ windows_update. txt" acl selbetti url_regex -i "/etc/squid/acls/ selbetti. txt" acl Desenvolvimento_ Bloqueado url_regex -i "/etc/squid/acls/ sites_desenvolvi mento.txt" acl Consultores_ Bloqueado url_regex -i "/etc/squid/acls/ sites_consultore s.txt" acl GTALK url_regex -i "/etc/squid/acls/ gtalk.txt" acl Sites_Internet_ nivel1 url_regex -i "/etc/squid/acls/ internetnivel1. txt" acl Sites_Internet_ nivel2 url_regex -i "/etc/squid/acls/ internetnivel2. txt" acl Sites_Internet_ nivel3 url_regex -i "/etc/squid/acls/ internetnivel3. txt" # Fix support.microsoft. <http://support.microsoft.com> com by removing Accept-Encoding header acl support.microsoft. <http://support.microsoft.com> com dstdomain support.microsoft. <http://support.microsoft.com> com ############ ######### ######### ###### # ACL USANDO AUTENTICACAO GRUPOS AD ############ ######### ######### ###### acl Internet_Selbetti external NT_global_group Internet_Selbetti acl Internet_Liberada external NT_global_group Internet_liberada acl Internet_Bloqueada external NT_global_group Internet_bloqueada acl MSN_Liberado external NT_global_group Msn_liberado acl MSN_Bloqueado external NT_global_group Msn_bloqueado acl Desenvolvimento external NT_global_group desenvolvimento acl Consultores external NT_global_group Consultor acl Internet_Nivel1 external NT_global_group Nivel1 acl Internet_Nivel2 external NT_global_group Nivel2 acl Internet_Nivel3 external NT_global_group Nivel3 ############ ######### ######### ######### ######### ######### ## # # BLOQUEIO DO SQUID ############ ######### ######### ######### ######### ######### ## ############ ######### ## Sites liberados para todo o dominio selbetti http_access allow all selbetti ## Bloqueios Padrao do Squid http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow SSL_ports ## Windows Update http_access allow WINDOWS_UPDATE ## Sites Liberados http_access allow all SITES_LIBERADOS ## MSN http_access allow MSN_Liberado ## Gtalk http_access deny GTALK ## Banco do Brasil http_access allow bb bb1 ## Pornografia http_access deny PORN !NOPORN ## Funtime http_access allow FUNTIME-1 !PORN !ORKUT !FUNTIME http_access allow FUNTIME-2 !PORN !ORKUT !FUNTIME http_access allow FUNTIME-3 !PORN !ORKUT !FUNTIME ## Problema para acessar site microsoft ##header_access Accept-Encoding deny support.microsoft. com <http://support.microsoft.com> ## Internet Nivel 1 http_access allow Internet_Nivel1 Sites_Internet_ nivel1 http_access deny all Internet_Nivel1 ## Internet Nivel 2 http_access allow Internet_Nivel2 Sites_Internet_ nivel2 http_access deny all Internet_Nivel2 ## Internet Nivel 3 http_access allow Internet_Nivel3 !Sites_Internet_ nivel3 http_access deny all Internet_Nivel3 ## Orkut http_access deny ORKUT ## Caixa Economica http_access allow CAIXA http_access allow Internet_Liberada http_access allow IPS_LIBERADOS http_access deny MSN_Liberado SITES_BLOQUEADOS #http_access allow Desenvolvimento !Desenvolvimento_ Bloqueado #http_access deny Desenvolvimento SITES_BLOQUEADOS #http_access allow Consultores !Consultores_ Bloqueado #http_access deny Consultores SITES_BLOQUEADOS http_access deny SITES_BLOQUEADOS http_access allow webmail_liberado http_access deny Internet_Bloqueada http_access deny MSN_Bloqueado http_access deny downloads http_access deny msn.1 !MSN_Liberado http_access deny msn.2 !MSN_Liberado http_access deny msn.3 !MSN_Liberado http_access deny msn.4 !MSN_Liberado http_access deny msn.5 !MSN_Liberado http_access deny IPS_BLOQUEADOS http_access allow ntlm_users http_access allow Internet_Selbetti http_access allow LAN http_access allow localhost http_access deny all icp_access allow all cache_effective_ user proxy cache_effective_ group proxy visible_hostname proxy.selbetti. <http://proxy.selbetti.com.br> com.br unique_hostname proxy.selbetti. <http://proxy.selbetti.com.br> com.br append_domain .selbetti.com. <http://selbetti.com.br> br acl local-servers dstdomain selbetti.com. <http://selbetti.com.br> br always_direct allow local-servers error_directory /usr/local/squid/ share/errors/ Portuguese _____ Veja quais são os assuntos do momento no Yahoo! + Buscados: Top 10 <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ > - Celebridades <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ celebridades/> - Música <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ m%C3%BAsica/> - Esportes <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ esportes/> -- []s Nilson Chagas - Ubuntu User 25794 --- Visite: http://www.amados. <http://www.amados.com.br/podcast> com.br/podcast -> Peça gratuitamente um curso Bíblico http://tempodesalva <http://tempodesalvacao.blogspot.com/> cao.blogspot. com/ http://bbnradio. org/ <http://bbnradio.org/> -> Ouça a rádio e faça gratuitamente um Curso Biblico _____ Veja quais são os assuntos do momento no Yahoo! + Buscados: Top 10 <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ > - Celebridades <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ celebridades/> - Música <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ m%C3%BAsica/> - Esportes <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ esportes/> -- []s Nilson Chagas - Ubuntu User 25794 --- Visite: http://www.amados. <http://www.amados.com.br/podcast> com.br/podcast -> Peça gratuitamente um curso Bíblico http://tempodesalva <http://tempodesalvacao.blogspot.com/> cao.blogspot. com/ http://bbnradio. org/ <http://bbnradio.org/> -> Ouça a rádio e faça gratuitamente um Curso Biblico _____ Veja quais são os assuntos do momento no Yahoo! + Buscados: Top 10 <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ > - Celebridades <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ celebridades/> - Música <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ m%C3%BAsica/> - Esportes <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ esportes/> _____ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário. _____ Veja quais são os assuntos do momento no Yahoo! + Buscados: Top <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ > 10 - Celebridades <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ celebridades/> - Música <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ m%C3%BAsica/> - Esportes <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.maisbuscados.yahoo.com/ esportes/>
