Sem começar nenhuma guerra santa, mas, o que o Fábio quer é algo parecido com as regras que o ISA Server permite fazer, liberar ou negar acessos e adicionar a diretiva “Authenticated Users” como forma de controle adicional de quem pode ou não usar aquela regra (pois, o ISA checa se o usuário está autenticado diretamente no active directory, não pergunta por login e senha se você informar o proxy manualmente, como no caso do Fábio).
Nunca vi o squid fazer este tipo de controle, pois, mesmo que ofsse possível setar algo parecido como “password server” do samba, para dizer onde o daemon iria buscar a autenticação, se o usuário informar manualmente login e senha, ele terá o acesso liberado. Pergunta básica: não é possível remover os usuários locais das máquinas ? Acho que isto te pouparia muito mais trabalho. Se conseguir fazer o que pretende, por favor, não esqueça de compartilhar a experiência conosco. Cumprimentos, Anderson da Silva Leite Engenheiro de Comunicações e Segurança Direcção de Sistemas de Informação e Tecnologias Banco de Negócios Internacional Rua Major Kanhangulo, nº 134 Cx. Posta: 578 Luanda - Angola <Tel:+244222370080/+244923330225> Tel: (+244) 222 63 29 00 / (+244) 222 63 29 77 Telemóvel: (+244) 928 50 94 94 Fax: (+244) 222 37 18 87 De: [email protected] [mailto:[EMAIL PROTECTED] Em nome de Marcos Dutra Enviada em: quarta-feira, 3 de Setembro de 2008 19:07 Para: [email protected] Assunto: Res: Res: [squid-br] squid+ntlm+acesso negado fora do dominio Mas aí não vai ter jeito mesmo Fabio pq vou te explicar o seguinte: Até quando o brownser requisitar a acesso e o squid verificar a autenticação, ele não sabe em qual grupo ou domínio que ele entrou entendeu, a única coisa que o protocolo ntlm ajuda no processo de autenticação é não mostrar a tela de autenticação e só. Portanto vc não tem como bloquear um navegador antes de se autenticar entendeu. Marcos ----- Mensagem original ---- De: fabio nery <[EMAIL PROTECTED]> Para: [email protected] Enviadas: Quarta-feira, 3 de Setembro de 2008 14:24:31 Assunto: Re: Res: [squid-br] squid+ntlm+acesso negado fora do dominio Marcos, Maquinas no dominio ja recebem GPO de configuraçao do browser, o problema nao é maquina no dominio, o problema é o cara logar local, ai ele vai la e seta o browser, vai pedir nome de usuario e senha, ai ele vai navegar. Eu nao quero q usuarios que loguem fora do dominio consigam navegar, mesmo setando o browser, nao quero que solicite nome de usuario e senha mesmo setando o browser para quem loga localmente, quero q seja negado de cara, sem nem pedir conta. Abraço, Fabio --- Em qua, 3/9/08, Marcos Dutra <[EMAIL PROTECTED]> escreveu: De: Marcos Dutra <[EMAIL PROTECTED]> Assunto: Res: [squid-br] squid+ntlm+acesso negado fora do dominio Para: [email protected] Data: Quarta-feira, 3 de Setembro de 2008, 12:44 Fabio, acho que o esquem é ao invés de criar o esquema no squid (acho que não dá) colocar uma GPO no AD para setar o proxy quem estiver no grupo e quem não estiver não tem proxy setado, acho que é isso aí, o único problema são os browsers tipo opera ou firefox que não pegam as configurações via GPO mas aí acho que dá para dar um jeitinho diferente. Marcos ----- Mensagem original ---- De: fabio nery <fcosta_nery@ yahoo.com. br> Para: [EMAIL PROTECTED] s.com.br Enviadas: Terça-feira, 2 de Setembro de 2008 10:25:07 Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio Luiz, Já fiz este teste e isto não vai evitar que seja solicitado nome de usuario e senha, eu quero que logado fora do dominio não solicite nome de usuario e senha, é pra negar sem pedir nada, ele esta logado fora do dominio, entao nao é pra acessar. Flw, Fabio --- Em ter, 2/9/08, Luiz Felipe Ferreira <[EMAIL PROTECTED] com> escreveu: De: Luiz Felipe Ferreira <[EMAIL PROTECTED] com> Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio Para: [EMAIL PROTECTED] s.com.br Data: Terça-feira, 2 de Setembro de 2008, 9:57 Fabio, Você pode colocar uma acl asim: acl acesso proxy_auth REQUIRED (Solicitando a autenticação no domínio) http_access allow acesso (Liberando usuários autenticados) Luiz Felipe Ferreira 2008/9/2 fabio nery <fcosta_nery@ <mailto:[EMAIL PROTECTED]> yahoo.com. br> Bom dia, Quero evitar que usuarios que não loguem no dominio consigam navegar, qd logar fora do dominio não quero que solicite senha, quero que negue o acesso. Logando fora do dominio não é pra ter acesso, mesmo q configure o proxy. Abraço, Fabio --- Em ter, 2/9/08, João Júnior <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> .net> escreveu: De: João Júnior <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> .net> Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio Para: [EMAIL PROTECTED] <mailto:[email protected]> s.com.br Data: Terça-feira, 2 de Setembro de 2008, 8:35 bom dia... nas estações fora do dominio , usa-se para o campo usuário: DOMINIO\USUARIO Espero ter ajudado... abraços.. 2008/8/29 fabio nery <fcosta_nery@ <mailto:[EMAIL PROTECTED]> yahoo.com. br> Bom dia a todos, Alguem sabe me dizer como faço pro squid apresentar uma pagina de acesso negado para estações usuarios que não estejam logados no dominio? Tenho um squid com autenticaçao ntlm, tudo ta funcionando certinho, porem quando pessoas logam fora do dominio e configuram o proxy no IE ele pede nome de usuario e senha do dominio, o usuario digita nome de usuario e senha e navega, gostaria que isto nao fosse possivel, gostaria que nem sequer a tela fosse apresentada quando logado fora do dominio, mesmo ele configurando o proxy. Alguem ja implementou? Abraço, Fabio _____ Novos endereços, o Yahoo! que você conhece. Crie um email novo <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> com a sua cara @ymail.com <http://ymail.com/> ou @rocketmail.com <http://rocketmail.com/> . -- ____________ _________ _________ João Júnior GNU/LINUX Analista de Segurança e-mail [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> eti.br msn [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> .net skype xjoaojunior Fone: 32-99832248 / 38-91125678 _____ Novos endereços, o Yahoo! que você conhece. Crie um email novo <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> com a sua cara @ymail.com ou @rocketmail.com. _____ Novos endereços, o Yahoo! que você conhece. Crie um email novo <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> com a sua cara @ymail.com ou @rocketmail. com. _____ Novos endereços, o Yahoo! que você conhece. Crie um email novo <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> com a sua cara @ymail.com ou @rocketmail. com. _____ Novos endereços, o Yahoo! que você conhece. Crie um email novo <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> com a sua cara @ymail.com ou @rocketmail.com. _____ Novos endereços, o Yahoo! que você conhece. Crie <http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses> um email novo com a sua cara @ymail.com ou @rocketmail.com.
