Bom dia, Serial. Então, no teu log tu pos algo como HTTP://meuip.com.br/caixa-sc
Este site é local? Analisando o teu squid.conf, aparentemente os parâmetros de autenticação estão corretos. Façamos um teste, então: Se você retirar a regra que permite os sites específicos para o grupo diretoria (deixar somente HTTP_Access allow i_diretoria) ele navega? Pois ai matamos o erro, se é na autenticação do AD ou na lista de sites permitidos. Sobre winbind com NTLM, aqui no grupo já disseram que é possível utilizar ntlm com o ldap_group, mas eu não consegui. E sim, com o winbind e ntlm o browser passa os parâmetros de ticket para o squid, e não é solicitado a senha, a não ser quando esta opção não é possível no momento (ex: estação que não pertence ao domínio). Abraços. Atenciosamente, [cid:[email protected]] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected]<mailto:[email protected]> Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br<http://www.carbinox.com.br> De: [email protected] [mailto:[email protected]] Em nome de Serial Enviada em: domingo, 19 de julho de 2009 16:04 Para: [email protected] Assunto: RE: [squid-br] Squid (LDAP) x Bloqueios Então amigo, qto a sua dica de usar um usuário comum, me passou pela cabeça, ia ser um segundo teste, após todo o ambiente estivesse ok, pois eu realmente não sabia se um usuário comum, iria conseguir ler toda a arvore de usuários. Mas vou mudar sim, vlw pela dica. Segue o log: 1247953524.063 44 192.168.1.99 TCP_DENIED/403 1382 GET http://meuip.com.br/ caixa-sc NONE/- text/html É isso que tenho no log qdo tento acesso e ele é restrito, mesmo que o site participa da lista de sites liberado pela acl. Ele pede login sim e aceita a autenticação, tanto é que se liber o acesso a acl ALL, ele navega normalmente, porém não respeita a lista de site que coloco. E realmente, ele cai em acesso negado, poré não consigo entender pq acontece isso, sendo que o site acima está na lista de sites liberado. Uma pergunta, usando a config. de ntlm com winbind, a autenticação é feito pelo ticket de logon do usuário no domínio? Ele não precisa se autenticar para navegar..? Vlw! -- [.]´s ..:: S.e.r.i.a.L ::.. From: [email protected] [mailto:[email protected]] On Behalf Of Adenilson Mezini - TI Sent: domingo, 19 de julho de 2009 13:10 To: [email protected] Subject: RES: [squid-br] Squid (LDAP) x Bloqueios Serial, O que aparece no LOG, para sabermos por que não libera o acesso. Quando esta com a configuração abaixo, ele chega a pedir o login? Eu utilizava a configuração no AD como a tua, hoje utilizo ntlm com winbind, achei melhor. Ah, e só uma dica, eu não utilizava o usuário Admin do domínio para fazer as conexões, criei um usuário "comum" e funciona, não acho legal deixar a senha do Admin aberta. Agraços, Atenciosamente, [cid:[email protected]] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected]<mailto:[email protected]> Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br<http://www.carbinox.com.br> De: [email protected] [mailto:[email protected]] Em nome de Serial Enviada em: sábado, 18 de julho de 2009 21:03 Para: Squid Br Assunto: [squid-br] Squid (LDAP) x Bloqueios Boa noite amigos, Tenho um squid com autenticação LDAP em um AD (Windows2003). Qto a autenticação, está tudo ok, porém qdo crio listas de bloqueio para cada grupo, não funciona. Veja: Grupo de usuarios: i_diretoria i_vendas Lista de bloqueio: L_diretoria L_vendas Com isso, a diretoria apenas acessa o que contém em sua lista e o mesmo serve para o grupo de vendas. Uso a seguine configuração no squid.conf: # Squid.conf http_port 192.168.0.253:3128 hierarchy_stoplist cgi-bin ? cache_dir ufs /var/spool/squid 100 16 4256 access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log pid_filename /var/run/squid.pid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT visible_hostname proxy hosts_file /etc/hosts coredump_dir /var/spool/squid error_directory /usr/share/squid/errors/Portuguese dns_nameservers 4.2.2.2 # As linhas abaixo se referem a autenticaç de usuáos no auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w "senha" -f sAMAccountName=%s -h 192.168.0.10 auth_param basic realm Digite sua senha de acesso a rede auth_param basic children 5 auth_param basic credentialsttl 60 minutes emulate_httpd_log on mime_table /usr/local/squid/etc/mime.conf ftp_user [email protected] ftp_passive on unlinkd_program /usr/lib/squid/unlinkd # ACL externa para autenticacao nas bases LDAP do AD external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=dominio,DC=local))" -h 192.168.0.10 acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl lan src 192.168.0.0/16 # RFC1918 possible internal network #acl ip_diretoria src "/etc/squid/regras/ip_diretoria" acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT # Lista e grupo acl L_vendas url_regex -i "/etc/squid/regras/l_vendas" acl L_diretoria url_regex -i "/etc/squid/regras/l_diretoria" # acl i_diretoria external ldap_group i_diretoria acl i_vendas external ldap_group i_vendas # Liberando ACL's http_access allow i_diretoria L_diretoria http_access allow i_vendas L_vendas http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all deny_info http://192.168.0.253/Proxy_erro.htm i_vendas i_diretoria icp_access allow lan http_reply_access allow lan htcp_access allow lan htcp_clr_access allow lan ident_lookup_access allow lan reply_body_max_size 0 allow lan Dessa maneira, ninguém acessa nada, é como se caisse direto na acl de deny all. Porém se aplico a mesma lógica para uma autenticação via passwd, ou então um controle de acesso por lista de IP's, funciona o bloqueio, apenas qdo está sobre LDAP que não funciona. Outro cenário que funciona é, se os usuarios de ambos grupos lerem apenas uma lista, exemplo: http_access allow i_diretoria http_access allow i_vendas http_access allow L_diretoria Segui o documento: http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&Itemid=27 e pelo que entendi é pra funcionar. Alguém saberia poderia me ajudar? Obrigado -- [.]´s ..:: S.e.r.i.a.L ::.. ________________________________ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário. ________________________________ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário.
<<inline: image001.gif>>
