[FUG-BR] Squid + AD auth

Saul Figueiredo saulfelipecf em gmail.com
Sexta Agosto 17 14:24:49 BRT 2012 

2012/8/17 Thays Karine de Freitas <thays.karine86 em hotmail.com>

>
>
> --------------squid.conf---------------
>
> auth_param ntlm program /usr/local/libexec/squid/ntlm_auth
> domaintest.go.gov.br/win2003-server
> auth_param ntlm keep_alive on
> auth_param ntlm children 50
> authenticate_ttl 2 hours
> authenticate_ip_ttl 1 hour
> authenticate_cache_garbage_interval 1 hour
> external_acl_type NT_global_group %LOGIN /usr/local/libexec/squid/
> wbinfo_group.pl
>
>
> acl autenticados proxy_auth REQUIRED
>
> acl grupo_livre external NT_global_group diretoria
> http_access allow grupo_livre
>
> acl usuarios_liberados proxy_auth
> "/usr/local/etc/squid/grupos/usuarios_liberados"
> http_access allow usuarios_liberados
>
> acl sites_bloqueados url_regex -i "/usr/local/etc/squid/blockedsites"
> http_access deny sites_bloqueados
>
> acl usuarios_restritos proxy_auth
> "/usr/local/etc/squid/grupos/usuarios_restritos"
> http_access allow usuarios_restritos !sites_bloqueados
>
> acl usuarios_bloqueados proxy_auth
> "/usr/local/etc/squid/grupos/usuarios_bloqueados"
> http_access deny usuarios_bloqueados
>
> http_access deny !autenticados
>
> http_access allow autenticados
> http_access deny all
>
> --------------squid.conf---------------
>
>
>
> Já troquei as regras de lugar de tudo quanto é jeito mas não dá certo.
>
> Achei interessante a questão das Acls External por grupo do AD (que está
> marcado de azul), se puderem me exclarecer melhor sobre este assunto
> também, agradeço.
>
> Abraço!
>
> Thays.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Thays

Essa parte aqui ta errada:

http_access deny !autenticados

http_access allow autenticados   <-------- você não pode fazer isso,
afinal, você já definiu acima que quem não autenticar vai ser barrado.
http_access deny all <---------------------- vai bloquear


Sugiro a seguinte dica:
Habilite apenas as seguintes regras:

acl autenticados proxy_auth REQUIRED
http_access deny !autenticados

acl sites_bloqueados url_regex -i "/usr/local/etc/squid/blockedsites"
acl usuarios_restritos proxy_auth "/usr/local/etc/squid/grupos/
usuarios_restritos"
acl usuarios_liberados proxy_auth "/usr/local/etc/squid/grupos/
usuarios_liberados"

http_access allow usuarios_restritos !sites_bloqueados
http_access allow usuarios_liberados


e a principio teste se cada um vai estar liberado e restrito ^^









-- 
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)

Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelipecf em gmail.com
<saul-felipe em hotmail.com>

Mais detalhes sobre a lista de discussão freebsd