Sem começar nenhuma guerra santa, mas, o que o Fábio quer é algo parecido com 
as regras que o ISA Server permite fazer, liberar ou negar acessos e adicionar 
a diretiva “Authenticated Users” como forma de controle adicional de quem pode 
ou não usar aquela regra (pois, o ISA checa se o usuário está autenticado 
diretamente no active directory, não pergunta por login e senha se você 
informar o proxy manualmente, como no caso do Fábio).

 

Nunca vi o squid fazer este tipo de controle, pois, mesmo que ofsse possível 
setar algo parecido como “password server” do samba, para dizer onde o daemon 
iria buscar a autenticação, se o usuário informar manualmente login e senha, 
ele terá o acesso liberado.

 

Pergunta básica: não é possível remover os usuários locais das máquinas ? Acho 
que isto te pouparia muito mais trabalho.

 

Se conseguir fazer o que pretende, por favor, não esqueça de compartilhar a 
experiência conosco.

 

Cumprimentos,

 

Anderson da Silva Leite

Engenheiro de Comunicações e Segurança
Direcção de Sistemas de Informação e Tecnologias

Banco de Negócios Internacional 

Rua Major Kanhangulo, nº 134

Cx. Posta: 578

Luanda - Angola

 <Tel:+244222370080/+244923330225> Tel: (+244) 222 63 29 00 / (+244) 222 63 29 
77 
Telemóvel: (+244) 928 50 94 94

Fax: (+244) 222 37 18 87

 

De: [email protected] [mailto:[EMAIL PROTECTED] Em nome de Marcos 
Dutra
Enviada em: quarta-feira, 3 de Setembro de 2008 19:07
Para: [email protected]
Assunto: Res: Res: [squid-br] squid+ntlm+acesso negado fora do dominio

 

Mas aí não vai ter jeito mesmo Fabio pq vou te explicar o seguinte:
Até quando o brownser requisitar a acesso e o squid verificar a autenticação, 
ele não sabe em qual grupo ou domínio que ele entrou entendeu, a única coisa 
que o protocolo ntlm ajuda no processo de autenticação é não mostrar a tela de 
autenticação e só. Portanto vc não tem como bloquear um navegador antes de se 
autenticar entendeu.

Marcos

 

----- Mensagem original ----
De: fabio nery <[EMAIL PROTECTED]>
Para: [email protected]
Enviadas: Quarta-feira, 3 de Setembro de 2008 14:24:31
Assunto: Re: Res: [squid-br] squid+ntlm+acesso negado fora do dominio


Marcos,

     Maquinas no dominio ja recebem GPO de configuraçao do browser, o problema 
nao é maquina no dominio, o problema é o cara logar local, ai ele vai la e seta 
o browser, vai pedir nome de usuario e senha, ai ele vai navegar. Eu nao quero 
q usuarios que loguem fora do dominio consigam navegar, mesmo setando o 
browser, nao quero que solicite nome de usuario e senha mesmo setando o browser 
para quem loga localmente, quero q seja negado de cara, sem nem pedir conta.

Abraço,

Fabio

--- Em qua, 3/9/08, Marcos Dutra <[EMAIL PROTECTED]> escreveu:

De: Marcos Dutra <[EMAIL PROTECTED]>
Assunto: Res: [squid-br] squid+ntlm+acesso negado fora do dominio
Para: [email protected]
Data: Quarta-feira, 3 de Setembro de 2008, 12:44

Fabio, acho que o esquem é ao invés de criar o esquema no squid (acho que não 
dá) colocar uma GPO no AD para setar o proxy quem estiver no grupo e quem não 
estiver não tem proxy setado, acho que é isso aí, o único problema são os 
browsers tipo opera ou firefox que não pegam as configurações via GPO mas aí 
acho que dá para dar um jeitinho diferente.

Marcos

 

----- Mensagem original ----
De: fabio nery <fcosta_nery@ yahoo.com. br>
Para: [EMAIL PROTECTED] s.com.br
Enviadas: Terça-feira, 2 de Setembro de 2008 10:25:07
Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio


Luiz,

     Já fiz este teste e isto não vai evitar que seja solicitado nome de 
usuario e senha, eu quero que logado fora do dominio não solicite nome de 
usuario e senha, é pra negar sem pedir nada, ele esta logado fora do dominio, 
entao nao é pra acessar.

Flw,

Fabio

--- Em ter, 2/9/08, Luiz Felipe Ferreira <[EMAIL PROTECTED] com> escreveu:

De: Luiz Felipe Ferreira <[EMAIL PROTECTED] com>
Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio
Para: [EMAIL PROTECTED] s.com.br
Data: Terça-feira, 2 de Setembro de 2008, 9:57

Fabio,

Você pode colocar uma acl asim:

acl acesso proxy_auth REQUIRED (Solicitando a autenticação no domínio)
http_access allow acesso (Liberando usuários autenticados)

Luiz Felipe Ferreira

2008/9/2 fabio nery <fcosta_nery@ <mailto:[EMAIL PROTECTED]>  yahoo.com. br>


Bom dia,

      Quero evitar que usuarios que não loguem no dominio consigam navegar, qd 
logar fora do dominio não quero que solicite senha, quero que negue o acesso. 
Logando fora do dominio não é pra ter acesso, mesmo q configure o proxy.

Abraço,

Fabio

--- Em ter, 2/9/08, João Júnior <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>  
.net> escreveu:

De: João Júnior <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>  .net>
Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio
Para: [EMAIL PROTECTED] <mailto:[email protected]>  s.com.br
Data: Terça-feira, 2 de Setembro de 2008, 8:35

bom dia... 
 
nas estações fora do dominio , usa-se para o campo usuário:
DOMINIO\USUARIO

Espero ter ajudado...
 
abraços..

2008/8/29 fabio nery <fcosta_nery@ <mailto:[EMAIL PROTECTED]>  yahoo.com. br>


Bom dia a todos,

    Alguem sabe me dizer como faço pro squid apresentar uma pagina de acesso 
negado para estações usuarios que não estejam logados no dominio? Tenho um 
squid com autenticaçao ntlm, tudo ta funcionando certinho, porem quando pessoas 
logam fora do dominio e configuram o proxy no IE ele pede nome de usuario e 
senha do dominio, o usuario digita nome de usuario e senha e navega, gostaria 
que isto nao fosse possivel, gostaria que nem sequer a tela fosse apresentada 
quando logado fora do dominio, mesmo ele configurando o proxy. Alguem ja 
implementou?

Abraço,

Fabio

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie um email novo 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  com a sua cara @ymail.com <http://ymail.com/>  ou @rocketmail.com 
<http://rocketmail.com/> . 




-- 
____________ _________ _________
João Júnior
GNU/LINUX Analista de Segurança
e-mail [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>  eti.br
msn [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>  .net
skype xjoaojunior
Fone: 32-99832248 / 38-91125678

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie um email novo 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  com a sua cara @ymail.com ou @rocketmail.com. 

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie um email novo 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  com a sua cara @ymail.com ou @rocketmail. com. 

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie um email novo 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  com a sua cara @ymail.com ou @rocketmail. com. 

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie um email novo 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  com a sua cara @ymail.com ou @rocketmail.com. 

 

  _____  

Novos endereços, o Yahoo! que você conhece. Crie 
<http://br.rd.yahoo.com/mail/taglines/mail/*http:/br.new.mail.yahoo.com/addresses>
  um email novo com a sua cara @ymail.com ou @rocketmail.com.

 

Responder a