blz amigo,

vo testar hj e te falo o que deu.
Soh uma duvida, qdo vc diz problema de autenticação com o AD, vc se refere a
que especificamente?? só pra saber, quem sabe posso ir vendo alguma coisa no
AD, tb.

Vlw pela força.

2009/8/3 Adenilson Mezini - TI <[email protected]>

>
>
>  Serial,
>
>
>
> Estava sem uma distro aqui para testar e instalei o Squid no XP e fiz as
> configurações para conectar no AD e funcionou blz.
>
>
>
> Eu ainda acho que teu problema esta na autenticação com o AD.
>
>
>
> Experimente fazer o teste com o conf abaixo, só alterando as configurações
> para a tua distro, os caminhos do ldap_auth, usuário/senha e ip do
> servidor.....etc
>
>
>
> PS: Ah, coloca as letras maiúsculas e minúsculas exatamente como segue.
>
>
>
> Abraços.
>
>
>
>
>
> #             WELCOME TO SQUID 2.7.STABLE6
>
> #             ----------------------------
>
> *auth_param basic program C:/squid/libexec/squid_ldap_auth.exe -R -b
> "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w
> "PASSWORD" -f sAMAccountName=%s -h 192.168.0.254*
>
> auth_param basic children 5
>
> auth_param basic realm Squid proxy-caching web server
>
> auth_param basic credentialsttl 2 hours
>
> auth_param basic casesensitive off
>
> *external_acl_type ACL_LDAP %LOGIN C:/squid/libexec/squid_ldap_group.exe
> -R -b "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w
> "PASSWORD" -f
> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=dominio,dc=local))"
> -h 192.168.0.254*
>
> acl all src all
>
> acl manager proto cache_object
>
> acl localhost src 127.0.0.1/32
>
> acl to_localhost dst 127.0.0.0/8
>
> acl localnet src 10.0.0.0/8             # RFC1918 possible internal
> network
>
> acl localnet src 172.16.0.0/12      # RFC1918 possible internal network
>
> acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
>
> #
>
> acl SSL_ports port 443
>
> acl Safe_ports port 80                   # http
>
> acl Safe_ports port 21                   # ftp
>
> acl Safe_ports port 443                # https
>
> acl Safe_ports port 70                   # gopher
>
> acl Safe_ports port 210                # wais
>
> acl Safe_ports port 1025-65535 # unregistered ports
>
> acl Safe_ports port 280                # http-mgmt
>
> acl Safe_ports port 488                # gss-http
>
> acl Safe_ports port 591                # filemaker
>
> acl Safe_ports port 777                # multiling http
>
> acl CONNECT method CONNECT
>
> http_access allow manager localhost
>
> http_access deny manager
>
> http_access deny !Safe_ports
>
> http_access deny CONNECT !SSL_ports
>
> *acl PermiteNet external ACL_LDAP GDL_AcessoTotal*
>
> *http_access allow PermiteNet*
>
> *http_access allow localnet*
>
> *http_access deny all*
>
> icp_access allow localnet
>
> icp_access deny all
>
> http_port 3128
>
> hierarchy_stoplist cgi-bin ?
>
> cache_dir ufs d:/squid/var/cache 100 16 256
>
> access_log c:/squid/var/logs/access.log squid
>
> mime_table c:/squid/etc/mime.conf
>
> refresh_pattern ^ftp:                   1440      20%       10080
>
> refresh_pattern ^gopher:          1440      0%          1440
>
> refresh_pattern -i (/cgi-bin/|\?) 0          0%          0
>
> refresh_pattern .                           0             20%       4320
>
> acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
>
> upgrade_http0.9 deny shoutcast
>
> acl apache rep_header Server ^Apache
>
> broken_vary_encoding allow apache
>
> coredump_dir c:/squid/var/cache
>
>
>
> Atenciosamente,
>
>
>
> [image: cid:[email protected]]
>
>
>
> *Adenilson Mezini*
>
> ACP Computer Forensics
> Tecnologia da Informação
> *GRUPO CARBINOX*
> [email protected]
>
>
>
>
>
> Tel:  11 4795-9588
> Fax: 11 4795-9595
> Cel:  11 8578-3047
> www.carbinox.com.br
>
>
>
>
>
> *De:* [email protected] [mailto:[email protected]] *Em
> nome de *Serial
> *Enviada em:* quarta-feira, 29 de julho de 2009 22:10
> *Para:* [email protected]
> *Assunto:* RE: [squid-br] Squid (LDAP) x Bloqueios
>
>
>
>
>
> Adenilson,
>
> É exatamente isso que acontece aqui.
>
>
>
> Fiz o que vc disse, porem não funcionou, ele fica pedindo autenticação
> direito.
>
> Usando a mesma linha que vc falou, alterei apenas para o usário
> administrator para fazer a pesquisa, ae a autenticação é aceita, porém
> ocorre o problema que vc tb teve ae no teu lab.
>
>
>
> Cheguei a colocar o usuario squid no grupo Ent. Admins, Schema Admins e
> Administrators e mesmo assim o problema de autenticação continua.
>
>
>
> Realmente, apenas aceita a autenticação qdo pedi para fazer a pesquisa com
> o usuário administrator.
>
>
>
>
>
> --
>
> [.]´s
>
> ..:: S.e.r.i.a.L ::..
>
>
>
> *From:* [email protected] [mailto:[email protected]] *On
> Behalf Of *Adenilson Mezini - TI
> *Sent:* terça-feira, 28 de julho de 2009 18:46
> *To:* [email protected]
> *Subject:* RES: [squid-br] Squid (LDAP) x Bloqueios
>
>
>
>
>
> Serial, to achando que teu erro é na autenticação do LDAP.
>
>
>
> Fiz um teste aqui, alterando a senha do meu usuário de acesso ao AD e
> obtive os mesmos erros no log.
>
>
>
> TCP_DENIED/407 – A hora que pedia credenciais.
>
> TCP_DENIED/403 – Quando eu entrava com as credenciais
>
>
>
> Logo após entrar com o usuário e senha obtinha a pagina de Acesso Negado.
>
>
>
> É isso que esta acontecendo contigo????
>
>
>
> Cria uma OU no teu AD chamada Squid, na raiz do teu domínio, crie um
> usuário squid dentro e coloque a linha de autenticação no squid, assim:
>
>
>
> auth_param basic program /usr/lib/squid/ldap_auth –R –b
> “dc=dominio,dc=local” –D “cn=squid,ou=Squid,dc=domínio,dc=local” –w
> “SenhaUserSquid” -f sAMAccountName=%s –h <ip do AD>
>
>
>
> external_acl_type ACL_LDAP %LOGIN /usr/lib/squid/squid_ldap_group –R –b
> ““dc=dominio,dc=local” –D “cn=squid,ou=Squid,dc=domínio,dc=local” –w
> “SenhaUserSquid” -f
> “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=domínio,dc=local))”
> –h <ip do AD>
>
>
>
> acl PermiteAcesso external ACL_LDAP Grupo_AD_Acesso
>
>
>
>
>
> http_access allow PermiteAcesso
>
> http_access deny all
>
>
>
> Abraços,
>
>
>
>
>
> Atenciosamente,
>
>
>
> [image: cid:[email protected]]
>
>
>
> *Adenilson Mezini*
>
> ACP Computer Forensics
> Tecnologia da Informação
> *GRUPO CARBINOX*
> [email protected]
>
>
>
>
>
> Tel:  11 4795-9588
> Fax: 11 4795-9595
> Cel:  11 8578-3047
> www.carbinox.com.br
>
>
>
>
>
> *De:* [email protected] [mailto:[email protected]] *Em
> nome de *[email protected]
> *Enviada em:* segunda-feira, 27 de julho de 2009 22:39
> *Para:* [email protected]
> *Assunto:* Re: [squid-br] Squid (LDAP) x Bloqueios
>
>
>
>
>
> Olá,
>
> Sugestão: associe um deny_info com cada ACL que checar em http_access.
>
> Use um arquivo diferente, no padrão
> ERR_ACCESS_DENIED_algumacoisaaqui, para cada uma das ACLs. Dentro de
> cada arquivo desses (cada um associado a um deny_info), você coloca um
> código diferente.
>
> Com isso, você vai conseguir encontrar a ACL que bloqueou o acesso
> (sei que há como fazer isso aumentando o debug do squid.conf, mas
> prefiro fazer assim, pois é como uso no cotidiano).
>
> Identificada a ACL que 'disparou' o bloqueio, saberá mais sobre o problema.
>
> Obs.: estou considerando como 'certeza' que suas consultas ao LDAP
> estão todas funcionando adequadamente.
>
> Lembrete: salvo engano, quando há mais de uma ACL sendo verificada
> na mesma linha ( AND ), a que 'dispara o deny_info' é a última
> verificada (a última da linha).
>
> Obrigado.
>
> Cássio
>
> 2009/7/27 Serial <[email protected] <skroot%40gmail.com>>:
> >
> >
> > Entao amigo,
> >
> >
> >
> > Alterei o arquivo aonde estão os sites para ficar no padrão dstdomain,
> como
> > vc disse abaixo.
> >
> > Notei que o ero 407 aparece qdo chamo o site,tipo, ele primeiro registra
> no
> > log a tentativa de acesso ao site, depois me requisita a autenticação,
> > depois de autenticado ele da o erro 403.
> >
> >
> >
> > Liberei o http_acesso para os grupos acessarem seus sites, mesmo assim
> eles
> > não acessam L
> >
> >
> >
> > Cara nunca apanhei tanto do squid, como to apanhando agora...
> >
>
>
>  ------------------------------
>
> O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é
> dirigido apenas para conhecimento do seu destinatário. Não implica em
> assunção de responsabilidade e/ou contratação de qualquer outra espécie, as
> quais sempre serão feitas por escrito e através de instrumento próprio. A
> divulgação do conteúdo desta mensagem é crime nos termos da legislação
> vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas
> da lei.
>
> Colabore com sua empresa e com o meio ambiente, só imprima se extremamente
> necessário.
>
>
> ------------------------------
> O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é
> dirigido apenas para conhecimento do seu destinatário. Não implica em
> assunção de responsabilidade e/ou contratação de qualquer outra espécie, as
> quais sempre serão feitas por escrito e através de instrumento próprio. A
> divulgação do conteúdo desta mensagem é crime nos termos da legislação
> vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas
> da lei.
>
> Colabore com sua empresa e com o meio ambiente, só imprima se extremamente
> necessário.
>   
>



-- 
[.]´s
..:: S.e.r.i.a.L ::..

<<image001.gif>>

Responder a