[CentOS-pt-br] Autenticação no Squid (NTLM)

[thiago]

Após desbloquear essa diretiva, funcionou?

On 06/05/2012 09:06 PM, João Ferreira wrote:
> Olá Thiago,
>
> Muito obrigado pelo seu retorno, o meu servidor se encontra ingressado
> no Active Directory o wbinfo -u ou -g me retorna os seus respectivos
> resultado, o que fez no momento foi desabilitar uma diretiva no active
> directory que bloquei a conta do usuário ao digitar 3 vezes a senha
> errada. O squid está em ambiente... Será que isto tem alguma coisa há ver?
>
>
> Atenciosamente,
>
> João Ferreira
> Student Computer Science
> +55 71 9297-1260
> joao em joaoferreira.eti.br
> www.joaoferreira.eti.br
>
>
> On 04-06-2012 23:29, thiago wrote:
>> Verifique se o seu proxy ainda está cadastrado no AD, se estiver
>> retire-o com
>>
>> net ads leave -U user_dominido
>>
>> recoloque o proxy no dominio com:
>>
>> net ads join -U user_domino
>>
>> logo após isso, reinicie o samba e o winbind com os comandos abaixo:
>>
>> service smb restart
>> service winbind restart
>>
>> Teste se o proxy consegue enxergar os usuário com o comando
>>
>> wbinfo -u
>>
>> se aparecer uma lista com os usuário, a comunicacão entre o AD e o proxy
>> está OK. Senão, procure o administrador do AD.
>>
>> On 06/04/2012 05:58 PM, joao em joaoferreira.eti.br wrote:
>>> Olá pessoal venho por meio deste solicitar à ajuda de vocês.
>>>
>>> Estou passando por um problemão aqui na empresa tenho uma máquina que 
>>> está sendo meu servidor de proxy estou rodando squid 2.6 e o sistema 
>>> operacional é o Linux/CentOS 5.7 a tal máquina possui 4GB de memória e 
>>> 40GB hard disk.
>>>
>>> O Squid está interagindo com o nosso Active Directory que está rodando 
>>> em uma outra máquina com Windows Server 2008 R2, a interação está se 
>>> dando pelo samba, kerbero e winbind.
>>>
>>> Vamos ao problema: O squid estava conseguindo autenticar normalmente de 
>>> um tempo para cá os usuários antigos não conseguem mais autenticar 
>>> realizei alguns testes e identifiquei que os usuário me parece está 
>>> bloqueiados mais no active directory eles estão normais, dei uma olhada 
>>> nos log's e não consegue encontrar nada.
>>>
>>> Estou colocando o meu arquivo de configuração do squid.
>>>
>>> http_port 3128
>>> visible_hostname Proxy SUCOM
>>>
>>> ####################################
>>> # Autenticacao no Active Directory #
>>> ####################################
>>>
>>> auth_param ntlm program /usr/bin/ntlm_auth 
>>> --helper-protocol=squid-2.5-ntlmssp
>>> auth_param ntlm children 160
>>> auth_param ntlm keep_alive on
>>>
>>> external_acl_type grupo %LOGIN /usr/lib64/squid/wbinfo_group.pl
>>>
>>> ##########################
>>> # Configuracao do Cache. #
>>> ##########################
>>>
>>> # Cache em Memoria
>>> cache_mem 1365 MB
>>> maximum_object_size_in_memory 64 KB
>>>
>>> # Cache em Disco
>>> # Tamanho maximo por objetos
>>> maximum_object_size 10 MB
>>> # Tamanho minimo por objetos
>>> minimum_object_size 0 KB
>>>
>>> # Descates dos caches antigos em (%)
>>> # Inicio do descates
>>> cache_swap_high 95
>>> # Para o descarte
>>> cache_swap_low 90
>>>
>>> # Diretorio dos caches em disco
>>> # Ex. cache_dir [filesystem] [diretorio] [max_disco] [pastas] 
>>> [subpastas]
>>> cache_dir ufs /var/spool/squid 10240 16 256
>>>
>>> # Log de acessos
>>> cache_access_log /var/log/squid/access.log
>>>
>>> # Padrao de atualizacao do cache
>>> refresh_pattern ^ftp: 15 20% 1140
>>> refresh_pattern ^gopher: 15 0% 2280
>>> refresh_pattern . 15 20% 1140
>>>
>>> # Lista de controle de acesso do sistema
>>> acl all src 0.0.0.0/0.0.0.0
>>> acl manager proto cache_object
>>> acl localhost src 127.0.0.1/255.255.255.255
>>> acl redelocal src 172.22.0.0/23
>>> acl SSL_ports port 443 563
>>> acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
>>> acl purge method PURGE
>>> acl CONNECT method CONNECT
>>>
>>> http_access allow manager localhost
>>> http_access deny manager
>>> http_access allow purge localhost
>>> http_access deny purge
>>> http_access deny !Safe_ports
>>> http_access deny CONNECT !SSL_ports
>>> http_access allow localhost
>>>
>>> # Lista de controle de acesso personalizada
>>>
>>> acl auth proxy_auth REQUIRED
>>> acl listabranca_dominio dstdomain -i 
>>> "/etc/squid/acls/listabranca/dominio"
>>> acl batepapo_dominio dstdomain -i "/etc/squid/acls/batepapo/dominio"
>>> acl batepapo_url url_regex -i "/etc/squid/acls/batepapo/url"
>>> acl download_dominio dstdomain -i "/etc/squid/acls/download/dominio"
>>> acl esporte_dominio dstdomain -i "/etc/squid/acls/esporte/dominio"
>>> acl esporte_url url_regex -i "/etc/squid/acls/esporte/url"
>>> acl redesocial_dominio dstdomain -i 
>>> "/etc/squid/acls/redesocial/dominio"
>>> acl relacionamento_dominio dstdomain -i 
>>> "/etc/squid/acls/relacionamento/dominio"
>>> acl video_dominio dstdomain -i "/etc/squid/acls/video/dominio"
>>> acl webmail_dominio dstdomain -i "/etc/squid/acls/webmail/dominio"
>>> acl webmail_url url_regex -i "/etc/squid/acls/webmail/url"
>>> acl webtv_dominio dstdomain -i "/etc/squid/acls/webtv/dominio"
>>> acl webtv_url url_regex -i "/etc/squid/acls/webtv/url"
>>> acl diurno time MTWHF 07:00-18:00
>>> acl gp_colabsst external grupo colabsst
>>> acl gp_ascom external grupo ascom
>>> acl teste external grupo sgsi
>>>
>>> http_access deny teste
>>> http_access allow listabranca_dominio
>>> http_access deny batepapo_dominio
>>> http_access deny batepapo_url
>>> http_access allow gp_colabsst
>>> http_access deny download_dominio
>>> http_access deny esporte_dominio
>>> http_access deny esporte_url
>>> http_access deny relacionamento_dominio
>>> http_access allow gp_ascom
>>> http_access deny redesocial_dominio
>>> http_access deny video_dominio
>>> http_access deny webmail_dominio
>>> http_access deny webmail_url
>>> http_access deny webtv_dominio
>>> http_access deny webtv_url
>>> http_access allow redelocal
>>> http_access deny all
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>


-- 
Thiago Silveira Alexandre
LPI I Certified
Security Enginner
Intechne Tecnologia da Informação
(98) 3311 6200
(98) 3311 6219
(98) 8132 1020

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20120606/4c83012c/attachment.html