Bom dia Adenilson, o site eh apenas http://www.meuip.com.br. A palavra caixa-sc, eh o nome do usuario que esta se autenticando. O site nao é local, eh aquele site de verificação de ip, nao sei se vc conhee... na linha lista de sites permitidos, está apenas: meuip.com.br
O teste que vc disse abaixo pra fazer, já cheguei a fazer, o grupo irá navegar sim, caso eu tenha essa acl http_access allow all Se tiver em: http_access deny all Ae não navega. Existe alguam restrição em usar underline "_" em nomes de acl, qdo se usa autencação via ldap?? pode parecer uma pergunta besta, mas até isso me passou pela cabeça, pois não tenho experiencia com autenticação de proxy sobre ldap.... Vlw Serial 2009/7/20 Adenilson Mezini - TI <[email protected]> > > > Bom dia, Serial. > > > > Então, no teu log tu pos algo como HTTP://meuip.com.br/caixa-sc > > > > Este site é local? > > > > Analisando o teu squid.conf, aparentemente os parâmetros de autenticação > estão corretos. > > > > Façamos um teste, então: > > > > Se você retirar a regra que permite os sites específicos para o grupo > diretoria (deixar somente HTTP_Access allow i_diretoria) ele navega? > > > > Pois ai matamos o erro, se é na autenticação do AD ou na lista de sites > permitidos. > > > > Sobre winbind com NTLM, aqui no grupo já disseram que é possível utilizar > ntlm com o ldap_group, mas eu não consegui. > > > > E sim, com o winbind e ntlm o browser passa os parâmetros de ticket para o > squid, e não é solicitado a senha, a não ser quando esta opção não é > possível no momento (ex: estação que não pertence ao domínio). > > > > Abraços. > > > > > > > > Atenciosamente, > > > > [image: cid:[email protected]] > > > > *Adenilson Mezini* > > ACP Computer Forensics > Tecnologia da Informação > *GRUPO CARBINOX* > [email protected] > > > > > > Tel: 11 4795-9588 > Fax: 11 4795-9595 > Cel: 11 8578-3047 > www.carbinox.com.br > > > > > > *De:* [email protected] [mailto:[email protected]] *Em > nome de *Serial > *Enviada em:* domingo, 19 de julho de 2009 16:04 > *Para:* [email protected] > *Assunto:* RE: [squid-br] Squid (LDAP) x Bloqueios > > > > > > Então amigo, qto a sua dica de usar um usuário comum, me passou pela > cabeça, ia ser um segundo teste, após todo o ambiente estivesse ok, pois eu > realmente não sabia se um usuário comum, iria conseguir ler toda a arvore de > usuários. Mas vou mudar sim, vlw pela dica. > > > > Segue o log*: 1247953524.063 44 192.168.1.99 TCP_DENIED/403 1382 GET > http://meuip.com.br/ caixa-sc NONE/- text/html* > > > > É isso que tenho no log qdo tento acesso e ele é restrito, mesmo que o site > participa da lista de sites liberado pela acl. > > > > Ele pede login sim e aceita a autenticação, tanto é que se liber o acesso a > acl ALL, ele navega normalmente, porém não respeita a lista de site que > coloco. > > E realmente, ele cai em acesso negado, poré não consigo entender pq > acontece isso, sendo que o site acima está na lista de sites liberado. > > > > Uma pergunta, usando a config. de ntlm com winbind, a autenticação é feito > pelo ticket de logon do usuário no domínio? Ele não precisa se autenticar > para navegar..? > > > > > > Vlw! > > > > -- > > [.]´s > > ..:: S.e.r.i.a.L ::.. > > > > *From:* [email protected] [mailto:[email protected]] *On > Behalf Of *Adenilson Mezini - TI > *Sent:* domingo, 19 de julho de 2009 13:10 > *To:* [email protected] > *Subject:* RES: [squid-br] Squid (LDAP) x Bloqueios > > > > > > Serial, > > > > O que aparece no LOG, para sabermos por que não libera o acesso. > > > > Quando esta com a configuração abaixo, ele chega a pedir o login? > > > > Eu utilizava a configuração no AD como a tua, hoje utilizo ntlm com > winbind, achei melhor. > > > > Ah, e só uma dica, eu não utilizava o usuário Admin do domínio para fazer > as conexões, criei um usuário “comum” e funciona, não acho legal deixar a > senha do Admin aberta. > > > > Agraços, > > > > > > > > Atenciosamente, > > > > [image: cid:[email protected]] > > > > *Adenilson Mezini* > > ACP Computer Forensics > Tecnologia da Informação > *GRUPO CARBINOX* > [email protected] > > > > > > Tel: 11 4795-9588 > Fax: 11 4795-9595 > Cel: 11 8578-3047 > www.carbinox.com.br > > > > > > > > > > *De:* [email protected] [mailto:[email protected]] *Em > nome de *Serial > *Enviada em:* sábado, 18 de julho de 2009 21:03 > *Para:* Squid Br > *Assunto:* [squid-br] Squid (LDAP) x Bloqueios > > > > > > Boa noite amigos, > > > > Tenho um squid com autenticação LDAP em um AD (Windows2003). > > Qto a autenticação, está tudo ok, porém qdo crio listas de bloqueio para > cada grupo, não funciona. > > Veja: > > > > Grupo de usuarios: > > i_diretoria > > i_vendas > > > > Lista de bloqueio: > > L_diretoria > > L_vendas > > > > Com isso, a diretoria apenas acessa o que contém em sua lista e o mesmo > serve para o grupo de vendas. > > Uso a seguine configuração no *squid.conf*: > > > > # Squid.conf > > http_port 192.168.0.253:3128 > > hierarchy_stoplist cgi-bin ? > > cache_dir ufs /var/spool/squid 100 16 4256 > > access_log /var/log/squid/access.log squid > > cache_log /var/log/squid/cache.log > > cache_store_log /var/log/squid/store.log > > pid_filename /var/run/squid.pid > > > > refresh_pattern ^ftp: 1440 20% 10080 > > refresh_pattern ^gopher: 1440 0% 1440 > > refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 > > refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 > > refresh_pattern . 0 20% 4320 > > > > acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] > > upgrade_http0.9 deny shoutcast > > acl apache rep_header Server ^Apache > > broken_vary_encoding allow apache > > extension_methods REPORT MERGE MKACTIVITY CHECKOUT > > visible_hostname proxy > > hosts_file /etc/hosts > > coredump_dir /var/spool/squid > > error_directory /usr/share/squid/errors/Portuguese > > dns_nameservers 4.2.2.2 > > > > # As linhas abaixo se referem a autenticaç de usuáos no > > auth_param basic program /usr/lib/squid/ldap_auth -R -b > "dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w > "senha" -f sAMAccountName=%s -h 192.168.0.10 > > auth_param basic realm Digite sua senha de acesso a rede > > auth_param basic children 5 > > auth_param basic credentialsttl 60 minutes > > > > emulate_httpd_log on > > mime_table /usr/local/squid/etc/mime.conf > > ftp_user [email protected] > > ftp_passive on > > unlinkd_program /usr/lib/squid/unlinkd > > > > # ACL externa para autenticacao nas bases LDAP do AD > > external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b > "dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w > "senha" -f > "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=dominio,DC=local))" > -h 192.168.0.10 > > > > acl all src all > > acl manager proto cache_object > > acl localhost src 127.0.0.1/32 > > acl to_localhost dst 127.0.0.0/8 > > acl lan src 192.168.0.0/16 # RFC1918 possible internal network > > #acl ip_diretoria src "/etc/squid/regras/ip_diretoria" > > > > acl SSL_ports port 443 # https > > acl SSL_ports port 563 # snews > > acl SSL_ports port 873 # rsync > > acl Safe_ports port 80 # http > > acl Safe_ports port 21 # ftp > > acl Safe_ports port 443 # https > > acl Safe_ports port 70 # gopher > > acl Safe_ports port 210 # wais > > acl Safe_ports port 1025-65535 # unregistered ports > > acl Safe_ports port 280 # http-mgmt > > acl Safe_ports port 488 # gss-http > > acl Safe_ports port 591 # filemaker > > acl Safe_ports port 777 # multiling http > > acl Safe_ports port 631 # cups > > acl Safe_ports port 873 # rsync > > acl Safe_ports port 901 # SWAT > > acl purge method PURGE > > acl CONNECT method CONNECT > > > > # Lista e grupo > > acl L_vendas url_regex -i "/etc/squid/regras/l_vendas" > > acl L_diretoria url_regex -i "/etc/squid/regras/l_diretoria" > > # > > acl i_diretoria external ldap_group i_diretoria > > acl i_vendas external ldap_group i_vendas > > > > # Liberando ACL's > > *http_access allow i_diretoria L_diretoria* > > *http_access allow i_vendas L_vendas* > > http_access allow manager localhost > > http_access deny manager > > http_access allow purge localhost > > http_access deny purge > > http_access deny !Safe_ports > > http_access deny CONNECT !SSL_ports > > http_access allow localhost > > http_access deny all > > deny_info http://192.168.0.253/Proxy_erro.htm i_vendas i_diretoria > > > > icp_access allow lan > > http_reply_access allow lan > > htcp_access allow lan > > htcp_clr_access allow lan > > ident_lookup_access allow lan > > reply_body_max_size 0 allow lan > > > > Dessa maneira, ninguém acessa nada, é como se caisse direto na acl de deny > all. > > > > Porém se aplico a mesma lógica para uma autenticação via passwd, ou então > um controle de acesso por lista de IP’s, funciona o bloqueio, apenas qdo > está sobre LDAP que não funciona. > > > > Outro cenário que funciona é, se os usuarios de ambos grupos lerem apenas > uma lista, exemplo: > > *http_access allow i_diretoria* > > *http_access allow i_vendas* > > *http_access allow L_diretoria* > > > > Segui o documento: > http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&Itemid=27 > e pelo que entendi é pra funcionar. > > > > Alguém saberia poderia me ajudar? > > > > Obrigado > > > > > > > > -- > > [.]´s > > ..:: S.e.r.i.a.L ::.. > > > ------------------------------ > > O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é > dirigido apenas para conhecimento do seu destinatário. Não implica em > assunção de responsabilidade e/ou contratação de qualquer outra espécie, as > quais sempre serão feitas por escrito e através de instrumento próprio. A > divulgação do conteúdo desta mensagem é crime nos termos da legislação > vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas > da lei. > > Colabore com sua empresa e com o meio ambiente, só imprima se extremamente > necessário. > > > ------------------------------ > O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é > dirigido apenas para conhecimento do seu destinatário. Não implica em > assunção de responsabilidade e/ou contratação de qualquer outra espécie, as > quais sempre serão feitas por escrito e através de instrumento próprio. A > divulgação do conteúdo desta mensagem é crime nos termos da legislação > vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas > da lei. > > Colabore com sua empresa e com o meio ambiente, só imprima se extremamente > necessário. > > -- [.]´s ..:: S.e.r.i.a.L ::..
<<image001.gif>>
