[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Dificuldade em integrar o Squid + autenticação no AD -

Rafael,
As transcricoes canonicas do AD devem estar errados, pela mensagem de
erro que voce descreve possivelmente o erro esta no parametro -b ou -D
do comando squid_ldap_auth.

Vá no servidor Windows, e execute o comando na linha de prompt :
dsquery -user -name squid*

O comando acima listará os nomes canônicos com a sua grafia completa
que começam com o "squid"(nome do usuario), use a mesma grafia
canonica  no squid_ldap_group. Ex:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b
"dc=testlab,dc=com,dc=br" -D
"CN=squid,CN=Users,DC=testlab,DC=com,DC=br" -w "senha" -f
sAMAccountName=%s -h 192.168.0.100
auth_param basic children 5
auth_param basic realm Servidor de Proxy usando LDAP
auth_param basic credentialsttl 2 hours

Se estiver lidando com o Windows 2008 Server, entao terá de se acertar
com o squid_ldap_group mesmo. O caminho mais facil com o 'msnt_auth'
(muito popular com quem usa squid+AD) parece que não funciona no
Windows2008.

Tambem existe um método que usa NTLM que permite as maquinas
conectarem ao squid passando suas credencias sem um popup de
usuario/senha, mas aí voce tem que perguntar à lista, pois é uma
configuração muito mais complexa e que ainda não tentei.

2009/7/10 Rafael Freitas <rafaelof@gmail.com>:
> Prezados,
>
> Apesar de seguir todas as receitas de bolo, inclusive o proprio
> squid-cache site original, porém nâo consigo integrar  o squid para
> funcionar autenticando o usuário.
> Tentei tudo que podia, envio abaixo meus arquivos de conf, bem como
> passos seguidos. Se alguem tiver alguma dica.
>
>
> http_port 192.168.0.1:3128 transparent
> cache_mem 100 MB
> cache_dir ufs /var/spool/squid3 100 16 256
> access_log /var/log/squid3/access.log
> cache_access_log /var/log/squid3/cache.log
> cache_log /var/log/squid3/cache.log
> cache_store_log /var/log/squid3/store.log
> pid_filename /var/run/squid3.pid
> error_directory /usr/share/squid3/errors/Portuguese
> visible_hostname snet
> cache_mgr  freitasbr@gmail.com
>
>
> auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b
> "dc=servir,dc=localdomain" -D "cn=squid,cn=squid,dc=servir,dc=localdomain" -w
> "*****" -f sAMAccountName=%s -h 192.168.0.100
> auth_param basic children 5
> auth_param basic realm Mensagem_para_autenticação
> auth_param basic credentialsttl 1 minutes
>
> # ACL externa para autenticação nas bases LDAP do PDC
> external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b
> "dc=servir,dc=localdomain" -D
> "cn=squid,ou=servirjf,dc=servir,dc=localdomain" -w "******" -f
> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=servirjf,dc=servir,dc=localdomain))"
> -h 192.168.0.100
>
>
> acl localhost src 127.0.0.1
> acl ldapauth proxy_auth REQUIRED
> http_access allow ldapauth
> http_access allow localhost
>
>
> desta forma está bloqueando todos os usuarios, do dominio ou naum. mas se
> forço uma autenticação manual:
>
> rafael@snet:/usr/lib/squid3$ ./squid_ldap_auth -R -b
> "dc=servir,dc=localdomain" -D
> "cn=squid,ou=servirjf,dc=servir,dc=localdomain" -w "******" -f
> sAMAccountName=%s -h 192.168.0.101
> squid ******
> OK
> fernanda ******
> ERR Success
>
> detalhe que algumas senhas de usuarios acusam esse erro, outros nao, mas o
> usuario squid como pode ver está ok.
>
>
>
> Att
>
> Rafael Freitas
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: