blz amigo, vo testar hj e te falo o que deu. Soh uma duvida, qdo vc diz problema de autenticação com o AD, vc se refere a que especificamente?? só pra saber, quem sabe posso ir vendo alguma coisa no AD, tb.
Vlw pela força. 2009/8/3 Adenilson Mezini - TI <[email protected]> > > > Serial, > > > > Estava sem uma distro aqui para testar e instalei o Squid no XP e fiz as > configurações para conectar no AD e funcionou blz. > > > > Eu ainda acho que teu problema esta na autenticação com o AD. > > > > Experimente fazer o teste com o conf abaixo, só alterando as configurações > para a tua distro, os caminhos do ldap_auth, usuário/senha e ip do > servidor.....etc > > > > PS: Ah, coloca as letras maiúsculas e minúsculas exatamente como segue. > > > > Abraços. > > > > > > # WELCOME TO SQUID 2.7.STABLE6 > > # ---------------------------- > > *auth_param basic program C:/squid/libexec/squid_ldap_auth.exe -R -b > "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w > "PASSWORD" -f sAMAccountName=%s -h 192.168.0.254* > > auth_param basic children 5 > > auth_param basic realm Squid proxy-caching web server > > auth_param basic credentialsttl 2 hours > > auth_param basic casesensitive off > > *external_acl_type ACL_LDAP %LOGIN C:/squid/libexec/squid_ldap_group.exe > -R -b "dc=dominio,dc=local" -D "cn=squid,ou=Squid,dc=dominio,dc=local" -w > "PASSWORD" -f > "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=dominio,dc=local))" > -h 192.168.0.254* > > acl all src all > > acl manager proto cache_object > > acl localhost src 127.0.0.1/32 > > acl to_localhost dst 127.0.0.0/8 > > acl localnet src 10.0.0.0/8 # RFC1918 possible internal > network > > acl localnet src 172.16.0.0/12 # RFC1918 possible internal network > > acl localnet src 192.168.0.0/16 # RFC1918 possible internal network > > # > > acl SSL_ports port 443 > > acl Safe_ports port 80 # http > > acl Safe_ports port 21 # ftp > > acl Safe_ports port 443 # https > > acl Safe_ports port 70 # gopher > > acl Safe_ports port 210 # wais > > acl Safe_ports port 1025-65535 # unregistered ports > > acl Safe_ports port 280 # http-mgmt > > acl Safe_ports port 488 # gss-http > > acl Safe_ports port 591 # filemaker > > acl Safe_ports port 777 # multiling http > > acl CONNECT method CONNECT > > http_access allow manager localhost > > http_access deny manager > > http_access deny !Safe_ports > > http_access deny CONNECT !SSL_ports > > *acl PermiteNet external ACL_LDAP GDL_AcessoTotal* > > *http_access allow PermiteNet* > > *http_access allow localnet* > > *http_access deny all* > > icp_access allow localnet > > icp_access deny all > > http_port 3128 > > hierarchy_stoplist cgi-bin ? > > cache_dir ufs d:/squid/var/cache 100 16 256 > > access_log c:/squid/var/logs/access.log squid > > mime_table c:/squid/etc/mime.conf > > refresh_pattern ^ftp: 1440 20% 10080 > > refresh_pattern ^gopher: 1440 0% 1440 > > refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 > > refresh_pattern . 0 20% 4320 > > acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] > > upgrade_http0.9 deny shoutcast > > acl apache rep_header Server ^Apache > > broken_vary_encoding allow apache > > coredump_dir c:/squid/var/cache > > > > Atenciosamente, > > > > [image: cid:[email protected]] > > > > *Adenilson Mezini* > > ACP Computer Forensics > Tecnologia da Informação > *GRUPO CARBINOX* > [email protected] > > > > > > Tel: 11 4795-9588 > Fax: 11 4795-9595 > Cel: 11 8578-3047 > www.carbinox.com.br > > > > > > *De:* [email protected] [mailto:[email protected]] *Em > nome de *Serial > *Enviada em:* quarta-feira, 29 de julho de 2009 22:10 > *Para:* [email protected] > *Assunto:* RE: [squid-br] Squid (LDAP) x Bloqueios > > > > > > Adenilson, > > É exatamente isso que acontece aqui. > > > > Fiz o que vc disse, porem não funcionou, ele fica pedindo autenticação > direito. > > Usando a mesma linha que vc falou, alterei apenas para o usário > administrator para fazer a pesquisa, ae a autenticação é aceita, porém > ocorre o problema que vc tb teve ae no teu lab. > > > > Cheguei a colocar o usuario squid no grupo Ent. Admins, Schema Admins e > Administrators e mesmo assim o problema de autenticação continua. > > > > Realmente, apenas aceita a autenticação qdo pedi para fazer a pesquisa com > o usuário administrator. > > > > > > -- > > [.]´s > > ..:: S.e.r.i.a.L ::.. > > > > *From:* [email protected] [mailto:[email protected]] *On > Behalf Of *Adenilson Mezini - TI > *Sent:* terça-feira, 28 de julho de 2009 18:46 > *To:* [email protected] > *Subject:* RES: [squid-br] Squid (LDAP) x Bloqueios > > > > > > Serial, to achando que teu erro é na autenticação do LDAP. > > > > Fiz um teste aqui, alterando a senha do meu usuário de acesso ao AD e > obtive os mesmos erros no log. > > > > TCP_DENIED/407 – A hora que pedia credenciais. > > TCP_DENIED/403 – Quando eu entrava com as credenciais > > > > Logo após entrar com o usuário e senha obtinha a pagina de Acesso Negado. > > > > É isso que esta acontecendo contigo???? > > > > Cria uma OU no teu AD chamada Squid, na raiz do teu domínio, crie um > usuário squid dentro e coloque a linha de autenticação no squid, assim: > > > > auth_param basic program /usr/lib/squid/ldap_auth –R –b > “dc=dominio,dc=local” –D “cn=squid,ou=Squid,dc=domínio,dc=local” –w > “SenhaUserSquid” -f sAMAccountName=%s –h <ip do AD> > > > > external_acl_type ACL_LDAP %LOGIN /usr/lib/squid/squid_ldap_group –R –b > ““dc=dominio,dc=local” –D “cn=squid,ou=Squid,dc=domínio,dc=local” –w > “SenhaUserSquid” -f > “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,dc=domínio,dc=local))” > –h <ip do AD> > > > > acl PermiteAcesso external ACL_LDAP Grupo_AD_Acesso > > > > > > http_access allow PermiteAcesso > > http_access deny all > > > > Abraços, > > > > > > Atenciosamente, > > > > [image: cid:[email protected]] > > > > *Adenilson Mezini* > > ACP Computer Forensics > Tecnologia da Informação > *GRUPO CARBINOX* > [email protected] > > > > > > Tel: 11 4795-9588 > Fax: 11 4795-9595 > Cel: 11 8578-3047 > www.carbinox.com.br > > > > > > *De:* [email protected] [mailto:[email protected]] *Em > nome de *[email protected] > *Enviada em:* segunda-feira, 27 de julho de 2009 22:39 > *Para:* [email protected] > *Assunto:* Re: [squid-br] Squid (LDAP) x Bloqueios > > > > > > Olá, > > Sugestão: associe um deny_info com cada ACL que checar em http_access. > > Use um arquivo diferente, no padrão > ERR_ACCESS_DENIED_algumacoisaaqui, para cada uma das ACLs. Dentro de > cada arquivo desses (cada um associado a um deny_info), você coloca um > código diferente. > > Com isso, você vai conseguir encontrar a ACL que bloqueou o acesso > (sei que há como fazer isso aumentando o debug do squid.conf, mas > prefiro fazer assim, pois é como uso no cotidiano). > > Identificada a ACL que 'disparou' o bloqueio, saberá mais sobre o problema. > > Obs.: estou considerando como 'certeza' que suas consultas ao LDAP > estão todas funcionando adequadamente. > > Lembrete: salvo engano, quando há mais de uma ACL sendo verificada > na mesma linha ( AND ), a que 'dispara o deny_info' é a última > verificada (a última da linha). > > Obrigado. > > Cássio > > 2009/7/27 Serial <[email protected] <skroot%40gmail.com>>: > > > > > > Entao amigo, > > > > > > > > Alterei o arquivo aonde estão os sites para ficar no padrão dstdomain, > como > > vc disse abaixo. > > > > Notei que o ero 407 aparece qdo chamo o site,tipo, ele primeiro registra > no > > log a tentativa de acesso ao site, depois me requisita a autenticação, > > depois de autenticado ele da o erro 403. > > > > > > > > Liberei o http_acesso para os grupos acessarem seus sites, mesmo assim > eles > > não acessam L > > > > > > > > Cara nunca apanhei tanto do squid, como to apanhando agora... > > > > > ------------------------------ > > O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é > dirigido apenas para conhecimento do seu destinatário. Não implica em > assunção de responsabilidade e/ou contratação de qualquer outra espécie, as > quais sempre serão feitas por escrito e através de instrumento próprio. A > divulgação do conteúdo desta mensagem é crime nos termos da legislação > vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas > da lei. > > Colabore com sua empresa e com o meio ambiente, só imprima se extremamente > necessário. > > > ------------------------------ > O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é > dirigido apenas para conhecimento do seu destinatário. Não implica em > assunção de responsabilidade e/ou contratação de qualquer outra espécie, as > quais sempre serão feitas por escrito e através de instrumento próprio. A > divulgação do conteúdo desta mensagem é crime nos termos da legislação > vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas > da lei. > > Colabore com sua empresa e com o meio ambiente, só imprima se extremamente > necessário. > > -- [.]´s ..:: S.e.r.i.a.L ::..
<<image001.gif>>
