Adenilson, É exatamente isso que acontece aqui.
Fiz o que vc disse, porem não funcionou, ele fica pedindo autenticação direito. Usando a mesma linha que vc falou, alterei apenas para o usário administrator para fazer a pesquisa, ae a autenticação é aceita, porém ocorre o problema que vc tb teve ae no teu lab. Cheguei a colocar o usuario squid no grupo Ent. Admins, Schema Admins e Administrators e mesmo assim o problema de autenticação continua. Realmente, apenas aceita a autenticação qdo pedi para fazer a pesquisa com o usuário administrator. -- [.]´s ..:: S.e.r.i.a.L ::.. From: [email protected] [mailto:[email protected]] On Behalf Of Adenilson Mezini - TI Sent: terça-feira, 28 de julho de 2009 18:46 To: [email protected] Subject: RES: [squid-br] Squid (LDAP) x Bloqueios Serial, to achando que teu erro é na autenticação do LDAP. Fiz um teste aqui, alterando a senha do meu usuário de acesso ao AD e obtive os mesmos erros no log. TCP_DENIED/407 A hora que pedia credenciais. TCP_DENIED/403 Quando eu entrava com as credenciais Logo após entrar com o usuário e senha obtinha a pagina de Acesso Negado. É isso que esta acontecendo contigo???? Cria uma OU no teu AD chamada Squid, na raiz do teu domínio, crie um usuário squid dentro e coloque a linha de autenticação no squid, assim: auth_param basic program /usr/lib/squid/ldap_auth R b dc=dominio,dc=local D cn=squid,ou=Squid,dc=domínio,dc=local w SenhaUserSquid -f sAMAccountName=%s h <ip do AD> external_acl_type ACL_LDAP %LOGIN /usr/lib/squid/squid_ldap_group R b dc=dominio,dc=local D cn=squid,ou=Squid,dc=domínio,dc=local w SenhaUserSquid -f (&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=domíni o,dc=local)) h <ip do AD> acl PermiteAcesso external ACL_LDAP Grupo_AD_Acesso http_access allow PermiteAcesso http_access deny all Abraços, Atenciosamente, cid:[email protected] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected] Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br De: [email protected] [mailto:[email protected]] Em nome de [email protected] Enviada em: segunda-feira, 27 de julho de 2009 22:39 Para: [email protected] Assunto: Re: [squid-br] Squid (LDAP) x Bloqueios Olá, Sugestão: associe um deny_info com cada ACL que checar em http_access. Use um arquivo diferente, no padrão ERR_ACCESS_DENIED_algumacoisaaqui, para cada uma das ACLs. Dentro de cada arquivo desses (cada um associado a um deny_info), você coloca um código diferente. Com isso, você vai conseguir encontrar a ACL que bloqueou o acesso (sei que há como fazer isso aumentando o debug do squid.conf, mas prefiro fazer assim, pois é como uso no cotidiano). Identificada a ACL que 'disparou' o bloqueio, saberá mais sobre o problema. Obs.: estou considerando como 'certeza' que suas consultas ao LDAP estão todas funcionando adequadamente. Lembrete: salvo engano, quando há mais de uma ACL sendo verificada na mesma linha ( AND ), a que 'dispara o deny_info' é a última verificada (a última da linha). Obrigado. Cássio 2009/7/27 Serial <[email protected] <mailto:skroot%40gmail.com> >: > > > Entao amigo, > > > > Alterei o arquivo aonde estão os sites para ficar no padrão dstdomain, como > vc disse abaixo. > > Notei que o ero 407 aparece qdo chamo o site,tipo, ele primeiro registra no > log a tentativa de acesso ao site, depois me requisita a autenticação, > depois de autenticado ele da o erro 403. > > > > Liberei o http_acesso para os grupos acessarem seus sites, mesmo assim eles > não acessam L > > > > Cara nunca apanhei tanto do squid, como to apanhando agora... > _____ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário.
<<image001.gif>>
