Configurando o squid para autenticar usuarios

jgama · 21-10-2004, 12:25

Galera,

Já postei uma dúvida parecida com esta, mas não tive exito nas respostas, acho que não fui claro.

É o seguinte, estou configurando o Squid para autenticar os usuarios em um dominio, neste caso seria o Samba PDC.

No squid.conf incluir estas linhas:

auth_param basic program /usr/local/bin/smb_auth -W jgamasystem -U 192.168.0.1

acl usuarios_rede proxy_auth REQUIRED

http_access allow usuarios_rede
http_access allow rede_local
http_access deny all

Com as linhas acima já era para o Squid autenticar os usuarios quando logarem nas suas maquinas no dominio, "sem solicitar login e senha´para acessar a internet".

Não fiz nenhuma alteração no proxy das estações isto é, estão como default sem proxy.

já que estou usando uma regra no firewall para direcionar a porta 80 para 3128 e ainda no arquivo do squid.conf deixei estas linhas abaixo:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Gerei os relatorios no Sarg para verificar se no lugar do IP apareceria o login do usuário, mas pelo visto continua mostrando os IP´s.

Será que tenho que fazer alguma alteração no Sarg ou no Squid para o relatório aparecer os logins e não os IP´s .

Desculpa pelas perguntas, mas é necessário para o meu aprendizado.

Abraço

sabocinski · 21-10-2004, 13:06

Opa Bom dia,

Cara não sei se você sabe, mas na documentação do squid fala que quando vc trabalha com a AUTHENCTICAÇâo o proxy transparente não funciona, isso é uma lógica. Se o proxy é transparente ele tem que funcionar para todos.

Tente tirar as linhas de transparência e veja o que acontece!!

Veja se isso te ajuda?

http://lists.debian.org/debian-user-portuguese/2004/10/msg00240.html

Abraços,
Sabocinski

sabocinski · 21-10-2004, 13:13

Opa eu de novo, descupe-me, mas não sei se vai ajudar esse link, achei que o outro ficou um pouco obscuro.

http://www.gulba.org/pipermail/linux-ssa/2003-June/000243.html

valeu cara,
Abraços

Sabocinski sml0002

marcos jost · 21-10-2004, 14:00

da uma olhada neste link:
http://www.linuxman.pro.br/squid/

jgama · 21-10-2004, 17:51

Blz pessoal.

Pelo visto terei que optar pelo Proxy Transparente ou pelo Proxy controlado, eu estava lendo um tuto que ensina configura os dois modos, mas o meu caso eu escolhir usar a autenticação via samba, mas não queria ficar configurando os terminais para usar o proxy.

Até então as os usuarios logan no servidor através do Samba PDC, e navegam com o proxy autenticado, só que não é solicitado o login e senha quando este for navegar, pois isso que estou perdido, não sei se o Squid esteja autenticando os usuarios.

pois pelo modo autenticado smb_auth configurado no Squid, não é solicitado o login e senha, pelo menos tuto explica desta forma.

Irei fazer uns teste aproveita o link do squid ninja, pois já vi que tem coisa diferente do tudo que usei para a configuração via samba.

Abraço a todos

marcos jost · 21-10-2004, 21:21

Tava vendo, um dos topicos da listagem do ToDo do Squid Ninja e justamente um topico sobre autenticção ocm proxy transparenre... agora é esperar pra ver

marcos jost · 21-10-2004, 21:37

Alguns links interessantes que acheia gora:
Aqui voce acha alguns autenticadores pro Squid:
http://www.squid-cache.org/related-software.html
Alguam leituras interessantes sobre squid e autenticação
http://geocities.yahoo.com.br/cesarakg/transparent-squid.html
http://geocities.yahoo.com.br/cesarakg/AuthenticationAndSquid.html
http://www.underlinux.com.br/modules.php?name=Forums&file=viewtopic&topic=12219 &forum=8

jgama · 22-10-2004, 13:28

Tem mais essa aqui.

Só que quando entro com o comando smb_auth -W DOMINIO -d para validar o domínio, aparece esta mensagem;

root@servidor:/home/jgama# smb_auth -W jgamasystem -d
jgama Opala145
Domain name: jgamasystem
Pass-through authentication: no
Query address options:
/usr/local/bin/smb_auth.sh: line 1: /etc/samba/bin/nmblookup: No such file or di
rectory
Domain controller IP address:
ERR

Verifiqei o arquivo /usr/local/bin/smb_auth.sh e lá tem uma varialvel a respeito do diretório /etc/samba/bin/nmblookup, o problem que não tenho este diretório na pasta do Samba em /etc/samba/

vejam arquivo usr/local/bin/smb_auth.sh

read DOMAINNAME
read PASSTHROUGH
read NMBADDR
read NMBCAST
read AUTHSHARE
read AUTHFILE
read SMBUSER
read SMBPASS

# Find domain controller
echo "Domain name: $DOMAINNAME"
if [ -n "$PASSTHROUGH" ]
then
echo "Pass-through authentication: yes: $PASSTHROUGH"
else
echo "Pass-through authentication: no"
PASSTHROUGH="$DOMAINNAME"
fi
if [ -n "$NMBADDR" ]
then
if [ "$NMBCAST" = "1" ]
then
addropt="-U $NMBADDR -R"
else
addropt="-B $NMBADDR"
fi
else
addropt=""
fi
echo "Query address options: $addropt"
dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH#1c" | awk '/^[0-9.]+ / { print $1 ; exit }'`
echo "Domain controller IP address: $dcip"
[ -n "$dcip" ] || exit 1

# All right, we have the IP address of a domain controller,
# but we need its name too
dcname=`$SAMBAPREFIX/bin/nmblookup -A $dcip | awk '$2 == "<00>" { print $1 ; exit }'`
echo "Domain controller NETBIOS name: $dcname"
[ -n "$dcname" ] || exit 1

# Pass password to smbclient through environment. Not really safe.
USER="$SMBUSER%$SMBPASS"
export USER

Como posso resolver este problema :?:

Abraço

geekbr · 22-10-2004, 18:49

até onde eu sei, autenticação e proxy transparente não funcionam juntos, escolha um ou outro .. !!
:|

jgama · 24-10-2004, 9:45

Citação:

Postado Originalmente por shell

até onde eu sei, autenticação e proxy transparente não funcionam juntos, escolha um ou outro .. !!
:|

Bom dia galera.

Bom, este caso já resolvi, agora o Squid esta autenticando, mas ainda não é a solução que pretendo, pois não quero que os usuarios fiquem se logando todas as vezes que for acessar a internet.

O engraçado que estou usando a autenticação pelo Samba "smb_auth" e mesmo assim aparece a tela de autenticação, pelo que lê em tutorias usando este tipo de autenticação não precisa ficar se logando, já que o mesmo login para acessar o dominio é usado no squid.

Alguém sabe o que tenho que fazer no Squid para por em pratica esta solução?

Percebi também que certos programas no Windows como o Flashget não consegue baixar downloads, terei que criar uma regra no squid também?

Abraço

jgama · 24-10-2004, 23:30

Olá pessoal

Já que não tive exito com o squid autenticando os usuarios com o smb_auth, parti para outra.

Na verdade a autenticação usando smb_auth funciona, só que ficar pedindo para logar todas as vezes quando abre o browser e o MSN 6.2 torna um saco com erro de acesso, tem que tentar umas 3 vezes entre o login do MSN e do Squid.

Neste caso estou testando o IDENTD no Squid, a principio está dando certo, não precisa se logar quando abre o browser e o MSN 6.2 loga normalmente.

O contra, é que se vc quer ter um controle e relatórios através do Sarg com mais segurança terá que instalar o identd nas maquinas Windows, para que se inicialise junto ao sistema.

Para uma rede de + de 100 máquinas terá que instalar em todas. :cry:

Continuarei na minha encansavel busca de performa e aprendizagem no Linux e seus mundo maravilhoso.

Abraço a todos

jqueiroz · 25-10-2004, 18:18

Fala Doidão, tudo blz? Agora que vi seu tópico...

Seguinte, até onde eu sabia, não dava pra usar autenticação e proxy transparente ao mesmo tempo. Vou dar uma olhada nesses links pra ver como seguem as coisas...

Seguinte, estou olhando aqui na minha bíblia de Squid (é um PDF descrevendo todos[?] os parâmetros do Squid, me passa teu email que eu te mando uma cópia depois), e não estou achando o comando "auth_param"... só um comando "authenticator_program", que diz que esse programa é um loop sem fim, que recebe linhas do tipo "usuário senha" e responde "OK" ou "ERR".

Será que é pq a versão de Squid que vc está usando é diferente ???

jgama · 26-10-2004, 6:57

Citação:

Postado Originalmente por jqueiroz

Fala Doidão, tudo blz? Agora que vi seu tópico...

Seguinte, até onde eu sabia, não dava pra usar autenticaç...

Ola amigo, na verdade o parametro "authenticator_program", é para versão do Squid 2.4, como estou usando o 2.5 então usa neste caso "auth_param"...

meu e-mail jgama@lucent.com

Abraço

jqueiroz · 26-10-2004, 12:33

Hei, novidades. Fui no site do Squid, o link "Configuration Guide" manda pro site de onde eu baixei a minha "bíblia", e que ainda está na versão 2.4. 8-/

Fucei um pouco, caí no site http://www.geocities.com/glasswalk3r/linux/squidnomicon.html

Lá tem um PDF (compactado), em português, fui olhar lá, e além de já ser para a versão 2.5, pelo que eu pude ver (numa olhada rápida) explica exatamente o seu problema (autenticação com Windows). O link para o documento: http://www.geocities.com/glasswalk3r/linux/squidnomicon.pdf.gz

Boa sorte!!!

21-10-2004, 12:25	#1 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.976 Reputação: 31	Configurando o squid para autenticar usuarios Galera, Já postei uma dúvida parecida com esta, mas não tive exito nas respostas, acho que não fui claro. É o seguinte, estou configurando o Squid para autenticar os usuarios em um dominio, neste caso seria o Samba PDC. No squid.conf incluir estas linhas: auth_param basic program /usr/local/bin/smb_auth -W jgamasystem -U 192.168.0.1 acl usuarios_rede proxy_auth REQUIRED http_access allow usuarios_rede http_access allow rede_local http_access deny all Com as linhas acima já era para o Squid autenticar os usuarios quando logarem nas suas maquinas no dominio, "sem solicitar login e senha´para acessar a internet". Não fiz nenhuma alteração no proxy das estações isto é, estão como default sem proxy. já que estou usando uma regra no firewall para direcionar a porta 80 para 3128 e ainda no arquivo do squid.conf deixei estas linhas abaixo: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_single_host off httpd_accel_with_proxy on httpd_accel_uses_host_header on Gerei os relatorios no Sarg para verificar se no lugar do IP apareceria o login do usuário, mas pelo visto continua mostrando os IP´s. Será que tenho que fazer alguma alteração no Sarg ou no Squid para o relatório aparecer os logins e não os IP´s . Desculpa pelas perguntas, mas é necessário para o meu aprendizado. Abraço __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

21-10-2004, 14:00	#4 (permalink)
marcos jost General de Pijama Registrado em: Jun 2002 Localização: RS Mensagens: 3.567 Reputação: 24	da uma olhada neste link: http://www.linuxman.pro.br/squid/ __________________ ------------------------------------------

21-10-2004, 17:51	#5 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.976 Reputação: 31	Blz pessoal. Pelo visto terei que optar pelo Proxy Transparente ou pelo Proxy controlado, eu estava lendo um tuto que ensina configura os dois modos, mas o meu caso eu escolhir usar a autenticação via samba, mas não queria ficar configurando os terminais para usar o proxy. Até então as os usuarios logan no servidor através do Samba PDC, e navegam com o proxy autenticado, só que não é solicitado o login e senha quando este for navegar, pois isso que estou perdido, não sei se o Squid esteja autenticando os usuarios. pois pelo modo autenticado smb_auth configurado no Squid, não é solicitado o login e senha, pelo menos tuto explica desta forma. Irei fazer uns teste aproveita o link do squid ninja, pois já vi que tem coisa diferente do tudo que usei para a configuração via samba. Abraço a todos __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

21-10-2004, 21:21	#6 (permalink)
marcos jost General de Pijama Registrado em: Jun 2002 Localização: RS Mensagens: 3.567 Reputação: 24	Tava vendo, um dos topicos da listagem do ToDo do Squid Ninja e justamente um topico sobre autenticção ocm proxy transparenre... agora é esperar pra ver __________________ ------------------------------------------

21-10-2004, 21:37	#7 (permalink)
marcos jost General de Pijama Registrado em: Jun 2002 Localização: RS Mensagens: 3.567 Reputação: 24	Alguns links interessantes que acheia gora: Aqui voce acha alguns autenticadores pro Squid: http://www.squid-cache.org/related-software.html Alguam leituras interessantes sobre squid e autenticação http://geocities.yahoo.com.br/cesarakg/transparent-squid.html http://geocities.yahoo.com.br/cesarakg/AuthenticationAndSquid.html http://www.underlinux.com.br/modules.php?name=Forums&file=viewtopic&topic=12219 &forum=8 __________________ ------------------------------------------

		FórumGdH > Redes > Acesso à internet
Configurando o squid para autenticar usuarios

1. Configurando o squid para autenticar usuarios pelo PDC
Mais resultados? Use nossa pesquisa.

21-10-2004, 13:06	#2 (permalink)
sabocinski Novo Membro Registrado em: Mar 2003 Mensagens: 87 Reputação: 19	Opa Bom dia, Cara não sei se você sabe, mas na documentação do squid fala que quando vc trabalha com a AUTHENCTICAÇâo o proxy transparente não funciona, isso é uma lógica. Se o proxy é transparente ele tem que funcionar para todos. Tente tirar as linhas de transparência e veja o que acontece!! Veja se isso te ajuda? http://lists.debian.org/debian-user-portuguese/2004/10/msg00240.html Abraços, Sabocinski

21-10-2004, 13:13	#3 (permalink)
sabocinski Novo Membro Registrado em: Mar 2003 Mensagens: 87 Reputação: 19	Opa eu de novo, descupe-me, mas não sei se vai ajudar esse link, achei que o outro ficou um pouco obscuro. http://www.gulba.org/pipermail/linux-ssa/2003-June/000243.html valeu cara, Abraços Sabocinski sml0002

22-10-2004, 13:28	#8 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.976 Reputação: 31	Tem mais essa aqui. Só que quando entro com o comando smb_auth -W DOMINIO -d para validar o domínio, aparece esta mensagem; root@servidor:/home/jgama# smb_auth -W jgamasystem -d jgama Opala145 Domain name: jgamasystem Pass-through authentication: no Query address options: /usr/local/bin/smb_auth.sh: line 1: /etc/samba/bin/nmblookup: No such file or di rectory Domain controller IP address: ERR Verifiqei o arquivo /usr/local/bin/smb_auth.sh e lá tem uma varialvel a respeito do diretório /etc/samba/bin/nmblookup, o problem que não tenho este diretório na pasta do Samba em /etc/samba/ vejam arquivo usr/local/bin/smb_auth.sh read DOMAINNAME read PASSTHROUGH read NMBADDR read NMBCAST read AUTHSHARE read AUTHFILE read SMBUSER read SMBPASS # Find domain controller echo "Domain name: $DOMAINNAME" if [ -n "$PASSTHROUGH" ] then echo "Pass-through authentication: yes: $PASSTHROUGH" else echo "Pass-through authentication: no" PASSTHROUGH="$DOMAINNAME" fi if [ -n "$NMBADDR" ] then if [ "$NMBCAST" = "1" ] then addropt="-U $NMBADDR -R" else addropt="-B $NMBADDR" fi else addropt="" fi echo "Query address options: $addropt" dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH#1c" \| awk '/^[0-9.]+ / { print $1 ; exit }'` echo "Domain controller IP address: $dcip" [ -n "$dcip" ] \|\| exit 1 # All right, we have the IP address of a domain controller, # but we need its name too dcname=`$SAMBAPREFIX/bin/nmblookup -A $dcip \| awk '$2 == "<00>" { print $1 ; exit }'` echo "Domain controller NETBIOS name: $dcname" [ -n "$dcname" ] \|\| exit 1 # Pass password to smbclient through environment. Not really safe. USER="$SMBUSER%$SMBPASS" export USER Como posso resolver este problema :?: Abraço __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

22-10-2004, 18:49	#9 (permalink)
geekbr Veterano Registrado em: Jan 2004 Localização: São Paulo / Sp Mensagens: 1.380 Reputação: 18	até onde eu sei, autenticação e proxy transparente não funcionam juntos, escolha um ou outro .. !! :\|

24-10-2004, 23:30	#11 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.976 Reputação: 31	Olá pessoal Já que não tive exito com o squid autenticando os usuarios com o smb_auth, parti para outra. Na verdade a autenticação usando smb_auth funciona, só que ficar pedindo para logar todas as vezes quando abre o browser e o MSN 6.2 torna um saco com erro de acesso, tem que tentar umas 3 vezes entre o login do MSN e do Squid. Neste caso estou testando o IDENTD no Squid, a principio está dando certo, não precisa se logar quando abre o browser e o MSN 6.2 loga normalmente. O contra, é que se vc quer ter um controle e relatórios através do Sarg com mais segurança terá que instalar o identd nas maquinas Windows, para que se inicialise junto ao sistema. Para uma rede de + de 100 máquinas terá que instalar em todas. :cry: Continuarei na minha encansavel busca de performa e aprendizagem no Linux e seus mundo maravilhoso. Abraço a todos __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

25-10-2004, 18:18	#12 (permalink)
jqueiroz Highlander Registrado em: May 2002 Localização: Tijuca/RJ Idade: 9 Mensagens: 87.724 Reputação: 778	Fala Doidão, tudo blz? Agora que vi seu tópico... Seguinte, até onde eu sabia, não dava pra usar autenticação e proxy transparente ao mesmo tempo. Vou dar uma olhada nesses links pra ver como seguem as coisas... Seguinte, estou olhando aqui na minha bíblia de Squid (é um PDF descrevendo todos[?] os parâmetros do Squid, me passa teu email que eu te mando uma cópia depois), e não estou achando o comando "auth_param"... só um comando "authenticator_program", que diz que esse programa é um loop sem fim, que recebe linhas do tipo "usuário senha" e responde "OK" ou "ERR". Será que é pq a versão de Squid que vc está usando é diferente ??? __________________ Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2010 JQueiroz/FGdH CCNP: √ ² CCSI: □ \| Conheça o Novo Bebuns

26-10-2004, 12:33	#14 (permalink)
jqueiroz Highlander Registrado em: May 2002 Localização: Tijuca/RJ Idade: 9 Mensagens: 87.724 Reputação: 778	Hei, novidades. Fui no site do Squid, o link "Configuration Guide" manda pro site de onde eu baixei a minha "bíblia", e que ainda está na versão 2.4. 8-/ Fucei um pouco, caí no site http://www.geocities.com/glasswalk3r/linux/squidnomicon.html Lá tem um PDF (compactado), em português, fui olhar lá, e além de já ser para a versão 2.5, pelo que eu pude ver (numa olhada rápida) explica exatamente o seu problema (autenticação com Windows). O link para o documento: http://www.geocities.com/glasswalk3r/linux/squidnomicon.pdf.gz Boa sorte!!! __________________ Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2010 JQueiroz/FGdH CCNP: √ ² CCSI: □ \| Conheça o Novo Bebuns

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail