Serial, Estava sem uma distro aqui para testar e instalei o Squid no XP e fiz as configurações para conectar no AD e funcionou blz.
Eu ainda acho que teu problema esta na autenticação com o AD. Experimente fazer o teste com o conf abaixo, só alterando as configurações para a tua distro, os caminhos do ldap_auth, usuário/senha e ip do servidor.....etc PS: Ah, coloca as letras maiúsculas e minúsculas exatamente como segue. Abraços. # WELCOME TO SQUID 2.7.STABLE6 # ---------------------------- auth_param basic program C:/squid/libexec/squid_ldap_auth.exe -R -b "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w "PASSWORD" -f sAMAccountName=%s -h 192.168.0.254 auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off external_acl_type ACL_LDAP %LOGIN C:/squid/libexec/squid_ldap_group.exe -R -b "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w "PASSWORD" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=dominio,dc=local))" -h 192.168.0.254 acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network # acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl PermiteNet external ACL_LDAP GDL_AcessoTotal http_access allow PermiteNet http_access allow localnet http_access deny all icp_access allow localnet icp_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? cache_dir ufs d:/squid/var/cache 100 16 256 access_log c:/squid/var/logs/access.log squid mime_table c:/squid/etc/mime.conf refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache coredump_dir c:/squid/var/cache Atenciosamente, [cid:[email protected]] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected]<mailto:[email protected]> Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br<http://www.carbinox.com.br> De: [email protected] [mailto:[email protected]] Em nome de Serial Enviada em: quarta-feira, 29 de julho de 2009 22:10 Para: [email protected] Assunto: RE: [squid-br] Squid (LDAP) x Bloqueios Adenilson, É exatamente isso que acontece aqui. Fiz o que vc disse, porem não funcionou, ele fica pedindo autenticação direito. Usando a mesma linha que vc falou, alterei apenas para o usário administrator para fazer a pesquisa, ae a autenticação é aceita, porém ocorre o problema que vc tb teve ae no teu lab. Cheguei a colocar o usuario squid no grupo Ent. Admins, Schema Admins e Administrators e mesmo assim o problema de autenticação continua. Realmente, apenas aceita a autenticação qdo pedi para fazer a pesquisa com o usuário administrator. -- [.]´s ..:: S.e.r.i.a.L ::.. From: [email protected] [mailto:[email protected]] On Behalf Of Adenilson Mezini - TI Sent: terça-feira, 28 de julho de 2009 18:46 To: [email protected] Subject: RES: [squid-br] Squid (LDAP) x Bloqueios Serial, to achando que teu erro é na autenticação do LDAP. Fiz um teste aqui, alterando a senha do meu usuário de acesso ao AD e obtive os mesmos erros no log. TCP_DENIED/407 - A hora que pedia credenciais. TCP_DENIED/403 - Quando eu entrava com as credenciais Logo após entrar com o usuário e senha obtinha a pagina de Acesso Negado. É isso que esta acontecendo contigo???? Cria uma OU no teu AD chamada Squid, na raiz do teu domínio, crie um usuário squid dentro e coloque a linha de autenticação no squid, assim: auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=domínio,dc=local" -w "SenhaUserSquid" -f sAMAccountName=%s -h <ip do AD> external_acl_type ACL_LDAP %LOGIN /usr/lib/squid/squid_ldap_group -R -b ""dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=domínio,dc=local" -w "SenhaUserSquid" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=domínio,dc=local))" -h <ip do AD> acl PermiteAcesso external ACL_LDAP Grupo_AD_Acesso http_access allow PermiteAcesso http_access deny all Abraços, Atenciosamente, [cid:[email protected]] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected]<mailto:[email protected]> Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br<http://www.carbinox.com.br> De: [email protected] [mailto:[email protected]] Em nome de [email protected] Enviada em: segunda-feira, 27 de julho de 2009 22:39 Para: [email protected] Assunto: Re: [squid-br] Squid (LDAP) x Bloqueios Olá, Sugestão: associe um deny_info com cada ACL que checar em http_access. Use um arquivo diferente, no padrão ERR_ACCESS_DENIED_algumacoisaaqui, para cada uma das ACLs. Dentro de cada arquivo desses (cada um associado a um deny_info), você coloca um código diferente. Com isso, você vai conseguir encontrar a ACL que bloqueou o acesso (sei que há como fazer isso aumentando o debug do squid.conf, mas prefiro fazer assim, pois é como uso no cotidiano). Identificada a ACL que 'disparou' o bloqueio, saberá mais sobre o problema. Obs.: estou considerando como 'certeza' que suas consultas ao LDAP estão todas funcionando adequadamente. Lembrete: salvo engano, quando há mais de uma ACL sendo verificada na mesma linha ( AND ), a que 'dispara o deny_info' é a última verificada (a última da linha). Obrigado. Cássio 2009/7/27 Serial <[email protected]<mailto:skroot%40gmail.com>>: > > > Entao amigo, > > > > Alterei o arquivo aonde estão os sites para ficar no padrão dstdomain, como > vc disse abaixo. > > Notei que o ero 407 aparece qdo chamo o site,tipo, ele primeiro registra no > log a tentativa de acesso ao site, depois me requisita a autenticação, > depois de autenticado ele da o erro 403. > > > > Liberei o http_acesso para os grupos acessarem seus sites, mesmo assim eles > não acessam L > > > > Cara nunca apanhei tanto do squid, como to apanhando agora... > ________________________________ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário. ________________________________ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário.
<<inline: image001.gif>>
