[FUG-BR] RES: RES: Squid + squid_ldap_auth - RECEITA DE BOLO - LONGO

Sérgio José Ferreira sergio em wgo.com.br
Qui Abr 13 18:03:58 BRT 2006 

Eu instalei o samba / squid assim, para acesso ao active directory :

1o. - Instale o SAMBA 3.0.x  - incluir --with-winbind 
2o. - configure o smb.conf 
[global]
        workgroup = MMCBWS
        os level = 2
        unix extensions = yes
        map to guest = no
        debug level = 1
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
        wins server = 172.30.32.15
        veto files = /*.eml/*.nws/riched20.dll/*.{*}/
        netbios name = proxycat
        realm = mmcb.intranet
        password server = 172.30.32.15, 172.30.32.95
        encrypt passwords = yes
        server string = proxycat - Samba Server

        allow trusted domains = no
        idmap backend = idmap_rid:MMCBWS=10000-20000
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        winbind nested groups = Yes
        winbind separator = \\ 
        ...  

3o.  Compilar o SQUID com :

./configure ...(apenas a parte que interessa )
--enable-auth="basic,digest,ntlm" \
--enable-basic-auth-helpers="PAM SMB NCSA" \
--enable-ntlm-auth-helpers="SMB no_check fakeauth" \
--enable-digest-auth-helpers=password \
--with-samba-sources=/usr/programas/samba-3.0.20b \
--enable-ntlm-fail-open \
--enable-external-acl-helpers="ip_user unix_group ldap_group wbinfo_group" \
...

4o. Startar o winbind ( /usr/local/samba/sbin/winbindd )e incluir o servidor
freebsd na rede windows
( veja - net join ou net rpc )

5o. Verifique se o servidor está no dominio
wbinfo -t
checking the trust secret via RPC calls succeeded  
( se der a mensagem acima, beleza )
wbinfo -g   ## deve trazer a lista de grupos do AD

Se não funcionar, retorne a ponto 3.



6o. Configurar o squid.conf assim : ( apenas as partes que interessa )
### 
auth_param ntlm program /usr/local/samba/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp 

auth_param ntlm children 25
# auth_param ntlm realm Autenticacao de acesso a internet
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba/bin/ntlm_auth
--helper-protocol=squid-2.5-basic

auth_param basic children 25
auth_param basic realm Autenticacao de acesso a internet
auth_param basic credentialsttl 2 hours

authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
...
...
#**********************  AUTENTICACAO DE USUARIOS *************************

# Verificar grupo do usuario
external_acl_type NT_global_group concurrency=35 %LOGIN
/usr/local/squid/libexec/wbinfo_group.pl

# Verificar gredenciais do usuario
acl Internet proxy_auth REQUIRED

# -------------Grupo Infra-Estrutura de Sistemas--------------------
acl InfraEstrutura external NT_global_group GG_CAT_Sistemas_Infra
http_access allow rede_mmcb Internet InfraEstrutura

# -------------Grupo Diretores--------------------------------------
acl Diretores external NT_global_group Internet_Diretores
http_access allow rede_mmcb Internet Diretores


###--------fim squid.conf-------------------------###


Coloque o squid no ar e teste.


Qualquer dúvida, entre em contato.

Sérgio Ferreira
WGO Telecom

-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
de Márcio Luciano Donada
Enviada em: quinta-feira, 13 de abril de 2006 17:22
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] RES: Squid + squid_ldap_auth

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Sérgio José Ferreira wrote:
> Se estiver usando autenticação NTLM, não vai pedir senha mesmo.
>
> Quando o IE recebe a solicitação de senha ele envia os dados do
> usuário que está logado na máquina.
>
> Para pedir senha apenas autenticação "BASIC"
>
> Sérgio Ferreira WGO Telecom
>
>
Eu criei um grupo no ldap chamado Internet e gostaria de vincular ai
usuários que poderam ter acesso à Internet e ao mesmo tempo associar o
endereço IP do cara no Ldap. Alguém poderia me dar uma pista de como
fazer o filtro, já consultei alguns materiais e mesmo assim ainda
autentica qualquer usuário da base, a regra ficou assim:

auth_param basic program /usr/lib/squid/squid_ldap_group -B
"cn=Internet,ou=Grupos,dc=auroraalimentos,dc=com,dc=br" -b
"ou=Grupos,dc=auroraalimentos,dc=com,dc=br" -f "(memberUid=%u)" -D
"cn=suporte,dc=auroraalimentos,dc=com,dc=br" -w adaasdafadsfasdf -h
121.1.16.245

Alguma dica?

Obrigado,

- --
Atenciosamente,
Márcio Luciano Donada
T.I. Aurora Alimentos - Chapecó(SC)
Cooperativa Central Oeste Catarinense
Telefones (49)33213161 ou (49)33213182
mdonada at auroraalimentos dot com dot br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (FreeBSD)

iD8DBQFEPrLfyJq2hZEymxcRAgnOAJ9BeqeVOIQS6UHy6YpNe41VDeL1JQCcDwc8
iI3bGolaA0JmDWpdgTIfpIQ=
=Jx1Q
-----END PGP SIGNATURE-----


_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Mais detalhes sobre a lista de discussão freebsd