Serial,

O que aparece no LOG, para sabermos por que não libera o acesso.

Quando esta com a configuração abaixo, ele chega a pedir o login?

Eu utilizava a configuração no AD como a tua, hoje utilizo ntlm com winbind, 
achei melhor.

Ah, e só uma dica, eu não utilizava o usuário Admin do domínio para fazer as 
conexões, criei um usuário "comum" e funciona, não acho legal deixar a senha do 
Admin aberta.

Agraços,



Atenciosamente,

[cid:[email protected]]



Adenilson Mezini
ACP Computer Forensics
Tecnologia da Informação
GRUPO CARBINOX
[email protected]<mailto:[email protected]>




Tel:  11 4795-9588
Fax: 11 4795-9595
Cel:  11 8578-3047
www.carbinox.com.br<http://www.carbinox.com.br>





De: [email protected] [mailto:[email protected]] Em nome de 
Serial
Enviada em: sábado, 18 de julho de 2009 21:03
Para: Squid Br
Assunto: [squid-br] Squid (LDAP) x Bloqueios


Boa noite amigos,

Tenho um squid com autenticação LDAP em um AD (Windows2003).
Qto a autenticação, está tudo ok, porém qdo crio listas de bloqueio para cada 
grupo, não funciona.
Veja:

Grupo de usuarios:
i_diretoria
i_vendas

Lista de bloqueio:
L_diretoria
L_vendas

Com isso, a diretoria apenas acessa o que contém em sua lista e o mesmo serve 
para o grupo de vendas.
Uso a seguine configuração no squid.conf:

# Squid.conf
http_port 192.168.0.253:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 100 16 4256
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname proxy
hosts_file /etc/hosts
coredump_dir /var/spool/squid
error_directory /usr/share/squid/errors/Portuguese
dns_nameservers 4.2.2.2

# As linhas abaixo se referem a autenticaç de usuáos no
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=dominio,dc=local" 
-D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w "senha" -f 
sAMAccountName=%s -h 192.168.0.10
auth_param basic realm Digite sua senha de acesso a rede
auth_param basic children 5
auth_param basic credentialsttl 60 minutes

emulate_httpd_log on
mime_table /usr/local/squid/etc/mime.conf
ftp_user [email protected]
ftp_passive on
unlinkd_program /usr/lib/squid/unlinkd

# ACL externa para autenticacao nas bases LDAP do AD
external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b 
"dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w 
"senha" -f 
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=dominio,DC=local))"
 -h 192.168.0.10

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl lan src 192.168.0.0/16      # RFC1918 possible internal network
#acl ip_diretoria src "/etc/squid/regras/ip_diretoria"

acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Lista e grupo
acl L_vendas url_regex -i "/etc/squid/regras/l_vendas"
acl L_diretoria url_regex -i "/etc/squid/regras/l_diretoria"
#
acl i_diretoria external ldap_group i_diretoria
acl i_vendas external ldap_group i_vendas

# Liberando ACL's
http_access allow i_diretoria L_diretoria
http_access allow i_vendas L_vendas
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
deny_info http://192.168.0.253/Proxy_erro.htm i_vendas i_diretoria

icp_access allow lan
http_reply_access allow lan
htcp_access allow lan
htcp_clr_access allow lan
ident_lookup_access allow lan
reply_body_max_size 0 allow lan

Dessa maneira, ninguém acessa nada, é como se caisse direto na acl de deny all.

Porém se aplico a mesma lógica para uma autenticação via passwd, ou então um 
controle de acesso por lista de IP's, funciona o bloqueio, apenas qdo está 
sobre LDAP que não funciona.

Outro cenário que funciona é, se os usuarios de ambos grupos lerem apenas uma 
lista, exemplo:
http_access allow i_diretoria
http_access allow i_vendas
http_access allow L_diretoria

Segui o documento: 
http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&Itemid=27
  e pelo que entendi é pra funcionar.

Alguém saberia poderia me ajudar?

Obrigado



--
[.]´s
..:: S.e.r.i.a.L ::..


________________________________
O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é 
dirigido apenas para conhecimento do seu destinatário. Não implica em assunção 
de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre 
serão feitas por escrito e através de instrumento próprio. A divulgação do 
conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o 
destinatário da mesma, favor inutilizá-la, sob as penas da lei.

Colabore com sua empresa e com o meio ambiente, só imprima se extremamente 
necessário.

<<inline: image001.gif>>

Responder a