Olá pessoal venho por meio deste solicitar à ajuda de vocês.
Estou passando por um problemão aqui na empresa tenho uma máquina que está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 40GB hard disk.
O Squid está interagindo com o nosso Active Directory que está rodando em uma outra máquina com Windows Server 2008 R2, a interação está se dando pelo samba, kerbero e winbind.
Vamos ao problema: O squid estava conseguindo autenticar normalmente de um tempo para cá os usuários antigos não conseguem mais autenticar realizei alguns testes e identifiquei que os usuário me parece está bloqueiados mais no active directory eles estão normais, dei uma olhada nos log's e não consegue encontrar nada.
Estou colocando o meu arquivo de configuração do squid.
http_port 3128 visible_hostname Proxy SUCOM
#################################### # Autenticacao no Active Directory # ####################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 160 auth_param ntlm keep_alive on
external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
########################## # Configuracao do Cache. # ##########################
# Cache em Memoria cache_mem 1365 MB maximum_object_size_in_memory 64 KB
# Cache em Disco # Tamanho maximo por objetos maximum_object_size 10 MB # Tamanho minimo por objetos minimum_object_size 0 KB
# Descates dos caches antigos em (%) # Inicio do descates cache_swap_high 95 # Para o descarte cache_swap_low 90
# Diretorio dos caches em disco # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] [subpastas] cache_dir ufs /var/spool/squid 10240 16 256
# Log de acessos cache_access_log /var/log/squid/access.log
# Padrao de atualizacao do cache refresh_pattern ^ftp: 15 20% 1140 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 1140
# Lista de controle de acesso do sistema acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redelocal src 172.22.0.0/23 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost
# Lista de controle de acesso personalizada
acl auth proxy_auth REQUIRED acl listabranca_dominio dstdomain -i "/etc/squid/acls/listabranca/dominio" acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio" acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url" acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio" acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio" acl esporte_url url_regex -i "/etc/squid/acls/esporte/url" acl redesocial_dominio dstdomain -i "/etc/squid/acls/redesocial/dominio" acl relacionamento_dominio dstdomain -i "/etc/squid/acls/relacionamento/dominio" acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio" acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio" acl webmail_url url_regex -i "/etc/squid/acls/webmail/url" acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio" acl webtv_url url_regex -i "/etc/squid/acls/webtv/url" acl diurno time MTWHF 07:00-18:00 acl gp_colabsst external grupo colabsst acl gp_ascom external grupo ascom acl teste external grupo sgsi
http_access deny teste http_access allow listabranca_dominio http_access deny batepapo_dominio http_access deny batepapo_url http_access allow gp_colabsst http_access deny download_dominio http_access deny esporte_dominio http_access deny esporte_url http_access deny relacionamento_dominio http_access allow gp_ascom http_access deny redesocial_dominio http_access deny video_dominio http_access deny webmail_dominio http_access deny webmail_url http_access deny webtv_dominio http_access deny webtv_url http_access allow redelocal http_access deny all
Verifique se o seu proxy ainda está cadastrado no AD, se estiver retire-o com
net ads leave -U user_dominido
recoloque o proxy no dominio com:
net ads join -U user_domino
logo após isso, reinicie o samba e o winbind com os comandos abaixo:
service smb restart service winbind restart
Teste se o proxy consegue enxergar os usuário com o comando
wbinfo -u
se aparecer uma lista com os usuário, a comunicacão entre o AD e o proxy está OK. Senão, procure o administrador do AD.
On 06/04/2012 05:58 PM, joao@joaoferreira.eti.br wrote:
Olá pessoal venho por meio deste solicitar à ajuda de vocês.
Estou passando por um problemão aqui na empresa tenho uma máquina que está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 40GB hard disk.
O Squid está interagindo com o nosso Active Directory que está rodando em uma outra máquina com Windows Server 2008 R2, a interação está se dando pelo samba, kerbero e winbind.
Vamos ao problema: O squid estava conseguindo autenticar normalmente de um tempo para cá os usuários antigos não conseguem mais autenticar realizei alguns testes e identifiquei que os usuário me parece está bloqueiados mais no active directory eles estão normais, dei uma olhada nos log's e não consegue encontrar nada.
Estou colocando o meu arquivo de configuração do squid.
http_port 3128 visible_hostname Proxy SUCOM
#################################### # Autenticacao no Active Directory # ####################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 160 auth_param ntlm keep_alive on
external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
########################## # Configuracao do Cache. # ##########################
# Cache em Memoria cache_mem 1365 MB maximum_object_size_in_memory 64 KB
# Cache em Disco # Tamanho maximo por objetos maximum_object_size 10 MB # Tamanho minimo por objetos minimum_object_size 0 KB
# Descates dos caches antigos em (%) # Inicio do descates cache_swap_high 95 # Para o descarte cache_swap_low 90
# Diretorio dos caches em disco # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] [subpastas] cache_dir ufs /var/spool/squid 10240 16 256
# Log de acessos cache_access_log /var/log/squid/access.log
# Padrao de atualizacao do cache refresh_pattern ^ftp: 15 20% 1140 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 1140
# Lista de controle de acesso do sistema acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redelocal src 172.22.0.0/23 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost
# Lista de controle de acesso personalizada
acl auth proxy_auth REQUIRED acl listabranca_dominio dstdomain -i "/etc/squid/acls/listabranca/dominio" acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio" acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url" acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio" acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio" acl esporte_url url_regex -i "/etc/squid/acls/esporte/url" acl redesocial_dominio dstdomain -i "/etc/squid/acls/redesocial/dominio" acl relacionamento_dominio dstdomain -i "/etc/squid/acls/relacionamento/dominio" acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio" acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio" acl webmail_url url_regex -i "/etc/squid/acls/webmail/url" acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio" acl webtv_url url_regex -i "/etc/squid/acls/webtv/url" acl diurno time MTWHF 07:00-18:00 acl gp_colabsst external grupo colabsst acl gp_ascom external grupo ascom acl teste external grupo sgsi
http_access deny teste http_access allow listabranca_dominio http_access deny batepapo_dominio http_access deny batepapo_url http_access allow gp_colabsst http_access deny download_dominio http_access deny esporte_dominio http_access deny esporte_url http_access deny relacionamento_dominio http_access allow gp_ascom http_access deny redesocial_dominio http_access deny video_dominio http_access deny webmail_dominio http_access deny webmail_url http_access deny webtv_dominio http_access deny webtv_url http_access allow redelocal http_access deny all _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Olá Thiago,
Muito obrigado pelo seu retorno, o meu servidor se encontra ingressado no Active Directory o wbinfo -u ou -g me retorna os seus respectivos resultado, o que fez no momento foi desabilitar uma diretiva no active directory que bloquei a conta do usuário ao digitar 3 vezes a senha errada. O squid está em ambiente... Será que isto tem alguma coisa há ver?
Atenciosamente,
João Ferreira Student Computer Science +55 71 9297-1260 joao@joaoferreira.eti.br www.joaoferreira.eti.br
On 04-06-2012 23:29, thiago wrote:
Verifique se o seu proxy ainda está cadastrado no AD, se estiver retire-o com
net ads leave -U user_dominido
recoloque o proxy no dominio com:
net ads join -U user_domino
logo após isso, reinicie o samba e o winbind com os comandos abaixo:
service smb restart service winbind restart
Teste se o proxy consegue enxergar os usuário com o comando
wbinfo -u
se aparecer uma lista com os usuário, a comunicacão entre o AD e o proxy está OK. Senão, procure o administrador do AD.
On 06/04/2012 05:58 PM, joao@joaoferreira.eti.br wrote:
Olá pessoal venho por meio deste solicitar à ajuda de vocês.
Estou passando por um problemão aqui na empresa tenho uma máquina que está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 40GB hard disk.
O Squid está interagindo com o nosso Active Directory que está rodando em uma outra máquina com Windows Server 2008 R2, a interação está se dando pelo samba, kerbero e winbind.
Vamos ao problema: O squid estava conseguindo autenticar normalmente de um tempo para cá os usuários antigos não conseguem mais autenticar realizei alguns testes e identifiquei que os usuário me parece está bloqueiados mais no active directory eles estão normais, dei uma olhada nos log's e não consegue encontrar nada.
Estou colocando o meu arquivo de configuração do squid.
http_port 3128 visible_hostname Proxy SUCOM
#################################### # Autenticacao no Active Directory # ####################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 160 auth_param ntlm keep_alive on
external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
########################## # Configuracao do Cache. # ##########################
# Cache em Memoria cache_mem 1365 MB maximum_object_size_in_memory 64 KB
# Cache em Disco # Tamanho maximo por objetos maximum_object_size 10 MB # Tamanho minimo por objetos minimum_object_size 0 KB
# Descates dos caches antigos em (%) # Inicio do descates cache_swap_high 95 # Para o descarte cache_swap_low 90
# Diretorio dos caches em disco # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] [subpastas] cache_dir ufs /var/spool/squid 10240 16 256
# Log de acessos cache_access_log /var/log/squid/access.log
# Padrao de atualizacao do cache refresh_pattern ^ftp: 15 20% 1140 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 1140
# Lista de controle de acesso do sistema acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redelocal src 172.22.0.0/23 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost
# Lista de controle de acesso personalizada
acl auth proxy_auth REQUIRED acl listabranca_dominio dstdomain -i "/etc/squid/acls/listabranca/dominio" acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio" acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url" acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio" acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio" acl esporte_url url_regex -i "/etc/squid/acls/esporte/url" acl redesocial_dominio dstdomain -i "/etc/squid/acls/redesocial/dominio" acl relacionamento_dominio dstdomain -i "/etc/squid/acls/relacionamento/dominio" acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio" acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio" acl webmail_url url_regex -i "/etc/squid/acls/webmail/url" acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio" acl webtv_url url_regex -i "/etc/squid/acls/webtv/url" acl diurno time MTWHF 07:00-18:00 acl gp_colabsst external grupo colabsst acl gp_ascom external grupo ascom acl teste external grupo sgsi
http_access deny teste http_access allow listabranca_dominio http_access deny batepapo_dominio http_access deny batepapo_url http_access allow gp_colabsst http_access deny download_dominio http_access deny esporte_dominio http_access deny esporte_url http_access deny relacionamento_dominio http_access allow gp_ascom http_access deny redesocial_dominio http_access deny video_dominio http_access deny webmail_dominio http_access deny webmail_url http_access deny webtv_dominio http_access deny webtv_url http_access allow redelocal http_access deny all _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Após desbloquear essa diretiva, funcionou?
On 06/05/2012 09:06 PM, João Ferreira wrote:
Olá Thiago,
Muito obrigado pelo seu retorno, o meu servidor se encontra ingressado no Active Directory o wbinfo -u ou -g me retorna os seus respectivos resultado, o que fez no momento foi desabilitar uma diretiva no active directory que bloquei a conta do usuário ao digitar 3 vezes a senha errada. O squid está em ambiente... Será que isto tem alguma coisa há ver?
Atenciosamente,
João Ferreira Student Computer Science +55 71 9297-1260 joao@joaoferreira.eti.br www.joaoferreira.eti.br
On 04-06-2012 23:29, thiago wrote:
Verifique se o seu proxy ainda está cadastrado no AD, se estiver retire-o com
net ads leave -U user_dominido
recoloque o proxy no dominio com:
net ads join -U user_domino
logo após isso, reinicie o samba e o winbind com os comandos abaixo:
service smb restart service winbind restart
Teste se o proxy consegue enxergar os usuário com o comando
wbinfo -u
se aparecer uma lista com os usuário, a comunicacão entre o AD e o proxy está OK. Senão, procure o administrador do AD.
On 06/04/2012 05:58 PM, joao@joaoferreira.eti.br wrote:
Olá pessoal venho por meio deste solicitar à ajuda de vocês.
Estou passando por um problemão aqui na empresa tenho uma máquina que está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 40GB hard disk.
O Squid está interagindo com o nosso Active Directory que está rodando em uma outra máquina com Windows Server 2008 R2, a interação está se dando pelo samba, kerbero e winbind.
Vamos ao problema: O squid estava conseguindo autenticar normalmente de um tempo para cá os usuários antigos não conseguem mais autenticar realizei alguns testes e identifiquei que os usuário me parece está bloqueiados mais no active directory eles estão normais, dei uma olhada nos log's e não consegue encontrar nada.
Estou colocando o meu arquivo de configuração do squid.
http_port 3128 visible_hostname Proxy SUCOM
#################################### # Autenticacao no Active Directory # ####################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 160 auth_param ntlm keep_alive on
external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
########################## # Configuracao do Cache. # ##########################
# Cache em Memoria cache_mem 1365 MB maximum_object_size_in_memory 64 KB
# Cache em Disco # Tamanho maximo por objetos maximum_object_size 10 MB # Tamanho minimo por objetos minimum_object_size 0 KB
# Descates dos caches antigos em (%) # Inicio do descates cache_swap_high 95 # Para o descarte cache_swap_low 90
# Diretorio dos caches em disco # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] [subpastas] cache_dir ufs /var/spool/squid 10240 16 256
# Log de acessos cache_access_log /var/log/squid/access.log
# Padrao de atualizacao do cache refresh_pattern ^ftp: 15 20% 1140 refresh_pattern ^gopher: 15 0% 2280 refresh_pattern . 15 20% 1140
# Lista de controle de acesso do sistema acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redelocal src 172.22.0.0/23 acl SSL_ports port 443 563 acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT
http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost
# Lista de controle de acesso personalizada
acl auth proxy_auth REQUIRED acl listabranca_dominio dstdomain -i "/etc/squid/acls/listabranca/dominio" acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio" acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url" acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio" acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio" acl esporte_url url_regex -i "/etc/squid/acls/esporte/url" acl redesocial_dominio dstdomain -i "/etc/squid/acls/redesocial/dominio" acl relacionamento_dominio dstdomain -i "/etc/squid/acls/relacionamento/dominio" acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio" acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio" acl webmail_url url_regex -i "/etc/squid/acls/webmail/url" acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio" acl webtv_url url_regex -i "/etc/squid/acls/webtv/url" acl diurno time MTWHF 07:00-18:00 acl gp_colabsst external grupo colabsst acl gp_ascom external grupo ascom acl teste external grupo sgsi
http_access deny teste http_access allow listabranca_dominio http_access deny batepapo_dominio http_access deny batepapo_url http_access allow gp_colabsst http_access deny download_dominio http_access deny esporte_dominio http_access deny esporte_url http_access deny relacionamento_dominio http_access allow gp_ascom http_access deny redesocial_dominio http_access deny video_dominio http_access deny webmail_dominio http_access deny webmail_url http_access deny webtv_dominio http_access deny webtv_url http_access allow redelocal http_access deny all _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
discuss-pt-br@lists.centos.org
-
joao@joaoferreira.eti.br -
João Ferreira
-
thiago