Blog do Nerd » Configurando Squid e SquidGuard no Ubuntu (12

13/3/2 13/3/201 014 4

Blog do Nerd » Config Config urando urando Squid e SquidGuard SquidGuard no Ubuntu Ubuntu (12.04 (12.04 LTS) LTS) com c om auten autenticação ticação e regras reg ras p or grupos do Active Directory (Windows 2008) 2008)

Sobre Suporte Sobre Suporte em TI

Início

So b r e

Co ntato

Do ação

« Internet Explorer 10 10 e Window s 7: Falha

Pesquisar...

geral ao rodar syspre sysprep p

55 Configurando Sq Squ uid e SquidGuard no Ubunt Ubuntu u (12.0 (12.044 LTS) com autenticação e regras por grupos do Active Directory (Windows 2008) 8 MESES ATRÁS

por Nerd Nerd em em Linux Linux,, Tutoriais

1

Compartilhar / Favoritos Já escrevi outros tutoriais sobre 3 como autenticar o Tweetar Ubuntu no Active Directory (AD) e (AD) e como configurar configu rar o Squid para Squid para se aproveitar dessa autenticação e criar cri ar regras baseadas em grupos do AD. Recebi vários vários pedidos pedidos sobre como integrar o SquidGu Sq uidGuard ard ao Squid autent autenticando icando no AD e criando regra reg rass por grupos. Este tutorial trata justamente desta des ta integração. integraçã o. A ideia é aproveitar as credenciais dos usuários do AD, que já fizeram a autenticação no Windows e permitir que eles se autentiquem no Squid sem precisar digitar nenhuma senha.

Além disso os usuários serão incluídos em grupos do AD e as regras do Squid será configuradas para dar privilégios de acesso para estes grupos. A sugestão aqui é a criação de 3 grupos de acesso: Internet_Acesso_Completo Internet_Acesso_Completo,, Internet_Acesso_Padrao e Internet_Acesso_Padrao e Internet_Acesso_Bloqueado Internet_Acesso_Bloqueado.. Dessa forma o Squid gerencia os privilégios de cada grupo e fornece o acesso de acordo com o grupo que o usuário pertença. Uma vez implementada a solução, a ideia é que não seja necessário modificar regras no Squid, DansGuardian ou SquidClamAV, SquidClamAV, bastando soment so mentee incluir incluir os o s usuários

Windows 7 Sysprep: Windows Syspr ep: Criação de uma imagem de instalação personalizada (322) O objetivo deste artigo é demonstrar como gerar uma imagem personalizada personali zada para instalação em massa do Windows 7. Após concluir concl uir todos os o s […] 3 ANOS ATRÁS

Squid 3 (Ubuntu 10.04 LTS) autenticando no Active Directory (Windows 2008) (234) Este artigo faz parte do tutorial Proxy Squid no Ubuntu com autenticação NTLM no Windows 2008 e regras baseadas em Grupos do AD. A idéia é […] 2 ANOS ATRÁS

http http:/ ://b /blo logdo gdon nerd.co rd.com m.br/2 .br/20 013/07 /07/con /configuran figurand do-squid-squid -squid-squidgua guard-n rd-no o-ubu -ubuntu ntu-12-04 -12-04-lts-co -lts-com m-aute -auten nticaca ticacao o-no-ac -no-activ tive-d e-direc irecto tory ry-w -wind indo ows-200 s-2008 8/

1/34 /34

13/3/2 13/3/201 014 4

Blog do Nerd » Configurando Squid Squid e Sq uidGuard uidGuard no Ubuntu Ubuntu (12.04 (12.04 LTS) LTS) com aute autenticação nticação e regras por por gr upos upos do Active Active Dir ectory (Window (Windows s 2008) 2008)

no grupo de acesso desejado. Os privilégios dos grupos ficarão assim: 1. O grupo Internet_Acesso_Completo Internet_Acesso_Completo não não será bloqueado pelo SquidGuard e poderá acessar qualquer URL. 2. Os usuários usuários membros membros do grupo Internet_Acesso_Padrao Internet_Acesso_Padrao terão terão os acessos restringidos pelas regras do Squid e todo seu acesso será filtrado pelas regras do SquidGuard. 3. Por fim fim o grupo Internet_Acesso_Bloqueado Internet_Acesso_Bloqueado não não terá acesso a nada, não podendo navegar na Internet. Também serão criadas um conjunto de arquivos que irão conter sites sites proibidos, proibidos, permitidos mediante mediante autenticação autenticação e permitidos sem necessidade necess idade de auten autentic ticação, ação, além de computadores computadores liberados liberados e proibidos de navegar utilizando o proxy. Observação: Outro popular software de filtro de sites por categoria é o DansGuardian. Observação: Ele funciona muito bem e tem uma comunidade bastante ativa. Preferi utilizar o SquidGuard pois da forma como o DansGuardian trabalha, todo o fluxo do proxy precisa antes passar por ele para só depois ser encaminhado para o Squid tratar. Desta forma todas as regras de liberação para grupos específicos deveriam ser realizados no SquidGuard SquidGu ard e a solução acabaria acaba ria ficando limitada. limitada. Acredito que com o SquidGu SquidGuard ard a flexibilidade flexibil idade seja maior.

Pré-Requisitos Servidor Linux Ubuntu 12.04 LTS ou superior previamente instalado. Servidor de DNS configurado (/etc/resolv.conf) e apontando para um servidor de DNS do domínio Active Directory Privilégios Privi légios de admini administrador strador (root) no Lin Linux ux instalado. instalado. Domínio Active Directory (AD) baseado em Windows 2000, 2003 ou 2008 já instalado e operando. Credenciais com privilégios para criação de grupos no AD.

Resumo São estes os passos que iremos seguir: A. Autenticação Ubuntu 12.04 LTS no Active Directory (Windows 2008) B. Instalação Instalação e Confi Configuração guração do Squid 3 C. Instalação Instalação e Configuração do SquidGu SquidGuard ard D. Observações e Dicas

Tutorial Vamos colocar a mão na massa.

A. Autenticação Autenticação Ubuntu Ubuntu 12.04 LTS no no Active Directory (Windows 2008)

Utilizando o WinPE 3.0 para backup e instalação do Win Windows dows 7 (217) O WinPE (Windows Preinstallation Environment ) é uma versão reduzida do Win Windows dows destin des tinada ada especificamente para preparar um computador computador para pa ra […] 3 ANOS ATRÁS

OpenVPN – Servidor OpenVPN Ubuntu e Clientes

Tags

Active Directory Arquivo Arqui vo de Resposta

arquivos

backup Boot de Rede Compartilhamento de Arquivos drivers e-DOC

firewall GPO imagex Java KB980436 Linux MBOX Outlook Express Postfix

Proxy PXE redes

shorewall Squid ss ssh h SSL sysprep TLS

Ubuntu

VMware

WAIK WDS Windows

Windows 7 Windows 2003

Windows 2008 Windows XP WinPE

O servidor linux pode ter IP fixo ou DHCP. É claro que para utilização como servidor Squid é recomendável a utilização utilização de IP fixo. fixo. Além disso é necessário que o seu(s) s eu(s) servidor(es)) DNS es teja(m servidor(es teja(m)) corr etamen etamente te configurado(s configurado(s)) no arquivo a rquivo /etc/resolv.conf. /etc/resolv.conf. Recomendo atualizar atualizar seu Ubuntu, Ubuntu, antes antes de começar, utilizando utilizando os comandos abaixo: aba ixo: 1 2

sudo apt-get update sudo apt-get dist-upgrade

Reinicie o computador para que o novo kernel seja atualizado (se necessário). 1

sudo reboot


2/34 /34

13/3/2 13/3/201 014 4


no grupo de acesso desejado. Os privilégios dos grupos ficarão assim: 1. O grupo Internet_Acesso_Completo Internet_Acesso_Completo não não será bloqueado pelo SquidGuard e poderá acessar qualquer URL. 2. Os usuários usuários membros membros do grupo Internet_Acesso_Padrao Internet_Acesso_Padrao terão terão os acessos restringidos pelas regras do Squid e todo seu acesso será filtrado pelas regras do SquidGuard. 3. Por fim fim o grupo Internet_Acesso_Bloqueado Internet_Acesso_Bloqueado não não terá acesso a nada, não podendo navegar na Internet. Também serão criadas um conjunto de arquivos que irão conter sites sites proibidos, proibidos, permitidos mediante mediante autenticação autenticação e permitidos sem necessidade necess idade de auten autentic ticação, ação, além de computadores computadores liberados liberados e proibidos de navegar utilizando o proxy. Observação: Outro popular software de filtro de sites por categoria é o DansGuardian. Observação: Ele funciona muito bem e tem uma comunidade bastante ativa. Preferi utilizar o SquidGuard pois da forma como o DansGuardian trabalha, todo o fluxo do proxy precisa antes passar por ele para só depois ser encaminhado para o Squid tratar. Desta forma todas as regras de liberação para grupos específicos deveriam ser realizados no SquidGuard SquidGu ard e a solução acabaria acaba ria ficando limitada. limitada. Acredito que com o SquidGu SquidGuard ard a flexibilidade flexibil idade seja maior.

Pré-Requisitos Servidor Linux Ubuntu 12.04 LTS ou superior previamente instalado. Servidor de DNS configurado (/etc/resolv.conf) e apontando para um servidor de DNS do domínio Active Directory Privilégios Privi légios de admini administrador strador (root) no Lin Linux ux instalado. instalado. Domínio Active Directory (AD) baseado em Windows 2000, 2003 ou 2008 já instalado e operando. Credenciais com privilégios para criação de grupos no AD.

Resumo São estes os passos que iremos seguir: A. Autenticação Ubuntu 12.04 LTS no Active Directory (Windows 2008) B. Instalação Instalação e Confi Configuração guração do Squid 3 C. Instalação Instalação e Configuração do SquidGu SquidGuard ard D. Observações e Dicas

Tutorial Vamos colocar a mão na massa.

A. Autenticação Autenticação Ubuntu Ubuntu 12.04 LTS no no Active Directory (Windows 2008)

Utilizando o WinPE 3.0 para backup e instalação do Win Windows dows 7 (217) O WinPE (Windows Preinstallation Environment ) é uma versão reduzida do Win Windows dows destin des tinada ada especificamente para preparar um computador computador para pa ra […] 3 ANOS ATRÁS

OpenVPN – Servidor OpenVPN Ubuntu e Clientes

Tags

Active Directory Arquivo Arqui vo de Resposta

arquivos

backup Boot de Rede Compartilhamento de Arquivos drivers e-DOC

firewall GPO imagex Java KB980436 Linux MBOX Outlook Express Postfix

Proxy PXE redes

shorewall Squid ss ssh h SSL sysprep TLS

Ubuntu

VMware

WAIK WDS Windows

Windows 7 Windows 2003

Windows 2008 Windows XP WinPE

O servidor linux pode ter IP fixo ou DHCP. É claro que para utilização como servidor Squid é recomendável a utilização utilização de IP fixo. fixo. Além disso é necessário que o seu(s) s eu(s) servidor(es)) DNS es teja(m servidor(es teja(m)) corr etamen etamente te configurado(s configurado(s)) no arquivo a rquivo /etc/resolv.conf. /etc/resolv.conf. Recomendo atualizar atualizar seu Ubuntu, Ubuntu, antes antes de começar, utilizando utilizando os comandos abaixo: aba ixo: 1 2

sudo apt-get update sudo apt-get dist-upgrade

Reinicie o computador para que o novo kernel seja atualizado (se necessário). 1

sudo reboot


2/34 /34

13/3/2 13/3/201 014 4


Instale os pacotes libkrb5-3, krb5-config, samba, winbind e ntp utilizando o comando abaixo: 1

sudo apt-get install libkrb5-3 krb5-config samba winbind ntp

Pare os serviços samba samba e e winbind winbind:: 1 2

sudo service smbd stop sudo service winbind stop

Limpe a pasta de cache do samba samba:: 1

sudo rm -rf /var/lib/samba/*

Configure o Kerberos alterando o conteúdo do arquivo /etc/krb5.conf arquivo /etc/krb5.conf pelo pelo apresentado abaixo. Lembre-se de substituir DOMINIO.COM.BR e dominio.com.br pelo nome FQDN de seu domínio Active Directory nas linhas em destaque. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

[libdefaults] default_realm = DOMINIO.COM.BR ticket_lifetime = 24000 dns_lookup_realm = false dns_lookup_kdc = false [realms] DOMINIO.COM.BR = { kdc = dominio.com.br:88 admin_server = dominio.com.br:749 default_domain = dominio.com.br } [domain_realm] .dominio.com.br = DOMINIO.COM.BR dominio.com.br = DOMINIO.COM.BR [login] krb4_convert = true krb4_get_tickets = false [logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log

Edite o arquivo /etc/ntp.conf arquivo /etc/ntp.conf , comente comente todas as linhas iniciardas iniciardas com server server,, mantendo apenas uma apontando para seu domínio. Você pode apontar para um servidor NTP NTP de de sua rede ou outro qualquer de preferência. 1

server dominio.com.br

Reinicie Reinic ie o s erviço ntp ntp e e verifique se a data e hora estão corretos: 1 2

sudo service ntp restart date

Configure o Samba / Winbind, Configure Winbind , editando o arquivo /etc/samba/smb. arquivo /etc/samba/smb.conf conf e e substituindo seu conteúdo conteúdo conforme abaixo. a baixo. Lembre-se de substituir HOSTNAME pelo nome de seu servidor linux e alterar DOMINIO, DOMINIO.COM.BR e dominio.com.br para o FQDN de seu domínio nas linhas em destaque. 01 02 03 04 05 06 07 08 09 10 11 12 13

[global] realm = DOMINIO.COM.BR workgroup = DOMINIO netbios name = HOSTNAME server string = %h server security = ads allow trusted domains = no idmap config DOMINIO: default = yes idmap config DOMINIO: backend = rid idmap config DOMINIO: readonly = yes idmap config DOMINIO: range= 1000000-10000000 idmap alloc config: range = 1000000-10000000


3/34 /34

13/3/2014

14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)

idmap uid = 1000000-10000000 idmap gid = 1000000-10000000 template shell = /bin/bash template homedir = /home/%U winbind use default domain = yes winbind enum users = yes winbind enum groups = yes winbind nested groups = yes load printers = no domain master = no preferred master = no domain logons = no wins support = no wins proxy = no dns proxy = no password server = dominio.com.br #Compartilhamento Home [homes] comment = Compartilhamento Home browseable = no writable = yes read only = no create mask = 0664 directory mask = 0775

Substitua o conteúdo do arquivo /etc/nsswitch.conf pelo abaixo, para configurar o Linux para considerar o winbind para senhas e grupos. 01 02 03 04 05 06 07 08 09 10 11 12 13

passwd: group: shadow:

compat winbind compat winbind compat

hosts: networks:

files dns files

protocols: services: ethers: rpc:

db db db db

netgroup:

nis

files files files files

Para que estas configurações (nsswitch) tenham efeito, execute o comando ldconfig: 1

sudo ldconfig

Ajuste o nome do host no arquivo /etc/hosts conforme abaixo, alterando nome-do-host e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domínio: 1 2

127.0.0.1 127.0.0.1

localhost nome-do-host.dominio.com

nome-do-host

Se o computador estiver utilizando DHCP, ajuste o nome do host par a que seja registrado automaticamente no DNS, incluindo ou alterando as linhas abaixo no arquivo /etc/dhcp/dhclient.conf . Lembre-se de alterar nome-do-host e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domínio. 1 2 3 4

send host-name "nome-do-host.dominio.com"; request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, host-name, netbios-name-servers, netbios-scope, interface-mtu;

Adicione o Linux no dominio executando o comando abaixo. Substitua usuário pela sigla de um usuário com privilégios para adicionar computadores no domínio. 1

sudo net ads join -U usuario

Sua senha será solicitada. O resultado da execução será algo semelhante ao abaixo: 1 2 3 4

Enter usuarios's password: Using short domain name -- DOMINIO Joined 'HOSTNAME' to realm 'dominio.com.br' DNS update failed!

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

4/34

13/3/2014


Não se preocupe com a mensagen DNS update failed!. Ela aparecerá se o seu dominio não estiver configurado para aceitar atualizações de DNS não autenticadas. Simplesmente ignore esta mensagem. Inicie os s erviços samba e winbind: 1 2

sudo service smbd start sudo service winbind start

Verifique se a resolução de nomes esta funcionando corretamente. Caso não esteja reveja os passos realizados acima. 1 2 3

wbinfo –u wbinfo –g wbinfo –i usuario

Se tudo está funcionando corretamente, configure a autenticação do Linux, alterando os arquivos aba ixo. Provavelmente o conteúdo já estará correto. Apenas certifique-se de que está tudo OK e altere o que estiver diferente. Alternativamente você pode fazer estas configurações de forma automática executando o comando abaixo e marcando as opções Unix authentication e Winbind NT/Active Directory authentication: 1

sudo pam-auth-update

Conteúdo do arquivo /etc/pam.d/common-account: 1 2 3 4

account account account account

[success=2 new_authtok_reqd=done default=ignore] [success=1 new_authtok_reqd=done default=ignore] requisite pam_deny.so required pam_permit.so

pam_u pam_w

Conteúdo do arquivo /etc/pam.d/common-auth: 1 2 3 4

auth auth auth auth

[success=2 default=ignore] [success=1 default=ignore] requisite required

pam_unix.so nullok_secure pam_winbind.so krb5_auth krb5 pam_deny.so pam_permit.so

Conteúdo do arquivo /etc/pam.d/common-sessi on. Será necessário incluir a linha destacada, conforme abaixo. Esta alteração irá criar a pasta home do usuário automaticamente no primeiro logon. 1 2 3 4 5 6

session session session session session session

[default=1] requisite required required required optional

pam_permit.so pam_deny.so pam_permit.so pam_unix.so pam_mkhomedir.so skel=/etc/sk pam_winbind.so

Se você quiser restringir o acesso via SSH para um grupo de usuários, crie um grupo global no AD e inclua os usuários permitidos a acessar o servidor Linux neste grupo, por exemplo administradores_linux. Altere o arquivo /etc/ssh/sshd_config e inclua no final do mesmo a seguinte linha: 1

AllowGroups admin administradores_linux

O grupo admin é opcional e permite o logon dos usuários locais que estão no grupo admin. Por padrão o primeiro usuário criado no Ubuntu no momento da instalação terá este privilégio. Como boa prática de segurança, evite que o root faça logon via ssh, atlerando a linha abaixo no arquivo /etc/ssh/sshd_config: 1

PermitRootLogin no

Se desejar você pode incluir a linha abaixo no arquivo /etc/sudoers para permitir que os usuários membros do grupo administradores_linux possam executar comandos com privilégios de root. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

5/34

13/3/2014

1


%administradores_linux ALL=(ALL) ALL

Se tudo estiver correto você será capaz de fazer login no servidor utilizando as credenciais de um usuário membro do grupo administradores_linux.

B. Instalação e Configuração do Squid 3 B1. Instalação do Squid 3 Instale o Squid 3 executando o comando ab aixo: 1

sudo apt-get install squid3

Dê permissão para o usuário proxy (que é o usuário que roda o squid3) ler o conteúdo da pasta /var/run/samba/winbindd_privileged , incluindo-o no grupo winbindd_priv: 1

usermod -a -G winbindd_priv proxy

Substitua o conteúdo do arquivo /etc/squid3/squid.conf pelo mostrado abaixo. Atenção para as linhas destacadas. Elas devem ser alteradas para refletir a realidade de seu ambiente. 001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052

# /etc/squid3/squid.conf #################################################### # Portas (padrão 3128) http_port 3128 #Habilitar debug #debug_options 28,3 #Configurações de Cache # tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais, cache_dir aufs /var/spool/squid3 8196 16 256 # Tamanho da cache para obejtos cache_mem 2 GB # Tamanho máximo dos objetos que serão salvos em disco maximum_object_size 131070 KB # Tamanho minimo dos objetos que serão salvos em disco minimum_object_size 0 KB # Número de entradas na tabela de cache de conversão de IP para FQD ipcache_size 16384 # Percentagem de cache baixa - padrão 90 ipcache_low 90 # Percentagem de cache baixa - padrão 95 ipcache_high 95 # manter memória alocada e não usada, para não precisar realocar qu memory_pools on # Número de entradas na tabela de cache de DNS fqdncache_size 16384 # tamanho máximo dos objetos guardados na cache maximum_object_size_in_memory 8 MB # Gerar resumo de cache - Útil somente quando existem squids parcei digest_generation off # Configurações gerais # Como tratar o X-Forwared-For no cabeçalho HTTP forwarded_for off #logar parametros das URL's strip_query_terms on # Força IE 5.5 ou anteior a buscar novas páginas do servido em caso ie_refresh on #Detecta respostas quebradas de conexões persistnes e assuma que o detect_broken_pconn on #Tenta executar até 2 requisições em paralelo - Pode quebrar autent pipeline_prefetch off # Continua baixando requisições abortadas quick_abort_min -1 KB # continua baixando requsições abortadas até o limite de 16KB quick_abort_max 16 KB # Quanto tempo manter cache de DNS positive_dns_ttl 5 minute # Fechar conexões TCP imediatamente half_closed_clients off


6/34

13/3/2014

053 054 055 056 057 058 059 060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134


# timeout de leitura de dados read_timeout 240 second # timeout de conexões persistentes pconn_timeout 240 second # Email do administrador cache_mgr [email protected] # Host visível visible_hostname proxy-squid.dominio.com.br # Linguagem dos erros error_directory /usr/share/squid3/errors/pt-br # Evita que sejam feitos coredumps. coredump_dir /var/spool/squid3 # Numero de arquivos de log rotacionados a guardar. logfile_rotate 120 # Tempo para agaurdar o fechamento de conexçoes durante encerrament shutdown_lifetime 1 second # palavras que será tratadas diretamente por esse squid, ou seja, n hierarchy_stoplist cgi-bin ? # Dominio padrão de busca #append_domain .dominio.com.br # Padrão de refresh de cache para alguns sites # refresh_pattern [-i] regex min percent max [options] # -i : regular expressiona case-insensitive # regex: Expressão regular a buscar # min: tempo (em minutos) que um objeto será considerado novo # percent: % da idade do objeto que é considerado novo # max: limite máximo que os objetos sem tempo de expirar explicito refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-i refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-i refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-i refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-i refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-i refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-i refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-i refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 # Logs #logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log access_log /var/log/squid3/access.log # Log de cache cache_log /var/log/squid3/cache.log # pasta para arquivo de dump coredump_dir /var/spool/squid3 # comportamente para espaço em branco nas URLs uri_whitespace allow # Servidores de DNS a serem utilizados - Se não for especificado, o #dns_nameservers 192.168.0.1 # Autenticação no Windows 2008 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squidauth_param ntlm children 30 auth_param ntlm keep_alive on auth_param auth_param auth_param auth_param

basic basic basic basic

program /usr/bin/ntlm_auth --helper-protocol=squid children 5 realm Proxy Squid - Digite suas credenciais credentialsttl 5 hours

# ACLs # acls de origem # rede loopback acl localhost src 127.0.0.1/32 # Rede local acl rede_local src 192.168.0.0/24 # acls de destino #acl allDest dst 0.0.0.0/0.0.0.0 #acl to_localhost dst 127.0.0.0/8 # portas seguras acl SSL_ports port 443 acl SSL_ports port 8180 acl SSL_ports port 8443 # Demais serviços


7/34

13/3/2014

135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216


acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl acl

Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports Safe_ports

port port port port port port port port port port port port port port port port port port

80 # http 81 # http 20-21 # ftp 70 # gopher 443 563 # https, snews 210 # wais 280 # http-mgmt 488 # gss-http 591 # filemaker 777 # multiling http 901 # SWAT 8080 # http 8081 # http 8082 # http 8088 # http 8180 # http 3456 # receita federal - irpf 3001 # diario oficial

# acls default squid acl purge method PURGE acl CONNECT method CONNECT acl POST method POST # acl para obter grupos do AD external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinf # Grupos do AD acl acesso_completo external grupo_AD Internet_Acesso_Completo acl acesso_padrao external grupo_AD Internet_Acesso_Padrao acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado # acls de segurança proteção do cache acl manager proto cache_object # acl controlar sites (sites-proibidos) acl sites_proibidos dstdomain -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados dstdomain -i "/etc/squid3/acls/sites_liberados" acl sites_liberados_sem_auth dstdomain -i "/etc/squid3/acls/sites_ # acl controlar palavras de sexo, baixo calão, etc acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proi acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_libe acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" acl itunes_browser browser iTunes.* acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.* # acl controlar horário de expediente #acl horario_allow url_regex -i "/etc/squid3/horario_allow" #acl fora_expediente time MTWHFA 20:01-23:59 #acl fora_expediente2 time MTWHFA 00:00-05:59 # Mensagem de erros personalizados para alguimas ACLs deny_info ARQ_SITES_PROIBIDOS sites_proibidos deny_info ARQ_SITES_PROIBIDOS sites_liberados deny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_auth deny_info ARQ_SITES_PROIBIDOS palavras_proibidas deny_info ARQ_SITES_PROIBIDOS palavras_liberadas deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidas deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadas deny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueado deny_info ARQ_PORTAS_PROIBIDAS Safe_ports deny_info ARQ_PORTAS_PROIBIDAS SSL_ports # HTTP ACCESS # regras das acls de origem - libera os administradores #http_access allow admins http_access allow sites_liberados_sem_auth # Libera iTunes http_access allow itunes_browser # Libera Microsoft Crypto API http_access allow ms_cryptoapi_browser # regras das acls de controle (bloqueio e políticas de rede) http_access allow manager localhost


8/34

13/3/2014

217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271


http_access deny manager http_access allow rede_local acesso_completo http_access deny acesso_bloqueado # regras das acls de portas - bloqueia todas as portas não listadas http_access deny !Safe_ports # bloqueia conexões das portas seguras não listadas http_access deny CONNECT !SSL_ports # controle de acesso de sites proibidos http_access deny sites_proibidos !sites_liberados # controle de acesso da acl de palavras de sexo, baixo calão, etc # bloqueia todas as palavras da lista de proibidas com exceção das # palavras liberadas http_access deny palavras_proibidas !palavras_liberadas http_access deny maquinas_proibidas !maquinas_liberadas http_access allow rede_local maquinas_liberadas # controle de horário de expediente # bloqueia utilização fora do expediente #http_access deny !horario_allow fora_expediente #http_access deny !horario_allow fora_expediente2 http_access allow purge localhost http_access allow rede_local acesso_padrao http_access allow POST rede_local acesso_padrao http_access allow POST rede_local acesso_completo # libera método POST sem autenticação. Para evitar problemas http_access allow POST http_access deny purge # HTTP REPLY ACCESS http_reply_access allow all http_access deny all # ICP ACCESS icp_access deny all

Ir para o Topo

# MISS ACCESS miss_access allow rede_local miss_access deny all # MODO DE FTP PASSIVO #ftp_passive on # Negar cache de cgi-bin acl QUERY urlpath_regex cgi-bin \? cache deny QUERY # negar cache de POST acl POSTS method POST cache deny POSTS

O arquivo acima é apenas uma sugestão. Você pode fazer as alterações que julgar necessárias. A parte importante é a que controla a autenticação NTLM no dominio: 1 2 3 4 5 6 7 8 9

# Autenticação no Windows 2008 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2. auth_param ntlm children 30 auth_param ntlm keep_alive on auth_param auth_param auth_param auth_param

basic basic basic basic

program /usr/bin/ntlm_auth --helper-protocol=squid-2 children 5 realm Proxy Squid - Digite suas credenciais credentialsttl 5 hours

Outra parte importante é a que configura a obtenção dos grupos do AD e a aplicação das regras associadas: 01 02 03 04

# acl para obter grupos do AD external_acl_type grupo_AD ttl=60 %LOGIN /usr/lib/squid3/wbinfo_grou # Grupos do AD


9/34

13/3/2014

05 06 07 08 09 10 11 12


acl acesso_completo external grupo_AD Internet_Acesso_Completo acl acesso_padrao external grupo_AD Internet_Acesso_Padrao acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado http_access allow rede_local acesso_completo http_access deny acesso_bloqueado #... conjunto de regras de bloqueio padrão http_access allow rede_local acesso_padrao

O campo ttl=60, na diretiva external_acl_type acima, controla por quanto tempo (em segundos) o grupo é válido para o acesso. Você pode diminuir ou aumentar este valor de acordo com suas preferências, para que as alterações de grupos dos usuários sejam aplicadas para os acessos ao Squid. Em outras palavras: com o ttl de 60, se por exemplo um usuário que possui acesso padrão for incluído no grupo Internet_Acesso_Completo, levará 1 minuto para que esta alteração seja efetivada pelo Squid. Você pode comentar as regras que não se aplicarem a sua realidade ou não satisfizerem suas necessidades. Cada diretiva possui uma breve descrição sobre sua função no próprio arquivo acima, mas em caso de dúvidas, consulte a ajuda do Squid: http://www.squidcache.org/Doc/config/

B2. Criação dos grupos no Active Directory (AD) Você precisa criar os três grupos sugeridos no começo do tutorial em seu AD: Internet_Acesso_Completo Internet_Acesso_Padrao Internet_Acesso_Bloqueado Inclua os usuários nos respectivos grupos, conforme o nível de acesso desejado para cada um deles. Se todos os seus usuários forem membros do grupo Domain Users, você pode incluir o grupo Domain Users como membro do grupo Internet_Acesso_Padrao, assim todos os usuários terão o acesso padrão. Sendo que pelas regras apresentadas no /etc/squid3/squid.conf acima se o usuário fizer parte de mais de um grupo de acesso a Internet, o grupo Internet_Acesso_Completo terá a maior prioridade, seguido do grupo Internet_Acesso_Bloqueado. Ou seja se o usuário fizer parte dos 3 grupos ele terá o acesso liberado totalmente e se ele fizer parte do Internet_Acesso_Padrao e do Internet_Acesso_Bloqueado, seu acesso será bloqueado.

B3. Criação de arquivos de controle Crie a pasta /etc/squid3/acls e dentro dela os arquivos de controle de acesso a sites, palavras e computadores de origem. 1 2 3 4 5 6 7 8

sudo sudo sudo sudo sudo sudo sudo sudo

mkdir touch touch touch touch touch touch touch

/etc/squid3/acls /etc/squid3/acls/sites_proibidos /etc/squid3/acls/sites_liberados /etc/squid3/acls/sites_liberados_sem_autenticacao /etc/squid3/acls/palavras_proibidas /etc/squid3/acls/palavras_liberadas /etc/squid3/acls/maquinas_proibidas /etc/squid3/acls/maquinas_liberadas

Inclua nos arquivos recém criadas as entradas que deseja permitir ou proibir, uma em cada linha. Os arquivos de controle de sites devem conter o domínio completo do que se deseja permitir/proibir, por exemplo www.playboy.com.br. Os arquivos de controle de palavras irão controlar o acesso para URLs que contenham em algum lugar as palavras listadas nos respectivos arquivos. Os arquivos maquinas_proibidas e maquinas_liberadas devem conter os endereços IPs de computadores que devem ter seu acesso proibido ou liberado completamente (um por linha), independente do usuário conectado no mesmo. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

10/34

13/3/2014


É recomendável colocar uma entrada em cada arquivo (palavras_ e maquinas_) ou comentar as regras relativas aos arquivos, para evitar mensagens de warning no Squid.

B4. Arquivos de erros personalizados As regras deny_info controlam arquivos de erro personalizado para cada regra acl que seja negada pelo Squid. Se você não deseja utilizar páginas de erro personalizadas, comente as seguintes linhas do /etc/squid3/squid.conf: 01 02 03 04 05 06 07 08 09 10

deny_info deny_info deny_info deny_info deny_info deny_info deny_info deny_info deny_info deny_info

ARQ_SITES_PROIBIDOS sites_proibidos ARQ_SITES_PROIBIDOS sites_liberados ARQ_SITES_PROIBIDOS sites_liberados_sem_auth ARQ_SITES_PROIBIDOS palavras_proibidas ARQ_SITES_PROIBIDOS palavras_liberadas ARQ_MAQUINAS_PROIBIDAS maquinas_proibidas ARQ_MAQUINAS_PROIBIDAS maquinas_liberadas ARQ_ACESSO_BLOQUEADO acesso_bloqueado ARQ_PORTAS_PROIBIDAS Safe_ports ARQ_PORTAS_PROIBIDAS SSL_ports

Caso contrário, crie os arquivos ARQ_SITES_PROIBIDOS, ARQ_MAQUINAS_PROIBIDAS, ARQ_ACESSO_BLOQUEADO e ARQ_PORTAS_PROIBIDAS na pasta /usr/share/squid3/errors/pt-br. Estes arquivos são em formato HTML e devem conter as mensagens a serem reportadas para o usuário em caso de bloqueio no acesso. Você pode utilizar alguns caracteres especiais para serem convertidas em informações antes de mostrar para o usuário. Para saber os caracteres permitidos consulte: http://www.squid-cache.org/Doc/config/deny_info/ Se quiser usar meus arquivos personalizados, descomprima o arquivo erros_squid.zip na pasta /usr/share/squid3/errors/pt-br. Um exemplo de acesso negado contido nestes arquivos seria semelhante ao seguinte:


11/34

13/3/2014


B5. Testando o Squid Execute o comando abaixo para verificar se as configurações do squid estão corretas: 1

squid3 -k parse

Inicie o Squid: sudo service squid3 start 1

Aponte seu browser para o ip do squid seguido da porta 3128 e verifique seu funcionamento.

C. Instalação e Configuração do SquidGuard C1. Instalação do SquidGuard Instale o SquidGuard: 1

sudo apt-get install squidguard

Baixe uma blacklist. O site http://www.squidguard.org/blacklists.html possui algumas opções. Neste tutorial vou me basear na blacklist mantida em http://urlblacklist.com. ATENÇÃO: Esta blacklist é bem completa, porém é paga. Você pode baixá-la para fins de testes, mas para colocar em um ambiente de produção faça uma assinatura. Se preferir utilize outra blacklist gratuita. Baixe a blacklist para uma pasta temporária (/tmp neste exemplo): 1

wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?typ

Descomprima a blacklist para a pasta /var/lib/squidguard/db/ : 1

tar -xzvf /tmp/blacklist.tar.gz -C /var/lib/squidguard/db/

Edite o arquivo /etc/squid/squidGuard.conf e substitua seu conteúdo pelo mostrado abaixo: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

# # CONFIG FILE FOR SQUIDGUARD # # Caution: do NOT use comments inside { } # dbhome /var/lib/squidguard/db/blacklists logdir /var/log/squid3 dest pornografia { domainlist porn/domains urllist porn/urls log squidGuard_blocks.log } dest adulto { domainlist adult/domains urllist adult/urls log squidGuard_blocks.log } dest agressivo { domainlist aggressive/domains urllist aggressive/urls log squidGuard_blocks.log


12/34

13/3/2014

26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46


} dest jogos { domainlist gambling/domains urllist gambling/urls log squidGuard_blocks.log } dest whitelist { domainlist whitelist/domains urllist whitelist/urls } acl { default { pass whitelist !pornografia !adulto !agressivo !jogos all redirect http://www.google.com.br/search?q=%t } }

Você deve ajustar este arquivo incluindo outras categorias ou regras de acordo com suas necessidades. Para saber as categorias da blacklist utilizada verifique o conteúdo do arquivo /var/lib/squidguard/db/blacklists/CATEGORIES. Para aprender sobre as regras do squidGuard verifique a documentação do squidGuard (http://www.squidguard.org/Doc/ ). Você pode usar a ACL src e incluir os usuários do Active Directory. Infelizmente não há uma forma simples de utilizar grupos para estas diretivas. Este tipo de controle não é necessário pois o Squid é quem ficará responsável por fazer uma pré-filtragem dos grupos de usuários do AD. Inicialize a blacklist, criando arquivos .db para as categorias definidas no squidGuard.conf e ajustando as permissões: 1 2

squidGuard -C all chown proxy:proxy -R /var/lib/squidGuard/db

Teste o squidGuard executando o comando abaixo: 1

echo "playboy.com.br - - GET" | squidGuard -c /etc/squid/squidGuard.c

A saída será semelhante a abaixo: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

2013-07-12 14:54:08 [8204] New setting: dbhome: /var/lib/squidguard/ 2013-07-12 14:54:08 [8204] New setting: logdir: /var/log/squid 2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black 2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla 2013-07-12 14:54:08 [8204] squidGuard 1.4 started (1373651648.249) 2013-07-12 14:54:08 [8204] squidGuard ready for requests (1373651648 2013-07-12 14:54:08 [8204] source not found 2013-07-12 14:54:08 [8204] no ACL matching source, using default 2013-07-12 14:54:08 [8204] Request(default/pornografia/-) playboy.co http://www.google.com.br/search?q=pornografia -/- - GET 2013-07-12 14:54:08 [8204] squidGuard stopped (1373651648.254)


13/34

13/3/2014


A penúltima linha da execução acima mostra que a tentativa de acess o para a URL solicitada foi encaminhada para o redirecionamento de categoria proibida.

C2. Integrando o SquidGuard com o Squid Agora precisamos informar ao Squid para encaminhar os acessos dos usuários do grupo Internet_Acesso_Padrao para a avaliação do SquidGuard. Para fazer isso, edite o arquivo /etc/squid3/squid.conf e inclua as linhas abaixo no final do arquivo: 1 2 3 4

url_rewrite_access deny rede_local acesso_completo url_rewrite_access allow all url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf url_rewrite_children 20 startup=0 idle=1 concurrency=0

Recarregue o squid para que as novas configurações sejam ativadas: 1

service squid3 reload

C3. Página de erros personalizada para o SquidGuard Se desejar você pode configurar uma página de erros para o SquidGuard semelhante a página de erros do Squid. Para fazer isso você pode utilizar um servidor web já existente em sua rede e apenas ajustar o squidGuard.conf para redirecionar para seu servidor. Outra opção é instalar o apache e colocar uma página PHP personalizada diretamente em seu servidor Squid. Para instalar o apache e o PHP execute: 1

sudo apt-get install apache2 php5 libapache2-mod-php5

Crie o arquivo /var/www/squidGuard.php com o conteúdo abaixo. Ajuste o que julgar necessário, em especial a linha destacada. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

&1', $output); return implode("\n", $output); } function

$usuario=$_GET["usuario"]; $url=$_GET["url"]; $ip_origem=$_GET["ip_origem"]; $categoria=$_GET["categoria"]; $squidGuard_version = execOutput("/usr/bin/squidGuard -v"); ?> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> ERRO: Você não tem permissão para acessar esta URL

ERRO

Você não tem permissão para ace

Com base nas políticas vigentes, o acesso a URL "

Acesso Negado.

Em caso de dúvidas, entre em contato com o suporte (

Usuário utilizado para este acesso:
URL acessada: ">

Gerado em por

Ajuste a linha redirect do /etc/squid/squidGuard.conf para apontar para a página personalizada. 1

redirect http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=

Recarregue o squid para que as novas configurações sejam ativadas: 1

service squid3 reload

C4. Atualização automática da blacklist Se desejar você pode agendar um script para atualizar a blacklist. Recomendo agendar para uma vez por semana. Crie o arquivo /usr/local/bin/squidGuard_update.sh com o seguinte conteúdo: 1 2 3 4 5 6 7

#!/bin/bash wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?typ tar -xzvf /tmp/blacklist.tar.gz -C /var/lib/squidguard/db/ /usr/bin/squidGuard -C all chown proxy:proxy -R /var/lib/squidguard/db rm /tmp/blacklist.tar.gz service squid3 reload


15/34

13/3/2014


Dê permissão de execução para o script: 1

sudo chmod +x /usr/local/bin/squidGuard_update.sh

Agende o script para executar no crontab do root 1

sudo crontab -e

No final do arquivo inclua a seguinte linha: 1

7 2 0 * * /usr/local/bin/squidGuard_update.sh

Isto informa para o cron executar o script todo domingo (0) às 2:07 da madrugada. Ajuste o horário conforme sua necessidade.

D. Observações e Dicas D1. Como controlar o acesso a redes sociais para um grupo específico do AD Você pode criar outros grupos e liberar o acesso a sites específicos somente para este grupo. Por exemplo, você pode bloquear as redes sociais, criando um grupo no AD chamado Internet_Acesso_Redes_Sociais, incluindo os respectivos dominios (twitter, orkut, facebook, ...) em um novo arquivo chamado /etc/squid3/acls/redes_sociais e incluir as seguintes regras no /etc/squid3/squid.conf : 1 2

acl acesso_redes_sociais external grupo_AD Internet_Acesso_Redes_Soci acl redes_sociais dstdomain -i "/etc/squid3/acls/redes_sociais"

Você pode usar url_regex ao invés de dstdomain, assim você não precisa digitar o nome exato de cada domínio de rede social, bastando escrever o domínio parcialmente em /etc/squid3/acls/redes_sociais . Um exemplo do arquivo /etc/squid3/acls/redes_sociais seria: 1 2 3 4

twitter.com orkut.com facebook.com plus.google.com

Ainda no arquivo /etc/squid3/squid.conf , antes da linha abaixo: 1

http_access allow rede_local acesso_padrao

inclua as seguintes linhas: 1 2

http_access allow redes_sociais acesso_redes_sociais http_access deny redes_sociais

D2. Visualização dos logs de acesso do Squid Escrevi um pequeno script para permitir a visualização dos logs do Squid de uma forma mais simples e fácil de entender. Você precisa ter o gawk instalado pa ra ele funcionar corretamente. Instale-o com o comando abaixo: 1

sudo apt-get install gawk

Crie um arquivo squid3_log.sh com o conteúdo abaixo: 1 2

#!/bin/bash

tail -f /var/log/squid3/access.log | awk '{print strftime("\033[1;31m

Dê permissão de execução: http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

16/34

13/3/2014

1


chmod +x squid3_log.sh

Execute o script para verificar os acessos em tempo real: 1

./squid3_log.sh

Se você receber uma mensagem de erro "awk: function strftime never defined" basta instalar o pacote gawk para resolver: 1

sudo apt-get install gawk

Você pode melhorar o script acima incluindo filtros, usando o grep, para por exemplo encontrar os acessos de usuários específicos e/ou data e hora de acesso determinados. A saída do script acima será algo semelhante a imagem abaixo:

D3. Configuração automática de Proxy (WPAD) Se você não desejar configurar os browsers de cada novo computador em sua rede, basta configura o WPAD. Para saber como fazer isso, verifique o artigo: Descoberta automática de Proxy – WPAD (Web Proxy Auto-Discovery).

D4. Outras Informações Reinicie seu computador e teste todos os acessos com usuários de grupos diferentes antes de colocar o sistema em produção. Em caso de problemas com as regras, descomente (remova o #) a linha debug no começo do /etc/squid3/squid.conf e verifique os logs no /var/log/squid3/cache.log. O Squid é bastante poderoso e integrado ao AD torna-se uma ferramenta incrível e bastante simples de a dministrar. Estude principalmente as ACLs e a aplicação das mesmas com a diretiva http_access. Você vai se surpreender com tudo que é capaz de fazer. Abraços e em caso de dúvidas é só escrever nos comentários. Referências - Squid autenticando no Windows utilizando grupos do AD - Integrating Squid and Samba3 with NTLM authentication - Integrando autenticação do Squid ao Active Directory - SquidGuard - Configuring Squid, SquidGuard, SquidClamAV binded with LDAP Auth

Compartilhar / Favoritos Active Directory

Squid

SquidClamAV

SquidGuard

Ubuntu

Este artigo foi publicado por Nerd em 12 de julho de 2013 às 18:19, nas categorias Linux, Tutoriais. Siga os comentários deste artigo através do RSS 2.0. Você pode pular para o fim e deixar um comentário. Fazer ping não é permitido n o momento. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

17/34

13/3/2014


Artigos Relacionados

Comentários (55)

#1 escrito por greyson 7 MESES ATRÁS Olá Nerd, Mais uma vez um post excelente. Seu site é cheio de conteúdo técnico de ótima qualidade e este não é exceção. Eu realizei a integração do Linux e AD usando o o 12.04 e percebi que o ticket kerberos não é renovado e com isso não consigo mais logar com usuários do domínio via SSH ou Samba, somente com os usuários locais. Isso já aconteceu com você? Aparentemente é alguma configuração do PAM, mas quando gero um novo ticket e recoloco o Linux no domínio, volto a acessar com usuário do domínio normalmente. Segue abaixo os erros gerados pelo auth.log: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS: NT_STATUS_ACCESS_DENIED, Error mess age was: Access denied pam_winbind(sshd:auth): internal module error (retval = PAM_SYSTEM_ERR(4) Qualquer ajuda será muito bem-vinda.

#2 escrito por Nerd 7 MESES ATRÁS Greyson, Obrigado pelos elogios. Eu nunca passei por esse problema em particular, mas uma coisa que já me aconteceu está relacionado ao fato de trabalhar em uma rede com múltiplos controladores de domínio e o winbind as vezes tentar autenticar em um e as vezes em outro controlador. Uma possível saída é remover o servidor do dominio e colocar novamente, tomando o cuidado de forçar o controlador de domínio a ser usado para a autenticação: 1- No arquivo de configuração do kerberos (/etc/krb5.conf): Nas linhas kdc e admin_server coloque o nome de um controlador de dominio em particular. 2- Coloque o mesmo controlador de domínio na entrada "password server" do /etc/samba/smb.conf 3- Pare os serviços winbinbd e smbd 4- Apague o cache do samba (rm -rf /var/lib/samba/*) 5- Exclua a máquina do AD e force uma replicação em todos os controladores de domínio. 6- coloque a máquina no domínio novamente. Não é garantido que vá funcionar, mas é possível. Aproveite e de uma olhada na data e hora de seu servidor e de seus controladores de domínio. Nerd.

#3 escrito por Greyson 7 MESES ATRÁS Obrigado por responder tão prontamente Nerd. Realizei os procedimentos e em seguida dou um feedback, até+ http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

18/34

13/3/2014


#4 escrito por Greyson 7 MESES ATRÁS Olá Nerd. Segui suas orientações e não tive sucesso, mas aí verificando outras op ções, consegui configurar o /etc/pam.d/common-auth para permitir um usuário do domínio logar no servidor. Agora estou com outra situalção: mesmo colocando o usuário do domínio no grupo sudo (Debian Wheezy) não consigo loga r como root. verificando o /var/log/auth.log recebo este erro: sudo: pam_unix(sudo:auth): authentication failure; logname=greyson.farias uid=1003317 euid=0 tty=/dev/pts/1 ruser=greyson.farias rhost= user=greyson.farias Alguma dica?

#5 escrito por Nerd 7 MESES ATRÁS Greyson, O que dá erro é o "sudo su", certo? Você colocou o grupo a qual pertence o usuario greyson.farias no /etc/sudoers? Por exemplo, para o grupo administradores_linux a linha no /etc/sudoers ficaria: %administradores_linux ALL=(ALL) ALL Nerd.

#6 escrito por Greyson 7 MESES ATRÁS Olá Nerd, Obrigado pela resposta. Também consegui resolver essa questão, obrigado. Agora estou com outra situação. Não sei se é bug do samba, mas quando coloco a máquina no domínio e compartilho os diretórios, de uma hora para outra, os usuários não conseguem mais acessar os compartilhamentos. Por ex. \\FILESERVER ou \\IPDoServer então o servidor fica o tempo inteiro solicitando autenticação, mesmo digitando no login: DOMINIO\usuário e digitando a senha, isso ocorre com quaisquer usuários. Eu verifico com wbinfo -u e wbinfo -g e são listados os usuários e grupos. Também executo getent passwd e getent group e também recebo os usuários e grupos do AD. o Samba que estou utilizando no Debian Wheezy é o 3.6.6 (não sei qual é no ubuntu 12.04) e no Debian Squeeze é o 3.5.4. (está funcionando sem prob lemas, mas como é oldstable, estou querendo migrar) Você já passou por isso? se já, conseguiu resolver?

#7 escrito por Nerd 7 MESES ATRÁS Greyson, A única vez que me lembro de ter passado por esse problema foi quando estava com a data do servidor errada. Nos logs do samba e do winbind não tem nada que possa ajudar a diagnosticar (/var/log/smb)? Nerd.

#8 escrito por Greyson 7 MESES ATRÁS


19/34

13/3/2014


Olá Nerd, Finalmente res olvi. Eu observei durante ess es dias que quando o computador reinicia, ele não renova automaticamente o ticket do kerberos. Consegui resolver este problema utilizando da ferramenta kutil e seguindo este post: http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-oktutil/ . Deixo aqui registrado meus sinceros agradecimentos e mais uma vez parabéns pela excelente postagem.

#9 escrito por Nerd 7 MESES ATRÁS Maravilha Greyson. Obrigado por compartilhar a dica. Nerd.

#10 escrito por Gustavo 6 MESES ATRÁS Olá amigos! Sou neewbie e travei na parte do ktutil. Eu tentei instala-lo, mas não fui feliz (apt-get install krb5-user). Tem algum macete?

#11 escrito por Nerd 6 MESES ATRÁS Gustavo, Creio que a instalação do ktutil não tem a ver com este tutorial e sim com um pr oblema específico de outro usuário. Sugiro seguir as dicas do tutorial mencionado pelo autor da dúvida. Nerd.

#12 escrito por Anderson 6 MESES ATRÁS Ola galera, ve se alguem pode me ajudar. Eu preciso configurar o squidguard para trabalhar com o AD e com grupos. Por exemplo o grupo(do AD) Internet_Acesso_Completo pass a s omente pelo filtro porn do squidguard, ja o grupo Internet_Acesso_Padrao passa pelo filtro porn, audio-video e redes sociais por exemplo. alguem ja fez esta configuração? É possive? Obrigado

#13 escrito por Nerd 6 MESES ATRÁS Anderson, Este tipo de configuração mais avançada é complicada. Eu também gostaria de uma solução para isto, mas infelizmente não há milagres. A solução apr esentada neste tutorial manda tudo ou nada par a o squid guard. O squid guard não entende os grupos da AD, então quem faz a filtragem é o Squid. O que dá para fazer é colocar, nas regras do squid guard (squidGuard.conf), as siglas dos usuários que serão filtrados de forma diferente, mas não grupos. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

20/34

13/3/2014


Nerd.

#14 escrito por Anderson 6 MESES ATRÁS Entendi, Valeu!!!

#15 escrito por Alex Manzo 4 MESES ATRÁS Eu consegui usando LDAP assim: 1) Criar a src no squidguard.conf conforme exemplo: src EXEMPLO { ldapusersear ch ldap://SERVIDOR-DOAD:3268/DC=DOMINIO,DC=COM?sAMAccountName? sub?(&(sAMAccountName=%s)(memberOf=CN=NOMEDO-GRUPO%2cOU=NOME-DA-OU-ONDE-ESTA-OGRUPO%2cDC=DOMINIO%2cDC=COM)) } 2) Criar a ACL dentro do squidguard.conf antes ou após a ACL default: acl { default { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !redessociais !virusinfected !games !malware !hacking !onlinegames !proxy !spyware !radio !multimidia !entretenimento !compartilhamento !hospedeiro !webcommerce !shopping !bate-papo all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem=% a&categoria=%t } EXEMPLO { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !red essociais !virusinfected !games !malware !hacking !onlinegames !proxy !spywa re !radio !multimidia !entretenimento !compartilhamento !hospedeiro all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem= %a&categoria=%t } }

#16 escrito por Nerd 4 MESES ATRÁS Alex, Dessa forma consegue fazer as regras respeitarem os grupos do AD? Nerd.

#17 escrito por Greyson 2 MESES ATRÁS Olá Alex, Como você declarou as variáveis ldapbinddn, ldapbindpass e ldapcachetime ?? http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

21/34

13/3/2014


#18 escrito por Gustavo 6 MESES ATRÁS Nerd, muito obrigado por compartilhar conosco este procedimento incrível!!! Parabéns!!!!! Não percebi abordagem sobre o tema cache. É possivel adicionarmos um cache aqui, para enfim, tornar isso o "estado da arte"? Abraço!

#19 escrito por Nerd 6 MESES ATRÁS Gustavo, Veja se isto lhe ajuda: http://blogdonerd.com.br/2011/09/proxysquid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-eregras-baseadas-em-grupos-do-ad/ Nerd.

#20 escrito por Gustavo 6 MESES ATRÁS Oi Nerd! Hãããããaaa vc é o cara! Deu certinho!!!! Hoj efarei os testes. A unica coisa que nao passou, mas vou me esforçar mais, é o SquidGuard (fui usar outra lista, uma free... acho que foi ai que pegou). Outra pergunta: Eu tenho uma VPN na empres a, da Cisco. Quando me conecto de casa por ela, eu ganho um IP 192.168.255.x. Lá na minha configuração informei que minha rede local para é 10.0.0.0/16. Como fica a rede da VPN neste caso, pois quando fui usar o proxy daqui não rolou, ficou tudo travado. Mais um ultimo pedido. Será que vc pode me ajudar a interpretar o log para saber onde parou e pq? Abraço e parabéns. É muito nobre fazer isso que vc faz

#21 escrito por Nerd 6 MESES ATRÁS Gustavo, Inclua mais uma acl rede_local no seu squid.conf: acl rede_local sr c 10.0.0.0/16 acl rede_local s rc 192.168.255.0/24 Só certifique-se de haver conectividade entre as redes. Um ping para o IP de seu proxy é um bom teste. Nerd.

#22 escrito por Marcel Luis 5 MESES ATRÁS http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

22/34

13/3/2014


Prezado amigo, parabens pelo seu artigo muito bom mesmo. Consegui fazer funcionar redondinho. No entanto estou com problema no seguinte, crei a seguinte regr a: acl sites_bloqueado_squidguard dstdomain -i "/var/lib/squidguard/db/blacklists/porn/domains" depois fiz o bloqueio: http_access deny sites_bloqueado_squidguard aces so_padrao Agora oque acontece, toda vez que o usuario do grupo acesso padrao tenta acessar um site proibido da acl ele em vez de mostrar mensagem de acesso bloqueado ele pede login e senha. Tem como me ajudar nisso?

#23 escrito por Nerd 5 MESES ATRÁS Marcel, Esse característica do Squid é bem chata. Não garanto que vá resolver, mas tente trocar a linha http_access deny sites_bloqueado_squidguard aces so_padrao por http_access allow sites_bloqueado_squidguard !acesso_padrao Nerd.

#24 escrito por Marcel Luis 5 MESES ATRÁS Infelizmente Nerd não funcionou. Continua pedindo senha em vez de mostrar logo de cara o bloqueio....

#25 escrito por Nerd 5 MESES ATRÁS Marcel, Isso é um problema complicado com o Squid. Eu mesmo enfrento esse problema em uma de minhas rede e não consegui uma solução satisfatória. Tente trabalhar com a ordem de suas regras. Habilite o log para ver em que momento é pedido a senha. Pode ser que ajude. Se encontrar uma solução ficarei feliz se puder compartilhar conosco. Uma outra sugestão que lhe dou é a seguinte: http_access allow sites_bloqueado_squidguard !acesso_padrao http_acess deny sites_bloqueado_squidguard Nerd.

#26 escrito por Marcel 4 MESES ATRÁS Nada também.. continua pedindo senha..

#27 escrito por Osvaldo 5 MESES ATRÁS


23/34

13/3/2014


Excelente artigo! Estou tentando entender pra que serve a acl sites_liberados pois na acl acesso_bloqueado não tem exceção para acesso aos sites liberados, assim o grupo padrão acessa tudo menos os proibidos e o completo tem acesso total. Tentei liberar alguns sites na acl sites_liberados porém não consigo liberar dessa forma: http_access deny acesso_bloqueado !sites_liberados

Apenas consegui liberar usando a acl sites_liberados_sem_auth, por ém remete a mesma dúvida da serventia do acl sites_liberados.

#28 escrito por Nerd 5 MESES ATRÁS Osvaldo, Não sei exatamente o que deseja fazer, mas você pode criar uma regra de allow para um grupo ou todos antes de negar o acesso para o grupo acesso_bloqueado http_access allow sites_liberados #libera acesso para todos que conseguirem se autenticar no squid, inclusive os do grupo acesso_bloqueado http_access deny acesso_bloqueado #s e não foi aceito pela regra acima, então bloqueia o acesso para usuários do grupo acesso_bloqueado Nerd

#29 escrito por Rodrigo 4 MESES ATRÁS Olá! Achei muito interessante sua postagem e gostaria de saber se da para rodar essa configuração com o samba 4 como controlador de dominio e o que precisaria mudar?

#30 escrito por Gustavo 4 MESES ATRÁS Olá pessoal! Aprendi e configurei o meu squid com autenticação aqui com o Nerd. Gostaria de deixar minha contribuição nesta questão de liberação de acesso. Segue o que fiz aqui. # acls default squid acl purge method PURGE acl CONNECT method CONNECT acl POST method POST acl FTP proto FTP # acl para obter grupos do AD external_acl_type grupo_AD ipv4 ttl=30 %LOGIN /usr/lib/s quid3/wbinfo_group.pl # Grupos do AD acl acesso_completo external grupo_AD BR_Internet_Acesso_Completo acl acesso_padrao external grupo_AD BR_Internet_Acesso_Padrao acl acesso_wengo external grupo_AD BR_Internet_W http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

24/34

13/3/2014


acl acesso_bloqueado external grupo_AD BR_Internet_Acesso_Bloqueado # acls de seguranÃ§proteÃ§ do cache acl manager pr oto cache_object # acls de URLS com bypass no CISCO ASA acl sites_bypass url_regex -i "/etc/squid3/acls/sites_bypass" # acl de controle da operacao W acl sites_wengo url_regex -i "/etc/squid3/acls/sites_wengo" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" acl sites_liberados_sem_auth url_regex -i "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo calÃ£ etc acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" acl itunes_browser browser iTunes.* acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.* acl sites_no_cache url_regex -i "/etc/squid3/sites_no_cache" cache deny sites_no_cache always_direct allow FTP always_direct allow sites_no_cache # acl para bypass de sites da W always_direct allow sites_bypass

#31 escrito por Nerd 4 MESES ATRÁS Valeu pela contribuição Gustavo. Nerd.

#32 escrito por Nerd 4 MESES ATRÁS Rodrigo, Nunca tentei, mas creio que deva funcionar sem grandes alterações. Só testando para saber. Nerd.

#33 escrito por Alex Manzo 4 MESES ATRÁS Boa noite, eu não entendi o seu comentário referente ao método post no squid.conf que diz as sim: "# libera método POST sem autenticação. Para evitar p roblemas" Desculpe minha ignorância, para que serve o método POST? http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

25/34

13/3/2014


Outra dúvida, como faço para resolver problema de acesso com site do banco do brasil onde o applet java fica solicitando autenticação do usuário e senha do domínio que mesmo inserindo as informações ele não funciona? Agradeço muito por s ua contribuição!

#34 escrito por Gustavo 4 MESES ATRÁS Olá amigo! Acho que o Nerd é o melhor para responder isso. Como disse, peguei tudo aqui

#35 escrito por Nerd 4 MESES ATRÁS Alex, O acesso HTTP funciona com diversos métodos de requisição. Os dois mais comuns são o GET e o POST. Algumas vezes o método POST pode te trazer problemas com a autenticação. Se estiver enfrentando problemas, o ideal é liberar o acesso. Com relação ao Java e o BB, o ideal é você colocar os endereços do BB que o java usa na lista de sites liberados sem autenticação. Também é bom verificar a porta utilizada para o acesso do BB. Nerd.

#36 escrito por Alex Manzo 4 MESES ATRÁS Nerd, a porta utilizada pelo site do bb junto com o app java é a 443... mesmo qdo relaciono os sites envolvidos naquela acl de sites_sem_autenticacao ele ainda acaba exibindo prompt do add java solicitando a senha... aí eu resolvi provisoriamente liberando a porta 443 antes da autenticação do AD, só que qualquer coisa relacionada a HTTPS acaba passando por fora do filtro como o facebook por exemplo... como devo tratar essa exceção do bb? abraços

#37 escrito por Alex Manzo 4 MESES ATRÁS Nerd, antes que você responda acho que a única solução é inserir via GPO exceção para o site https://aapj.bb.com.br nos navegadores das máquinas, pois todas que necessitam acessar o applet java do banco fazem par te do AD... Não consegui visualizar outra solução tendo em vista que o J ava é incompatível com autenticação NTLM do s quid (vi isso em algum fórum do pfsense ou no squid.org ou no oracle.com... nao me lembro, mas foi em algum site importante! rs). Outra coisa, percebi que o squidguard não trata sites HTTPS.... porque se desse certo pra jogar requisições https passando pelo squidguard automaticamente resolveria meu problema com bancos.... Há alguma forma de fazê-lo? o que acha NERD? Abx


26/34

13/3/2014


#38 escrito por Nerd 4 MESES ATRÁS Alex, O Java é sempre um problema. Você pode configurar o Java para não usar o Proxy e tratar as requisições direto no Firewall. O WPAD pode ser uma solução (http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-autodiscovery/ ). Nerd.

#39 escrito por Nerd 4 MESES ATRÁS Alex, Você usa WPAD em sua rede? Talvez possa ser uma solução para que o Java acesse a Internet direto sem passar pelo proxy. De uma lida nesse artigo: http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-auto-discovery/ Nerd.

#40 escrito por Alex Manzo 4 MESES ATRÁS sim uso WPAD mas putz, agora que caí na real... meu WPAD está no s imples do s imples... apenas indicando o proxy sem informar os sites que nao precisam passar por ele... Eu ainda por cima estou utilizando GPO e na GPO está cor reto... esta acontecendo um conflito.... agora estou certo disso...

#41 escrito por Alex Manzo 4 MESES ATRÁS Nerd, mais uma vez sem querer abusar, como faço para cachear windows update para não ficar saturando meu link? existe alguma ferra menta que seja similar ao wsus em open source? Depois que implementei essa maravilhosa solução muita gente está querendo me bater! o que eu faço? chamo o a polícia ou melhor chamar a ambulância? hehehe

#42 escrito por Nerd 4 MESES ATRÁS Alex, A melhor maneira que conheço é utilizar o WSUS. Ele é gratuito, o custo seria somente a licença do Windows do servidor em que ele irá rodar. Você pode instalar em um servidor windows qualquer de sua rede, compartilhando os recursos do mesmo. Eu costumo colocar ele junto com o servidor de Anti Virus. Nerd.

#43 escrito por Mr. Emerson 3 MESES ATRÁS http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

27/34

13/3/2014


Olá Nerd. Graças a seu tutorial temos um belo proxy rodando a alguns meses sem maiores problemas por aqui, mas um probleminha tem me atormentado na última semana: Office 2013. Chegaram umas máquinas novas com o Office 2013 embarcado e sempre que o usuário carrega o Word, por exemplo, aparecem aquelas janelas do proxy pedindo autenticação par a um site da Microsoft. Coloquei três domínios da Microsoft no arquivo sites_liberados_sem_autenticacao e eis que depois, a janela de autenticação começou a me apontar para o bizarro endereço autodiscover.MEUDOMINIO. Bem, adicionei também esse endereço (que sequer existe em nossa rede) e funcionou. Então fica a dica pra quem tem o Office 2013 adiconar essas quatro linhas no arquivo sites_liberados_sem_autentcacao: .office.microsoft.com .officeapps.live.com .vo.msecnd.net autodiscover.MEUDOMINIO (troque MEUDOOMINIO pelo domínio da sua rede) Aproveitando. Nerd, essa janelas s olicitando autenticação são extremamente irritantes. Qualquer engasgada no Proxy ou no AD já é motivo para elas serem mostradas para o usuário. Você já conseguiu alguma maneira delas desaparecerem completamente? abs

#44 escrito por Gustavo 3 MESES ATRÁS Olá Mr. Emerson! Tudo bem? Acho que posso te ajudar com isso. Eu passei pelo mesmo enrosco e resolvi colocando os sites do office em uma lista de acesso que não pede autenticação e antes das demais regras de liberação de sites. Fiz assim: # acls de URLS com bypass no CISCO ASA - vao direto para o firewall, que é um appliance acl sites_bypass dstdomain "/etc/squid3/acls/sites_bypass" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" # Sites liberados e SEM AUTENTICACAO NECESSARIA acl sites_liberados_sem_auth dstdomain "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo calao acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" #acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" #acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" Espero que te ajude http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

28/34

13/3/2014


#45 escrito por Nerd 3 MESES ATRÁS Valeu pela contribuição Gustavo. Nerd.

#46 escrito por Nerd 3 MESES ATRÁS Valeu pela dica Mr. Emerson! Com relação ao problema das janelas de autenticação eu raramente tenho problemas com elas. Elas aparecem de vez em quando, mas diria que chego a passar mais de uma semana sem as vê-las. Nerd

#47 escrito por Mr. Emerson 3 SEMANAS ATRÁS Nerd estou com problemas sérios com alguns periódicos do Capes. Aqui muita gente faz uso desses periódicos e alguns não estão abrindo. Comecei a estudar os links e percebi que o Capes encapsula todos os links de periódicos externos dentro do domínio periodicos.capes.gov.br, e aí está o problema. Não sei porque cargas d'águas o endereço periodicos.capes.gov.br e seus derivados não aparecem no log do Squid. Eu deixo aquele script de log aberto fazendo grep no meu ip e todos os sites que acesso são exibidos, menos o do periodicos do Capes. Como pode uma coisa dessas? Eu estou apontado para o proxy, mas o site que visito não passa pelo proxy. Alguém poderia testar por favor, pra ver se essa maluquice também acontece com vocês? Um dos periódicos que não acesso é esse aqui: http://ovidsp.tx.ovid.com.ez106.periodicos.capes.gov.br/sp3.11.0a/ovidweb.cgi? QS2=434f4e1a73d37e8c79e5d8c142641a540d2ebd566019426c906a6f91ae7b352dcc5bdf5072d17fc3ab53507a2270466 Dá erro de timeout com o servidor proxy. Já fiz os testes com capes.gov.br no arquivo sites_sem autenticacao e o problema persiste. abs

#48 escrito por Evandro 2 SEMANAS ATRÁS Bom dia, Estou configurando squid aqui no laboratório de informática da escola, e aparentemente estava tudo ok. Sou bastante novato com linux, portanto tenha paciência, por favor. O problema é que quando configuro o proxy nas máquinas aparece uma página de acesso negado ao cache e pede para efetuar login (aparece a janela p edindo login e senha). Segue squid.conf ########### INICIO DO SCRIPT ########################## http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

29/34

13/3/2014


#Porta padrao proxy http_port 3128 #Endereco de E-mail do administrador do proxy cache_mgr [email protected] #Nao faz cache de dados de formularios html,em de resultados de programas cgi #hierarchy_stoplist cgi-bin ? #Cria uma access control list, baseando-se na url e utilizando exp. regulares nesta situacao #foi criado uma exp. regular para cgi e ?. acl QUERY urlpath_regex cgi-bin \? #Nao faz cache da acl QUERY cache deny QUERY #Define o tamanho maximo de um ob jeto para seu armazenamento no cache local maximum_object_size 40960 KB #Define o tamanho minimo de um objeto para seu armazenamento no cache local minimum_object_size 0 KB #Define o tamanho maximo de um ob jeto para seu armazenamento no cache de memoria maximum_object_size_in_memory 64 KB #Definicao da quantidade de memoria ram a ser alocada para cache cache_mem 128 MB #Para nao bloquear downloads quick_abort_min -1 KB # Resolve um problema com conexõsistentes que ocorre com certos servidores, # e que provoca delays em nosso cache. detect_broken_pconn on # Provoca um ganho de performance ao usar conexõeline (requisiçem paralelo) pipeline_prefetch on #Para cache de fqdn fqdncache_size 2048 #Tempo de atualizacao dos objetos relacionados aos prot ftp, gopher e http. refresh_pattern ^ftp:// 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #Definicao da porcentagem do uso do cache que fara o squid descartar os arquivos mais antigos cache_swap_low 90 cache_swap_high 95 #Logs access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log #Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e por fim a qtd de dir filhos cache_dir ufs /var/spool/squid3 100 16 256 http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

30/34

13/3/2014


#Controle do arquivo de Log logfile_rotate 10 #Arquivo que contem os nomes de maquinas hosts_file /etc/hosts #Maquinas que nao pr ecisaram de autenticacao "Colocar IP" acl liberados src "/etc/squid3/liberados/liberados" http_access allow liberados #liberar o acesso ao site da caixa que está problemas acl bancos dstdomain "/etc/squid3/liberados/bancos" always_direct allow bancos cache deny bancos #MACS que estao liberados. acl macliberado arp "/etc/squid3/liberados/mac_liberado" http_access allow macliberado #### Autenticao no Windows 2008 via WINBIND auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid2.5-ntlmssp auth_param ntlm children 30 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy server auth_param basic credentialsttl 9 hours external_acl_type ad_group ttl=600 children=10 %LOGIN /usr/lib/s quid3/wbinfo_group.pl ### ACL Padroes acl manager pr oto cache_object acl localhost src 127.0.0.1/32 acl SSL_ports port 443 # https acl SSL_ports port 444 # https acl SSL_ports port 447 # https acl SSL_ports port 563 # https acl SSL_ports port 873 # https acl SSL_ports port 7443 # https acl SSL_ports port 1000 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ftp acl Safe_ports port 20 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered por ts acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 1080 acl Safe_ports port 1863 acl Safe_ports port 8443 # https acl Safe_ports port 5222 # gTalk acl Safe_ports port 5223 # gTalk acl Safe_ports port 47057 # torrent http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

31/34

13/3/2014


acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Seguranca (Protecao do Cache) acl manager pr oto cache_object #Limita conexeos HTTP acl connect_abertas maxconn 8 #sites que nao serao feito cache geralmente bancos acl NOCACHE url_regex "/etc/squid3/liberados /direto" \? no_cache deny NOCACHE #-------------------------------------------------------------------------------# # Nome ACL TIPO Nome Grupo AD # #-------------------------------------------------------------------------------# acl acesso_vip external ad_group aces so_vip acl acesso_normal external ad_group acesso_normal acl acesso_rede_social external ad_group acesso_rede_social acl acesso_videos external ad_group acesso_videos acl acesso_download external ad_group aces so_download acl acesso_bloqueado external ad_group acesso_bloqueado # WHITE-LIST acl sites-liberados url_regex -i "/etc/squid3/liberados/sites_liberados" acl sites-almoco url_regex -i "/etc/squid3/liberados/sites_almoco" # BLACK-LIST acl downloads url_regex -i "/etc/squid3/bloqueados/downloads" acl sites-proibidos url_regex -i "/etc/squid3/bloqueados/sites_proibidos" acl sites-bloqueados url_regex -i "/etc/squid3/bloqueados/sites_bloqueados" acl sites-videos url_regex -i "/etc/squid3/bloqueados/sites_videos" acl sites-redes-sociais url_regex -i "/etc/squid3/bloqueados/sites_redes_sociais" acl malware url_regex -i "/etc/squid3/bloqueados/sites_malware" acl extencoes urlpath_regex -i "/etc/squid3/bloqueados/extencoes" #Bloquear determinados usuarios autenticados acl usu_bloqueados proxy_auth "/etc/squid3/bloqueados/usu_bloqueados" #Controle de acesso por horáaqui, vamos liberar o acesso no horádo almoçqui os usuávãder acessar alguns sites diferenciados entre as 12:00 até13:00 acl almoco time MTWHFAS 12:00-13:00 #Agora vamos criar uma regra para garantir que os usuá que vãessar no almoçtãtenticados acl autenticados proxy_auth REQUIRED ################################## Permissoes de Acesso ################################## # usuarios vips tem permissao total menos a sites proibidos http_access allow acesso_vip # bloqueio de extencoes para todos menos usuario vip http_access deny extencoes !acesso_vip http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

32/34

13/3/2014


# sites malware proibidos para todos os grupos http_access deny malware # usuarios acesso normal e bloqueado em tudo http_access allow acesso_normal !sites-proibidos !downloads !sitesbloqueados !sites-videos !sites-redes-sociais # usuarios acesso rede social acessa rede social menos os demais http_access allow acesso_rede_social !sites-proibidos !downloads !sitesbloqueados !sites-videos #usuarios sites de video acessa videos menos os demais http_access allow acesso_videos !sites-proibidos !downloads !sitesbloqueados !sites-redes-sociais # sites liberados para todos http_access allow sites-liberados #Aqui vamos cruzar as acls para garantir que os usuá que vãessar os sites no almoçtejam autenticados http_access allow almoco autenticados sites-almoco ################################ acls de bloqueios ######################################## http_access deny downloads http_access deny sites-bloqueados http_access deny usu_bloqueados http_access deny sites-videos http_access deny sites-redes-sociais # sites proibidos para todos os grupos http_access deny sites-proibidos #regra de bloqueio geral (bloqueio de toda a empresa, libera o que eu liberar) #http_access deny all http_reply_access allow all icp_access allow all miss_access allow all # nome visivel do servidor visible_hostname BARPROXY01 # diretorio de paginas de erro error _directory /var/www/acessonegado/ # erro personalizado por acl "regra" #deny_info http://caminho malware #cache_effective_group proxy cache_effective_user proxy coredump_dir /var/spool/squid3

#49 escrito por Nerd 4 MESES ATRÁS Marcel, Você habilitou os logs? Em que regra está parando com a solicitação de senha? Nerd.

#50 escrito por Marcel 4 MESES ATRÁS Segue log do cache.log http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

33/34

Blog do Nerd » Configurando Squid e SquidGuard no Ubuntu (12

Recommend Documents

ERRO