[CentOS-pt-br] Autenticação no Squid (NTLM)

thiago thsalex em gmail.com
Segunda Junho 4 22:29:47 EDT 2012


Verifique se o seu proxy ainda está cadastrado no AD, se estiver
retire-o com

net ads leave -U user_dominido

recoloque o proxy no dominio com:

net ads join -U user_domino

logo após isso, reinicie o samba e o winbind com os comandos abaixo:

service smb restart
service winbind restart

Teste se o proxy consegue enxergar os usuário com o comando

wbinfo -u

se aparecer uma lista com os usuário, a comunicacão entre o AD e o proxy
está OK. Senão, procure o administrador do AD.

On 06/04/2012 05:58 PM, joao em joaoferreira.eti.br wrote:
> Olá pessoal venho por meio deste solicitar à ajuda de vocês.
>
> Estou passando por um problemão aqui na empresa tenho uma máquina que 
> está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema 
> operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 
> 40GB hard disk.
>
> O Squid está interagindo com o nosso Active Directory que está rodando 
> em uma outra máquina com Windows Server 2008 R2, a interação está se 
> dando pelo samba, kerbero e winbind.
>
> Vamos ao problema: O squid estava conseguindo autenticar normalmente de 
> um tempo para cá os usuários antigos não conseguem mais autenticar 
> realizei alguns testes e identifiquei que os usuário me parece está 
> bloqueiados mais no active directory eles estão normais, dei uma olhada 
> nos log's e não consegue encontrar nada.
>
> Estou colocando o meu arquivo de configuração do squid.
>
> http_port 3128
> visible_hostname Proxy SUCOM
>
> ####################################
> # Autenticacao no Active Directory #
> ####################################
>
> auth_param ntlm program /usr/bin/ntlm_auth 
> --helper-protocol=squid-2.5-ntlmssp
> auth_param ntlm children 160
> auth_param ntlm keep_alive on
>
> external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
>
> ##########################
> # Configuracao do Cache. #
> ##########################
>
> # Cache em Memoria
> cache_mem 1365 MB
> maximum_object_size_in_memory 64 KB
>
> # Cache em Disco
> # Tamanho maximo por objetos
> maximum_object_size 10 MB
> # Tamanho minimo por objetos
> minimum_object_size 0 KB
>
> # Descates dos caches antigos em (%)
> # Inicio do descates
> cache_swap_high 95
> # Para o descarte
> cache_swap_low 90
>
> # Diretorio dos caches em disco
> # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] 
> [subpastas]
> cache_dir ufs /var/spool/squid 10240 16 256
>
> # Log de acessos
> cache_access_log /var/log/squid/access.log
>
> # Padrao de atualizacao do cache
> refresh_pattern ^ftp: 15 20% 1140
> refresh_pattern ^gopher: 15 0% 2280
> refresh_pattern . 15 20% 1140
>
> # Lista de controle de acesso do sistema
> acl all src 0.0.0.0/0.0.0.0
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255
> acl redelocal src 172.22.0.0/23
> acl SSL_ports port 443 563
> acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
> acl purge method PURGE
> acl CONNECT method CONNECT
>
> http_access allow manager localhost
> http_access deny manager
> http_access allow purge localhost
> http_access deny purge
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access allow localhost
>
> # Lista de controle de acesso personalizada
>
> acl auth proxy_auth REQUIRED
> acl listabranca_dominio dstdomain -i 
> "/etc/squid/acls/listabranca/dominio"
> acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio"
> acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url"
> acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio"
> acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio"
> acl esporte_url url_regex -i "/etc/squid/acls/esporte/url"
> acl redesocial_dominio dstdomain -i 
> "/etc/squid/acls/redesocial/dominio"
> acl relacionamento_dominio dstdomain -i 
> "/etc/squid/acls/relacionamento/dominio"
> acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio"
> acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio"
> acl webmail_url url_regex -i "/etc/squid/acls/webmail/url"
> acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio"
> acl webtv_url url_regex -i "/etc/squid/acls/webtv/url"
> acl diurno time MTWHF 07:00-18:00
> acl gp_colabsst external grupo colabsst
> acl gp_ascom external grupo ascom
> acl teste external grupo sgsi
>
> http_access deny teste
> http_access allow listabranca_dominio
> http_access deny batepapo_dominio
> http_access deny batepapo_url
> http_access allow gp_colabsst
> http_access deny download_dominio
> http_access deny esporte_dominio
> http_access deny esporte_url
> http_access deny relacionamento_dominio
> http_access allow gp_ascom
> http_access deny redesocial_dominio
> http_access deny video_dominio
> http_access deny webmail_dominio
> http_access deny webmail_url
> http_access deny webtv_dominio
> http_access deny webtv_url
> http_access allow redelocal
> http_access deny all
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>


-- 
Thiago Silveira Alexandre
LPI I Certified
Security Enginner
Intechne Tecnologia da Informação
(98) 3311 6200
(98) 3311 6219
(98) 8132 1020



Mais detalhes sobre a lista de discussão CentOS-pt-br