[FUG-BR] [OFF] Autenticação Squid + NTLM + Windows Serve 2008
Bruno Torres Viana
btviana em gmail.com
Quarta Dezembro 9 18:53:27 BRST 2009
Eu faço assim, espero que ajude alguns.. não é nenhum totorial, mas ajuda
pra quem já conheçe um pouco como eu :D
Não estou mostrando como compilar squid aqui... somente o samba e kerbreros
para integração...
INTEGRAR FREEBSD 7.2 COM WINDOWS 2003/2008 SERVER COM AD
cd /usr/ports/security/krb5 && make KRB5_HOME=/usr/local install clean
cd /usr/ports/net/samba3 && make clean && make KRB5_HOME=/usr/local install
vi /etc/krb5.conf
[logging]
default = SYSLOG:INFO:LOCAL7
default_realm = MEUDOMINIO.COM.BR
[libdefaults]
default_realm = MEUDOMINIO.COM.BR
ticket_lifetime = 24000
[realms]
MEUDOMINIO.COM.BR = {
kdc = tcp/dc.meudominio.com.br
admin_server = dc.meudominio.com.br
default_domain = meudominio.com.br
}
[domain_realm]
.meudominio.com.br = MEUDOMINIO.COM.BR
meudominio.com.br = MEUDOMINIO.COM.BR
vi /usr/local/etc/smb.conf
[global]
workgroup = MEUDOMINIO
netbios name = PROXY
realm = MEUDOMINIO.COM.BR
server string = Filtro de Conteudo
interfaces = re1
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
password server = dc.meudominio.com.br
bind interfaces only = Yes
security = ADS
allow trusted domains = No
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
deadtime = 5
load printers = No
preferred master = No
local master = No
dns proxy = No
ldap ssl = no
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
winbind use default domain = Yes
winbind offline logon = Yes
vi /etc/nsswitch.conf
group: winbind files
group_compat: nis
hosts: files dns
networks: files
passwd: winbind files
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
shadow: winbind files
vi /etc/hosts
::1 localhost.escolacontec.br localhost
127.0.0.1 localhost.escoalcontec.br localhost
192.168.25.4 proxy.escolacontec.br proxy
/usr/local/etc/rc.d/samba restart
** ADICIONAR BASE KERBREROS **
kinit Administrator
** ADICIONAR NO DOMINIO **
net ads join -U Administrator
** CONFIGURA PERMISSÕES **
chgrp squid /var/db/samba/winbindd_privileged
/usr/local/etc/rc.d/samba restart
** VERIFICA LISTAGEM DE DADOS DO AD **
wbinfo -u -> Verificar se lista os usuários
wbifno -g -> Verificar se lsita os grupos
** SQUID PARA INTEGRAÇÃO **
auth_param ntlm program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Contec - Controle de Acesso
auth_param basic credentialsttl 8 hours
auth_param basic casesensitive off
acl AuthUser proxy_auth REQUIRED
external_acl_type ad_group children=3 %LOGIN /usr/local/libexec/squid/
wbinfo_group.pl
http_access allow AuthUser
2009/12/9 Mario Augusto Mania <m3.bsd.mania em gmail.com>
> Entao nos conta tudo hehehehhe
>
> 2009/12/9 Bruno Torres Viana <btviana em gmail.com>:
> > Senhores,
> >
> > Obrigado! Consegui integrar tudo...
> >
> >
> > 2009/12/9 renato martins <renatobsd em gmail.com>
> >
> >> 2009/12/9 Thiago Cesar <thjayo em gmail.com>
> >>
> >> > NTLM não funciona em Windows 2008.
> >> > Utilize autenticação via Kerberos: Te salva da configuração e
> >> > utilização do Samba e do Winbind.
> >> >
> >> > ou radius
> >>
> >>
> >> > 2009/12/9 Bruno Torres Viana <btviana em gmail.com>:
> >> > > Senhores,
> >> > >
> >> > > Boa tarde, alguém utiliza isto funcioando corretamente?
> >> > > Eu utilizava com windows server 2003 só que para o 2008 está sendo
> um
> >> > pouco
> >> > > complicado. Eu rodo com sucesso o kinit e consigo listar com klist,
> só
> >> > que
> >> > > ao tentar coloar a máquina no domínio apresenta a seguinte mensagem:
> >> > >
> >> > > [root em itaunas]# net ads join -U administrador
> >> > > administrador's password:
> >> > > Using short domain name -- MEUDOMINIO
> >> > > Failed to set servicePrincipalNames. Please ensure that the DNS
> domain
> >> of
> >> > > this server matches the AD domain, Or rejoin with using Domain Admin
> >> > > credentials. Deleted account for 'SERVER' in realm 'MEUDOMINIO.BR'
> >> > Failed to
> >> > > join domain: Type or value exists.
> >> > >
> >> > > Se eu colocar na mão a máquina no domínio ele apaga assim mesmo.
> >> > >
> >> > > SMB.CONF
> >> > > [global]
> >> > > workgroup = MEUDOMINIO
> >> > > netbios name = PROXY
> >> > > realm = MEUDOMINIO.BR
> >> > > server string = Filtro de Conteudo
> >> > > interfaces = re1
> >> > > socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
> >> > > password server = dc.meudominio.br
> >> > > bind interfaces only = Yes
> >> > > security = ADS
> >> > > allow trusted domains = No
> >> > > client NTLMv2 auth = Yes
> >> > > client lanman auth = No
> >> > > client plaintext auth = No
> >> > > log file = /var/log/samba/log.%m
> >> > > max log size = 50
> >> > > deadtime = 5
> >> > > load printers = No
> >> > > preferred master = No
> >> > > local master = No
> >> > > dns proxy = No
> >> > > ldap ssl = no
> >> > > idmap uid = 16777216-33554431
> >> > > idmap gid = 16777216-33554431
> >> > > winbind use default domain = Yes
> >> > > winbind offline logon = Yes
> >> > >
> >> > > KRB5.CONF
> >> > > [logging]
> >> > > default = SYSLOG:INFO:LOCAL7
> >> > > default_realm = MEUDOMINIO.BR
> >> > > [libdefaults]
> >> > > default_realm = MEUDOMINIO.BR
> >> > > ticket_lifetime = 24000
> >> > > forwardable = yes
> >> > > [realms]
> >> > > MEUDOMINIO.BR = {
> >> > > kdc = tcp/dc
> >> > > admin_server = dc.meudominio.br
> >> > > default_domain = meudominio.br
> >> > > }
> >> > > [domain_realm]
> >> > > .meudominio.br = MEUDOMINIO.BR
> >> > > meudominio.br = MEUDOMINIO.BR
> >> > >
> >> > > Obrigado!
> >> > >
> >> > >
> >> > >
> >> > > --
> >> > > -------------------------------
> >> > > Bruno Torres Viana
> >> > > Analista de Segurança da Informaçao
> >> > > Contato: (27) 8823-0751
> >> > >
> >> > >
> >> > > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> >> > ignorante
> >> > > por opção!
> >> > > -------------------------
> >> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> > >
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > --
> > -------------------------------
> > Bruno Torres Viana
> > Analista de Segurança da Informaçao
> > Contato: (27) 8823-0751
> >
> >
> > Todos nós somos ignorantes, porém em assuntos diferentes. Não seja
> ignorante
> > por opção!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Atenciosmente
>
> Mario Augusto Mania <m3BSD>
> -----------------------------------------------
> m3.bsd.mania em gmail.com
> Cel.: (43) 9938-9629
> Msn: mario em oquei.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
-------------------------------
Bruno Torres Viana
Analista de Segurança da Informaçao
Contato: (27) 8823-0751
Todos nós somos ignorantes, porém em assuntos diferentes. Não seja ignorante
por opção!
Mais detalhes sobre a lista de discussão freebsd