Problema com autenticação no AD

Iniciado por D@rk, 31 de Julho de 2013, 08:45

tópico anterior - próximo tópico

D@rk

Bom dia,

Montei um servidor Ubuntu Server 12.4 e estou usando o squid3 para fazer autenticação nos grupos do AD. Consigo listar os grupos e usuários do AD normalmente. Porém quando começo a navegar através do proxy, a conexão fica caindo diversas vezes durante a navegação. Se ficar insistindo no F5 atualizando a página, ela volta, as vezes só fechando o navegador e reabrindo novamente para voltar o acesso a internet.

Quando comento as linhas de autenticação no squid.conf o problema para. Consigo navegar pelo squid sem cair, então creio que o problema esteja na autenticação. O que poderia estar fazendo isso? Segue meu squid.conf para análise:


http_port 3128
visible_hostname ubuntusrv
##parâtros para consultar a estutura do AD (Active Directory)

#auth_param basic program /usr/lib/squid3/ldap_auth -R -b .dc=runningbarra,dc=local. -D .cn=squidlinux,ou=teste,dc=runningbarra,dc=local. -w .squid@2013. -f sAMAccountName=%s -h 192.168.0.2 # ip do servidor onde seráeita a consulta do AD

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
#
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 5
#auth_param basic realm Proxy Squid - Digite suas credenciais
#auth_param basic credentialsttl 5 hours
#auth_param basic casesensitive off

##parâtros para consulta de Grupo em determinada OU (Organization Unit)

#external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=runningbarra,dc=local" -D cn=squidlinux,ou=teste,dc=runningbarra,dc=local -w squid@2013 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=teste,dc=runningbarra,dc=local))" -h 192.168.0.2 # ip do servidor onde seráeita a consulta do AD

##

#external_acl_type ldap_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=runningbarra,dc=local" -D cn=squidlinux,ou=teste,dc=runningbarra,dc=local -w squid@2013 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=teste,dc=runningbarra,dc=local))" -h 192.168.0.2
#
#dns_nameservers 10.1.200.23
 
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localdomain dstdomain runningbarra.local
 
#
 
acl localnet src 192.168.0.0/24
 
# ACLs Personalizadas
 
acl autentication proxy_auth REQUIRED
acl internet external ldap_group liberado
#acl dqx external ldap_group internetdqx
#acl donwload external ldap_group downloadrj
#acl libera_webmail external ldap_group libera_webmail
#acl executaveis external ldap_group libera_download_executaveis
acl extension url_regex -i .exe .msi
#acl blacklist_webmail dstdomain "/etc/squid3/ACLs/blacklist_webmail"
#
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl QUERY urlpath_regex cgi-bin \?
no_cache deny localdomain
no_cache deny QUERY

 
#Default:
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
#http_access deny extension !executaveis
#http_access deny blacklist_webmail !libera_webmail
http_access allow autentication internet
#http_access allow autentication dqx
#*#LIBERADO TEMPORARIAMENTE
http_access allow localnet
http_access allow localhost
 
icp_access allow localnet
icp_access deny all
 
hierarchy_stoplist cgi-bin ?
 
#Default:
cache_mem 512 MB
 
#Default:
maximum_object_size_in_memory 64 KB
 
#Default:
memory_replacement_policy heap GDSF
 
#Default:
cache_replacement_policy heap LFUDA
 
#Default:
cache_dir diskd /var/spool/squid3 65536 64 256 Q1=64 Q2=72
 
#Default:
minimum_object_size 0 KB
 
#Default:
maximum_object_size 128 MB
 
#Default:
cache_swap_low 50
cache_swap_high 90
 
access_log /var/log/squid3/access.log squid
 
#Default:
pid_filename /var/run/squid3.pid
 
#Suggested default:
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Packages(.gz)*)$   0   20%   2880
# example line deb packages
#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern .      0   20%   4320
 
#Default:
# request_header_max_size 20 KB
request_header_max_size 128 KB
 
#Default:
# reply_header_max_size 20 KB
reply_header_max_size 128 KB
 
#Default:
cache_effective_user squid
 
#Default:
cache_effective_group squid
 
#visible_hostname "set"
 
# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3
 
#hosts_file /etc/hosts


Obrigado!

zekkerj

Cara, eu nunca cheguei a usar esse tipo de autenticação. Mas é realmente necessário usar ao mesmo tempo "auth_param ntlm" e "auth_param basic"?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

D@rk

Citação de: zekkerj online 31 de Julho de 2013, 11:36
Cara, eu nunca cheguei a usar esse tipo de autenticação. Mas é realmente necessário usar ao mesmo tempo "auth_param ntlm" e "auth_param basic"?

Boa tarde,

Eu estou usando somente uma. A outra esta comentada.

zekkerj

Ah, sim... mas talvez, então, fosse bom retirar esses comentários todos do arquivo de configuração, pra ele ficar mais limpo e legível. De repente tem algum elefante escondido no meio do capim seco.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D