Então amigo, qto a sua dica de usar um usuário comum, me passou pela cabeça,
ia ser um segundo teste, após todo o ambiente estivesse ok, pois eu
realmente não sabia se um usuário comum, iria conseguir ler toda a arvore de
usuários. Mas vou mudar sim, vlw pela dica.

 

Segue o log:  1247953524.063     44 192.168.1.99 TCP_DENIED/403 1382 GET
http://meuip.com.br/ caixa-sc NONE/- text/html

 

É isso que tenho no log qdo tento acesso e ele é restrito, mesmo que o site
participa da lista de sites liberado pela acl.

 

Ele pede login sim e aceita a autenticação, tanto é que se liber o acesso a
acl ALL, ele navega normalmente, porém não respeita a lista de site que
coloco.

E realmente, ele cai em acesso negado, poré não consigo entender pq acontece
isso, sendo que o site acima está na lista de sites liberado.

 

Uma pergunta, usando a config. de ntlm com winbind, a autenticação é feito
pelo ticket de logon do usuário no domínio? Ele não precisa se autenticar
para navegar..?

 

 

Vlw!

 

--

[.]´s

..:: S.e.r.i.a.L ::..

 

From: [email protected] [mailto:[email protected]] On
Behalf Of Adenilson Mezini - TI
Sent: domingo, 19 de julho de 2009 13:10
To: [email protected]
Subject: RES: [squid-br] Squid (LDAP) x Bloqueios

 

  

Serial,

 

O que aparece no LOG, para sabermos por que não libera o acesso.

 

Quando esta com a configuração abaixo, ele chega a pedir o login?

 

Eu utilizava a configuração no AD como a tua, hoje utilizo ntlm com winbind,
achei melhor.

 

Ah, e só uma dica, eu não utilizava o usuário Admin do domínio para fazer as
conexões, criei um usuário “comum” e funciona, não acho legal deixar a senha
do Admin aberta.

 

Agraços,

 

 

 

Atenciosamente,

 


cid:[email protected]

 

Adenilson Mezini 

ACP Computer Forensics
Tecnologia da Informação
GRUPO CARBINOX
[email protected]

 

 

Tel:  11 4795-9588
Fax: 11 4795-9595
Cel:  11 8578-3047
www.carbinox.com.br

 

 

 

 

De: [email protected] [mailto:[email protected]] Em nome
de Serial
Enviada em: sábado, 18 de julho de 2009 21:03
Para: Squid Br
Assunto: [squid-br] Squid (LDAP) x Bloqueios

 

  

Boa noite amigos,

 

Tenho um squid com autenticação LDAP em um AD (Windows2003).

Qto a autenticação, está tudo ok, porém qdo crio listas de bloqueio para
cada grupo, não funciona.

Veja:

 

Grupo de usuarios:

i_diretoria

i_vendas

 

Lista de bloqueio:

L_diretoria

L_vendas

 

Com isso, a diretoria apenas acessa o que contém em sua lista e o mesmo
serve para o grupo de vendas.

Uso a seguine configuração no squid.conf:

 

# Squid.conf

http_port 192.168.0.253:3128

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 100 16 4256

access_log /var/log/squid/access.log squid

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

pid_filename /var/run/squid.pid

 

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern (Release|Package(.gz)*)$        0       20%     2880

refresh_pattern .               0       20%     4320

 

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]

upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

visible_hostname proxy

hosts_file /etc/hosts

coredump_dir /var/spool/squid

error_directory /usr/share/squid/errors/Portuguese

dns_nameservers 4.2.2.2

 

# As linhas abaixo se referem a autenticaç de usuáos no

auth_param basic program /usr/lib/squid/ldap_auth -R -b
"dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w
"senha" -f sAMAccountName=%s -h 192.168.0.10

auth_param basic realm Digite sua senha de acesso a rede

auth_param basic children 5

auth_param basic credentialsttl 60 minutes

 

emulate_httpd_log on

mime_table /usr/local/squid/etc/mime.conf

ftp_user [email protected]

ftp_passive on

unlinkd_program /usr/lib/squid/unlinkd

 

# ACL externa para autenticacao nas bases LDAP do AD

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b
"dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w
"senha" -f
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=dominio,DC=loca
l))" -h 192.168.0.10

 

acl all src all

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl lan src 192.168.0.0/16      # RFC1918 possible internal network

#acl ip_diretoria src "/etc/squid/regras/ip_diretoria"

 

acl SSL_ports port 443          # https

acl SSL_ports port 563          # snews

acl SSL_ports port 873          # rsync

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl Safe_ports port 631         # cups

acl Safe_ports port 873         # rsync

acl Safe_ports port 901         # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

 

# Lista e grupo 

acl L_vendas url_regex -i "/etc/squid/regras/l_vendas"

acl L_diretoria url_regex -i "/etc/squid/regras/l_diretoria"

#

acl i_diretoria external ldap_group i_diretoria

acl i_vendas external ldap_group i_vendas

 

# Liberando ACL's

http_access allow i_diretoria L_diretoria

http_access allow i_vendas L_vendas

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

deny_info http://192.168.0.253/Proxy_erro.htm i_vendas i_diretoria

 

icp_access allow lan

http_reply_access allow lan

htcp_access allow lan

htcp_clr_access allow lan

ident_lookup_access allow lan

reply_body_max_size 0 allow lan

 

Dessa maneira, ninguém acessa nada, é como se caisse direto na acl de deny
all.

 

Porém se aplico a mesma lógica para uma autenticação via passwd, ou então um
controle de acesso por lista de IP’s, funciona o bloqueio, apenas qdo está
sobre LDAP que não funciona.

 

Outro cenário que funciona é, se os usuarios de ambos grupos lerem apenas
uma lista, exemplo:

http_access allow i_diretoria

http_access allow i_vendas

http_access allow L_diretoria

 

Segui o documento:
http://www.squid-cache.org.br/index.php?option=com_content
<http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&;
Itemid=27> &task=view&id=50&Itemid=27  e pelo que entendi é pra funcionar.

 

Alguém saberia poderia me ajudar?

 

Obrigado

 

 

 

--

[.]´s

..:: S.e.r.i.a.L ::..

 

  _____  

O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é
dirigido apenas para conhecimento do seu destinatário. Não implica em
assunção de responsabilidade e/ou contratação de qualquer outra espécie, as
quais sempre serão feitas por escrito e através de instrumento próprio. A
divulgação do conteúdo desta mensagem é crime nos termos da legislação
vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas
da lei.

Colabore com sua empresa e com o meio ambiente, só imprima se extremamente
necessário.



<<image001.gif>>

Responder a