Anderson, qual o grupo que não deve ter acesso à internet, qual deve ter.
Atenciosamente, [cid:[email protected]] Adenilson Mezini ACP Computer Forensics Tecnologia da Informação GRUPO CARBINOX [email protected]<mailto:[email protected]> Tel: 11 4795-9588 Fax: 11 4795-9595 Cel: 11 8578-3047 www.carbinox.com.br<http://www.carbinox.com.br> From: [email protected] [mailto:[email protected]] On Behalf Of andersoncursoredes Sent: quarta-feira, 5 de maio de 2010 16:44 To: [email protected] Subject: [squid-br] squid integrado com AD Ai galera! Boa tarde! Estou passando pela seguinte situação, fiz a configuração da squid versão 2.6 stable4. A configuração dele está autenticando no AD sendo que não está barrando o acesso à um determinado grupo que não quero que tenha o acesso à internet. Também quero que tirando esse grupo, todo o restante de grupos ou usuários possam ter acesso para internet. Como liberar o acesso a internet apenas para um grupo do AD e bloqueando todo o resto.O meu squid.conf é o seguinte: # NETWORK OPTIONS # ---------------------------------------------------------- http_port 3128 visible_hostname teste # OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM # ---------------------------------------------------------- hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache # LOGFILE PATHNAMES AND CACHE DIRECTORIES # ---------------------------------------------------------- access_log /var/log/squid/access.log squid cache_store_log none # OPTIONS FOR TUNING THE CACHE # ---------------------------------------------------------- refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 ## Opção para autenticação # Autenticação automática com o usuário logado no Windows. Funciona apenas para estação Windows #auth_param ntlm program /usr/bin/ntlm_auth dominio.com/srv --helper-protocol=squid-2.5-ntlmssp #auth_param ntlm children 5 #auth_param ntlm keep_alive on # Autenticação normal. Abre tela de login e senha auth_param basic program /usr/bin/ntlm_auth dominio.com/srv --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm .dominio proxy server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # Escolher apenas uma das opções acima. # ACCESS CONTROLS # ---------------------------------------------------------- acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 2443 8080 4443 acl Safe_ports port 8080 # visavale acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 2443 # Volvo acl CONNECT method CONNECT acl all src 0.0.0.0/0.0.0.0 # Configuracao do cliente acl rede_interna src 10.0.0.0/255.255.0.0 acl autenticar proxy_auth REQUIRED external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl acl grupo_internet external nt_group INTERNET # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # Allow localhost http_access allow localhost # Configuracao do cliente #http_access allow autenticar http_access allow grupo_internet http_access allow rede_interna # Bloquear o resto http_access deny all http_reply_access allow all icp_access allow all # DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option) # ---------------------------------------------------------- coredump_dir /var/spool/squid ________________________________ O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie, as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei. Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário.
<<inline: image001.png>>
