Com base nas políticas vigentes, o acesso a URL " Acesso Negado. Em caso de dúvidas, entre em contato com o suporte ( Usuário utilizado para este acesso:
URL acessada: ">
Com base nas políticas vigentes, o acesso a URL " Acesso Negado. Em caso de dúvidas, entre em contato com o suporte ( Usuário utilizado para este acesso:
URL acessada: ">
Gerado em por
Ajuste a linha redirect do /etc/squid/squidGuard.conf para apontar para a página personalizada. 1
redirect http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=
Recarregue o squid para que as novas configurações sejam ativadas: 1
service squid3 reload
C4. Atualização automática da blacklist Se desejar você pode agendar um script para atualizar a blacklist. Recomendo agendar para uma vez por semana. Crie o arquivo /usr/local/bin/squidGuard_update.sh com o seguinte conteúdo: 1 2 3 4 5 6 7
#!/bin/bash wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?typ tar -xzvf /tmp/blacklist.tar.gz -C /var/lib/squidguard/db/ /usr/bin/squidGuard -C all chown proxy:proxy -R /var/lib/squidguard/db rm /tmp/blacklist.tar.gz service squid3 reload
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
15/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Dê permissão de execução para o script: 1
sudo chmod +x /usr/local/bin/squidGuard_update.sh
Agende o script para executar no crontab do root 1
sudo crontab -e
No final do arquivo inclua a seguinte linha: 1
7 2 0 * * /usr/local/bin/squidGuard_update.sh
Isto informa para o cron executar o script todo domingo (0) às 2:07 da madrugada. Ajuste o horário conforme sua necessidade.
D. Observações e Dicas D1. Como controlar o acesso a redes sociais para um grupo específico do AD Você pode criar outros grupos e liberar o acesso a sites específicos somente para este grupo. Por exemplo, você pode bloquear as redes sociais, criando um grupo no AD chamado Internet_Acesso_Redes_Sociais, incluindo os respectivos dominios (twitter, orkut, facebook, ...) em um novo arquivo chamado /etc/squid3/acls/redes_sociais e incluir as seguintes regras no /etc/squid3/squid.conf : 1 2
acl acesso_redes_sociais external grupo_AD Internet_Acesso_Redes_Soci acl redes_sociais dstdomain -i "/etc/squid3/acls/redes_sociais"
Você pode usar url_regex ao invés de dstdomain, assim você não precisa digitar o nome exato de cada domínio de rede social, bastando escrever o domínio parcialmente em /etc/squid3/acls/redes_sociais . Um exemplo do arquivo /etc/squid3/acls/redes_sociais seria: 1 2 3 4
twitter.com orkut.com facebook.com plus.google.com
Ainda no arquivo /etc/squid3/squid.conf , antes da linha abaixo: 1
http_access allow rede_local acesso_padrao
inclua as seguintes linhas: 1 2
http_access allow redes_sociais acesso_redes_sociais http_access deny redes_sociais
D2. Visualização dos logs de acesso do Squid Escrevi um pequeno script para permitir a visualização dos logs do Squid de uma forma mais simples e fácil de entender. Você precisa ter o gawk instalado pa ra ele funcionar corretamente. Instale-o com o comando abaixo: 1
sudo apt-get install gawk
Crie um arquivo squid3_log.sh com o conteúdo abaixo: 1 2
#!/bin/bash
tail -f /var/log/squid3/access.log | awk '{print strftime("\033[1;31m
Dê permissão de execução: http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
16/34
13/3/2014
1
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
chmod +x squid3_log.sh
Execute o script para verificar os acessos em tempo real: 1
./squid3_log.sh
Se você receber uma mensagem de erro "awk: function strftime never defined" basta instalar o pacote gawk para resolver: 1
sudo apt-get install gawk
Você pode melhorar o script acima incluindo filtros, usando o grep, para por exemplo encontrar os acessos de usuários específicos e/ou data e hora de acesso determinados. A saída do script acima será algo semelhante a imagem abaixo:
D3. Configuração automática de Proxy (WPAD) Se você não desejar configurar os browsers de cada novo computador em sua rede, basta configura o WPAD. Para saber como fazer isso, verifique o artigo: Descoberta automática de Proxy – WPAD (Web Proxy Auto-Discovery).
D4. Outras Informações Reinicie seu computador e teste todos os acessos com usuários de grupos diferentes antes de colocar o sistema em produção. Em caso de problemas com as regras, descomente (remova o #) a linha debug no começo do /etc/squid3/squid.conf e verifique os logs no /var/log/squid3/cache.log. O Squid é bastante poderoso e integrado ao AD torna-se uma ferramenta incrível e bastante simples de a dministrar. Estude principalmente as ACLs e a aplicação das mesmas com a diretiva http_access. Você vai se surpreender com tudo que é capaz de fazer. Abraços e em caso de dúvidas é só escrever nos comentários. Referências - Squid autenticando no Windows utilizando grupos do AD - Integrating Squid and Samba3 with NTLM authentication - Integrando autenticação do Squid ao Active Directory - SquidGuard - Configuring Squid, SquidGuard, SquidClamAV binded with LDAP Auth
Compartilhar / Favoritos Active Directory
Squid
SquidClamAV
SquidGuard
Ubuntu
Este artigo foi publicado por Nerd em 12 de julho de 2013 às 18:19, nas categorias Linux, Tutoriais. Siga os comentários deste artigo através do RSS 2.0. Você pode pular para o fim e deixar um comentário. Fazer ping não é permitido n o momento. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
17/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Artigos Relacionados
Comentários (55)
#1 escrito por greyson 7 MESES ATRÁS Olá Nerd, Mais uma vez um post excelente. Seu site é cheio de conteúdo técnico de ótima qualidade e este não é exceção. Eu realizei a integração do Linux e AD usando o o 12.04 e percebi que o ticket kerberos não é renovado e com isso não consigo mais logar com usuários do domínio via SSH ou Samba, somente com os usuários locais. Isso já aconteceu com você? Aparentemente é alguma configuração do PAM, mas quando gero um novo ticket e recoloco o Linux no domínio, volto a acessar com usuário do domínio normalmente. Segue abaixo os erros gerados pelo auth.log: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS: NT_STATUS_ACCESS_DENIED, Error mess age was: Access denied pam_winbind(sshd:auth): internal module error (retval = PAM_SYSTEM_ERR(4) Qualquer ajuda será muito bem-vinda.
#2 escrito por Nerd 7 MESES ATRÁS Greyson, Obrigado pelos elogios. Eu nunca passei por esse problema em particular, mas uma coisa que já me aconteceu está relacionado ao fato de trabalhar em uma rede com múltiplos controladores de domínio e o winbind as vezes tentar autenticar em um e as vezes em outro controlador. Uma possível saída é remover o servidor do dominio e colocar novamente, tomando o cuidado de forçar o controlador de domínio a ser usado para a autenticação: 1- No arquivo de configuração do kerberos (/etc/krb5.conf): Nas linhas kdc e admin_server coloque o nome de um controlador de dominio em particular. 2- Coloque o mesmo controlador de domínio na entrada "password server" do /etc/samba/smb.conf 3- Pare os serviços winbinbd e smbd 4- Apague o cache do samba (rm -rf /var/lib/samba/*) 5- Exclua a máquina do AD e force uma replicação em todos os controladores de domínio. 6- coloque a máquina no domínio novamente. Não é garantido que vá funcionar, mas é possível. Aproveite e de uma olhada na data e hora de seu servidor e de seus controladores de domínio. Nerd.
#3 escrito por Greyson 7 MESES ATRÁS Obrigado por responder tão prontamente Nerd. Realizei os procedimentos e em seguida dou um feedback, até+ http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
18/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#4 escrito por Greyson 7 MESES ATRÁS Olá Nerd. Segui suas orientações e não tive sucesso, mas aí verificando outras op ções, consegui configurar o /etc/pam.d/common-auth para permitir um usuário do domínio logar no servidor. Agora estou com outra situalção: mesmo colocando o usuário do domínio no grupo sudo (Debian Wheezy) não consigo loga r como root. verificando o /var/log/auth.log recebo este erro: sudo: pam_unix(sudo:auth): authentication failure; logname=greyson.farias uid=1003317 euid=0 tty=/dev/pts/1 ruser=greyson.farias rhost= user=greyson.farias Alguma dica?
#5 escrito por Nerd 7 MESES ATRÁS Greyson, O que dá erro é o "sudo su", certo? Você colocou o grupo a qual pertence o usuario greyson.farias no /etc/sudoers? Por exemplo, para o grupo administradores_linux a linha no /etc/sudoers ficaria: %administradores_linux ALL=(ALL) ALL Nerd.
#6 escrito por Greyson 7 MESES ATRÁS Olá Nerd, Obrigado pela resposta. Também consegui resolver essa questão, obrigado. Agora estou com outra situação. Não sei se é bug do samba, mas quando coloco a máquina no domínio e compartilho os diretórios, de uma hora para outra, os usuários não conseguem mais acessar os compartilhamentos. Por ex. \\FILESERVER ou \\IPDoServer então o servidor fica o tempo inteiro solicitando autenticação, mesmo digitando no login: DOMINIO\usuário e digitando a senha, isso ocorre com quaisquer usuários. Eu verifico com wbinfo -u e wbinfo -g e são listados os usuários e grupos. Também executo getent passwd e getent group e também recebo os usuários e grupos do AD. o Samba que estou utilizando no Debian Wheezy é o 3.6.6 (não sei qual é no ubuntu 12.04) e no Debian Squeeze é o 3.5.4. (está funcionando sem prob lemas, mas como é oldstable, estou querendo migrar) Você já passou por isso? se já, conseguiu resolver?
#7 escrito por Nerd 7 MESES ATRÁS Greyson, A única vez que me lembro de ter passado por esse problema foi quando estava com a data do servidor errada. Nos logs do samba e do winbind não tem nada que possa ajudar a diagnosticar (/var/log/smb)? Nerd.
#8 escrito por Greyson 7 MESES ATRÁS
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
19/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Olá Nerd, Finalmente res olvi. Eu observei durante ess es dias que quando o computador reinicia, ele não renova automaticamente o ticket do kerberos. Consegui resolver este problema utilizando da ferramenta kutil e seguindo este post: http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-oktutil/ . Deixo aqui registrado meus sinceros agradecimentos e mais uma vez parabéns pela excelente postagem.
#9 escrito por Nerd 7 MESES ATRÁS Maravilha Greyson. Obrigado por compartilhar a dica. Nerd.
#10 escrito por Gustavo 6 MESES ATRÁS Olá amigos! Sou neewbie e travei na parte do ktutil. Eu tentei instala-lo, mas não fui feliz (apt-get install krb5-user). Tem algum macete?
#11 escrito por Nerd 6 MESES ATRÁS Gustavo, Creio que a instalação do ktutil não tem a ver com este tutorial e sim com um pr oblema específico de outro usuário. Sugiro seguir as dicas do tutorial mencionado pelo autor da dúvida. Nerd.
#12 escrito por Anderson 6 MESES ATRÁS Ola galera, ve se alguem pode me ajudar. Eu preciso configurar o squidguard para trabalhar com o AD e com grupos. Por exemplo o grupo(do AD) Internet_Acesso_Completo pass a s omente pelo filtro porn do squidguard, ja o grupo Internet_Acesso_Padrao passa pelo filtro porn, audio-video e redes sociais por exemplo. alguem ja fez esta configuração? É possive? Obrigado
#13 escrito por Nerd 6 MESES ATRÁS Anderson, Este tipo de configuração mais avançada é complicada. Eu também gostaria de uma solução para isto, mas infelizmente não há milagres. A solução apr esentada neste tutorial manda tudo ou nada par a o squid guard. O squid guard não entende os grupos da AD, então quem faz a filtragem é o Squid. O que dá para fazer é colocar, nas regras do squid guard (squidGuard.conf), as siglas dos usuários que serão filtrados de forma diferente, mas não grupos. http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
20/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Nerd.
#14 escrito por Anderson 6 MESES ATRÁS Entendi, Valeu!!!
#15 escrito por Alex Manzo 4 MESES ATRÁS Eu consegui usando LDAP assim: 1) Criar a src no squidguard.conf conforme exemplo: src EXEMPLO { ldapusersear ch ldap://SERVIDOR-DOAD:3268/DC=DOMINIO,DC=COM?sAMAccountName? sub?(&(sAMAccountName=%s)(memberOf=CN=NOMEDO-GRUPO%2cOU=NOME-DA-OU-ONDE-ESTA-OGRUPO%2cDC=DOMINIO%2cDC=COM)) } 2) Criar a ACL dentro do squidguard.conf antes ou após a ACL default: acl { default { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !redessociais !virusinfected !games !malware !hacking !onlinegames !proxy !spyware !radio !multimidia !entretenimento !compartilhamento !hospedeiro !webcommerce !shopping !bate-papo all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem=% a&categoria=%t } EXEMPLO { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !red essociais !virusinfected !games !malware !hacking !onlinegames !proxy !spywa re !radio !multimidia !entretenimento !compartilhamento !hospedeiro all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem= %a&categoria=%t } }
#16 escrito por Nerd 4 MESES ATRÁS Alex, Dessa forma consegue fazer as regras respeitarem os grupos do AD? Nerd.
#17 escrito por Greyson 2 MESES ATRÁS Olá Alex, Como você declarou as variáveis ldapbinddn, ldapbindpass e ldapcachetime ?? http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
21/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#18 escrito por Gustavo 6 MESES ATRÁS Nerd, muito obrigado por compartilhar conosco este procedimento incrível!!! Parabéns!!!!! Não percebi abordagem sobre o tema cache. É possivel adicionarmos um cache aqui, para enfim, tornar isso o "estado da arte"? Abraço!
#19 escrito por Nerd 6 MESES ATRÁS Gustavo, Veja se isto lhe ajuda: http://blogdonerd.com.br/2011/09/proxysquid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-eregras-baseadas-em-grupos-do-ad/ Nerd.
#20 escrito por Gustavo 6 MESES ATRÁS Oi Nerd! Hãããããaaa vc é o cara! Deu certinho!!!! Hoj efarei os testes. A unica coisa que nao passou, mas vou me esforçar mais, é o SquidGuard (fui usar outra lista, uma free... acho que foi ai que pegou). Outra pergunta: Eu tenho uma VPN na empres a, da Cisco. Quando me conecto de casa por ela, eu ganho um IP 192.168.255.x. Lá na minha configuração informei que minha rede local para é 10.0.0.0/16. Como fica a rede da VPN neste caso, pois quando fui usar o proxy daqui não rolou, ficou tudo travado. Mais um ultimo pedido. Será que vc pode me ajudar a interpretar o log para saber onde parou e pq? Abraço e parabéns. É muito nobre fazer isso que vc faz
#21 escrito por Nerd 6 MESES ATRÁS Gustavo, Inclua mais uma acl rede_local no seu squid.conf: acl rede_local sr c 10.0.0.0/16 acl rede_local s rc 192.168.255.0/24 Só certifique-se de haver conectividade entre as redes. Um ping para o IP de seu proxy é um bom teste. Nerd.
#22 escrito por Marcel Luis 5 MESES ATRÁS http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
22/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Prezado amigo, parabens pelo seu artigo muito bom mesmo. Consegui fazer funcionar redondinho. No entanto estou com problema no seguinte, crei a seguinte regr a: acl sites_bloqueado_squidguard dstdomain -i "/var/lib/squidguard/db/blacklists/porn/domains" depois fiz o bloqueio: http_access deny sites_bloqueado_squidguard aces so_padrao Agora oque acontece, toda vez que o usuario do grupo acesso padrao tenta acessar um site proibido da acl ele em vez de mostrar mensagem de acesso bloqueado ele pede login e senha. Tem como me ajudar nisso?
#23 escrito por Nerd 5 MESES ATRÁS Marcel, Esse característica do Squid é bem chata. Não garanto que vá resolver, mas tente trocar a linha http_access deny sites_bloqueado_squidguard aces so_padrao por http_access allow sites_bloqueado_squidguard !acesso_padrao Nerd.
#24 escrito por Marcel Luis 5 MESES ATRÁS Infelizmente Nerd não funcionou. Continua pedindo senha em vez de mostrar logo de cara o bloqueio....
#25 escrito por Nerd 5 MESES ATRÁS Marcel, Isso é um problema complicado com o Squid. Eu mesmo enfrento esse problema em uma de minhas rede e não consegui uma solução satisfatória. Tente trabalhar com a ordem de suas regras. Habilite o log para ver em que momento é pedido a senha. Pode ser que ajude. Se encontrar uma solução ficarei feliz se puder compartilhar conosco. Uma outra sugestão que lhe dou é a seguinte: http_access allow sites_bloqueado_squidguard !acesso_padrao http_acess deny sites_bloqueado_squidguard Nerd.
#26 escrito por Marcel 4 MESES ATRÁS Nada também.. continua pedindo senha..
#27 escrito por Osvaldo 5 MESES ATRÁS
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
23/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Excelente artigo! Estou tentando entender pra que serve a acl sites_liberados pois na acl acesso_bloqueado não tem exceção para acesso aos sites liberados, assim o grupo padrão acessa tudo menos os proibidos e o completo tem acesso total. Tentei liberar alguns sites na acl sites_liberados porém não consigo liberar dessa forma: http_access deny acesso_bloqueado !sites_liberados
Apenas consegui liberar usando a acl sites_liberados_sem_auth, por ém remete a mesma dúvida da serventia do acl sites_liberados.
#28 escrito por Nerd 5 MESES ATRÁS Osvaldo, Não sei exatamente o que deseja fazer, mas você pode criar uma regra de allow para um grupo ou todos antes de negar o acesso para o grupo acesso_bloqueado http_access allow sites_liberados #libera acesso para todos que conseguirem se autenticar no squid, inclusive os do grupo acesso_bloqueado http_access deny acesso_bloqueado #s e não foi aceito pela regra acima, então bloqueia o acesso para usuários do grupo acesso_bloqueado Nerd
#29 escrito por Rodrigo 4 MESES ATRÁS Olá! Achei muito interessante sua postagem e gostaria de saber se da para rodar essa configuração com o samba 4 como controlador de dominio e o que precisaria mudar?
#30 escrito por Gustavo 4 MESES ATRÁS Olá pessoal! Aprendi e configurei o meu squid com autenticação aqui com o Nerd. Gostaria de deixar minha contribuição nesta questão de liberação de acesso. Segue o que fiz aqui. # acls default squid acl purge method PURGE acl CONNECT method CONNECT acl POST method POST acl FTP proto FTP # acl para obter grupos do AD external_acl_type grupo_AD ipv4 ttl=30 %LOGIN /usr/lib/s quid3/wbinfo_group.pl # Grupos do AD acl acesso_completo external grupo_AD BR_Internet_Acesso_Completo acl acesso_padrao external grupo_AD BR_Internet_Acesso_Padrao acl acesso_wengo external grupo_AD BR_Internet_W http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
24/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
acl acesso_bloqueado external grupo_AD BR_Internet_Acesso_Bloqueado # acls de segurançproteç do cache acl manager pr oto cache_object # acls de URLS com bypass no CISCO ASA acl sites_bypass url_regex -i "/etc/squid3/acls/sites_bypass" # acl de controle da operacao W acl sites_wengo url_regex -i "/etc/squid3/acls/sites_wengo" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" acl sites_liberados_sem_auth url_regex -i "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo calã etc acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" acl itunes_browser browser iTunes.* acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.* acl sites_no_cache url_regex -i "/etc/squid3/sites_no_cache" cache deny sites_no_cache always_direct allow FTP always_direct allow sites_no_cache # acl para bypass de sites da W always_direct allow sites_bypass
#31 escrito por Nerd 4 MESES ATRÁS Valeu pela contribuição Gustavo. Nerd.
#32 escrito por Nerd 4 MESES ATRÁS Rodrigo, Nunca tentei, mas creio que deva funcionar sem grandes alterações. Só testando para saber. Nerd.
#33 escrito por Alex Manzo 4 MESES ATRÁS Boa noite, eu não entendi o seu comentário referente ao método post no squid.conf que diz as sim: "# libera método POST sem autenticação. Para evitar p roblemas" Desculpe minha ignorância, para que serve o método POST? http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
25/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Outra dúvida, como faço para resolver problema de acesso com site do banco do brasil onde o applet java fica solicitando autenticação do usuário e senha do domínio que mesmo inserindo as informações ele não funciona? Agradeço muito por s ua contribuição!
#34 escrito por Gustavo 4 MESES ATRÁS Olá amigo! Acho que o Nerd é o melhor para responder isso. Como disse, peguei tudo aqui
#35 escrito por Nerd 4 MESES ATRÁS Alex, O acesso HTTP funciona com diversos métodos de requisição. Os dois mais comuns são o GET e o POST. Algumas vezes o método POST pode te trazer problemas com a autenticação. Se estiver enfrentando problemas, o ideal é liberar o acesso. Com relação ao Java e o BB, o ideal é você colocar os endereços do BB que o java usa na lista de sites liberados sem autenticação. Também é bom verificar a porta utilizada para o acesso do BB. Nerd.
#36 escrito por Alex Manzo 4 MESES ATRÁS Nerd, a porta utilizada pelo site do bb junto com o app java é a 443... mesmo qdo relaciono os sites envolvidos naquela acl de sites_sem_autenticacao ele ainda acaba exibindo prompt do add java solicitando a senha... aí eu resolvi provisoriamente liberando a porta 443 antes da autenticação do AD, só que qualquer coisa relacionada a HTTPS acaba passando por fora do filtro como o facebook por exemplo... como devo tratar essa exceção do bb? abraços
#37 escrito por Alex Manzo 4 MESES ATRÁS Nerd, antes que você responda acho que a única solução é inserir via GPO exceção para o site https://aapj.bb.com.br nos navegadores das máquinas, pois todas que necessitam acessar o applet java do banco fazem par te do AD... Não consegui visualizar outra solução tendo em vista que o J ava é incompatível com autenticação NTLM do s quid (vi isso em algum fórum do pfsense ou no squid.org ou no oracle.com... nao me lembro, mas foi em algum site importante! rs). Outra coisa, percebi que o squidguard não trata sites HTTPS.... porque se desse certo pra jogar requisições https passando pelo squidguard automaticamente resolveria meu problema com bancos.... Há alguma forma de fazê-lo? o que acha NERD? Abx
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
26/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#38 escrito por Nerd 4 MESES ATRÁS Alex, O Java é sempre um problema. Você pode configurar o Java para não usar o Proxy e tratar as requisições direto no Firewall. O WPAD pode ser uma solução (http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-autodiscovery/ ). Nerd.
#39 escrito por Nerd 4 MESES ATRÁS Alex, Você usa WPAD em sua rede? Talvez possa ser uma solução para que o Java acesse a Internet direto sem passar pelo proxy. De uma lida nesse artigo: http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-auto-discovery/ Nerd.
#40 escrito por Alex Manzo 4 MESES ATRÁS sim uso WPAD mas putz, agora que caí na real... meu WPAD está no s imples do s imples... apenas indicando o proxy sem informar os sites que nao precisam passar por ele... Eu ainda por cima estou utilizando GPO e na GPO está cor reto... esta acontecendo um conflito.... agora estou certo disso...
#41 escrito por Alex Manzo 4 MESES ATRÁS Nerd, mais uma vez sem querer abusar, como faço para cachear windows update para não ficar saturando meu link? existe alguma ferra menta que seja similar ao wsus em open source? Depois que implementei essa maravilhosa solução muita gente está querendo me bater! o que eu faço? chamo o a polícia ou melhor chamar a ambulância? hehehe
#42 escrito por Nerd 4 MESES ATRÁS Alex, A melhor maneira que conheço é utilizar o WSUS. Ele é gratuito, o custo seria somente a licença do Windows do servidor em que ele irá rodar. Você pode instalar em um servidor windows qualquer de sua rede, compartilhando os recursos do mesmo. Eu costumo colocar ele junto com o servidor de Anti Virus. Nerd.
#43 escrito por Mr. Emerson 3 MESES ATRÁS http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
27/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
Olá Nerd. Graças a seu tutorial temos um belo proxy rodando a alguns meses sem maiores problemas por aqui, mas um probleminha tem me atormentado na última semana: Office 2013. Chegaram umas máquinas novas com o Office 2013 embarcado e sempre que o usuário carrega o Word, por exemplo, aparecem aquelas janelas do proxy pedindo autenticação par a um site da Microsoft. Coloquei três domínios da Microsoft no arquivo sites_liberados_sem_autenticacao e eis que depois, a janela de autenticação começou a me apontar para o bizarro endereço autodiscover.MEUDOMINIO. Bem, adicionei também esse endereço (que sequer existe em nossa rede) e funcionou. Então fica a dica pra quem tem o Office 2013 adiconar essas quatro linhas no arquivo sites_liberados_sem_autentcacao: .office.microsoft.com .officeapps.live.com .vo.msecnd.net autodiscover.MEUDOMINIO (troque MEUDOOMINIO pelo domínio da sua rede) Aproveitando. Nerd, essa janelas s olicitando autenticação são extremamente irritantes. Qualquer engasgada no Proxy ou no AD já é motivo para elas serem mostradas para o usuário. Você já conseguiu alguma maneira delas desaparecerem completamente? abs
#44 escrito por Gustavo 3 MESES ATRÁS Olá Mr. Emerson! Tudo bem? Acho que posso te ajudar com isso. Eu passei pelo mesmo enrosco e resolvi colocando os sites do office em uma lista de acesso que não pede autenticação e antes das demais regras de liberação de sites. Fiz assim: # acls de URLS com bypass no CISCO ASA - vao direto para o firewall, que é um appliance acl sites_bypass dstdomain "/etc/squid3/acls/sites_bypass" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" # Sites liberados e SEM AUTENTICACAO NECESSARIA acl sites_liberados_sem_auth dstdomain "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo calao acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" #acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" #acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" Espero que te ajude http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
28/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#45 escrito por Nerd 3 MESES ATRÁS Valeu pela contribuição Gustavo. Nerd.
#46 escrito por Nerd 3 MESES ATRÁS Valeu pela dica Mr. Emerson! Com relação ao problema das janelas de autenticação eu raramente tenho problemas com elas. Elas aparecem de vez em quando, mas diria que chego a passar mais de uma semana sem as vê-las. Nerd
#47 escrito por Mr. Emerson 3 SEMANAS ATRÁS Nerd estou com problemas sérios com alguns periódicos do Capes. Aqui muita gente faz uso desses periódicos e alguns não estão abrindo. Comecei a estudar os links e percebi que o Capes encapsula todos os links de periódicos externos dentro do domínio periodicos.capes.gov.br, e aí está o problema. Não sei porque cargas d'águas o endereço periodicos.capes.gov.br e seus derivados não aparecem no log do Squid. Eu deixo aquele script de log aberto fazendo grep no meu ip e todos os sites que acesso são exibidos, menos o do periodicos do Capes. Como pode uma coisa dessas? Eu estou apontado para o proxy, mas o site que visito não passa pelo proxy. Alguém poderia testar por favor, pra ver se essa maluquice também acontece com vocês? Um dos periódicos que não acesso é esse aqui: http://ovidsp.tx.ovid.com.ez106.periodicos.capes.gov.br/sp3.11.0a/ovidweb.cgi? QS2=434f4e1a73d37e8c79e5d8c142641a540d2ebd566019426c906a6f91ae7b352dcc5bdf5072d17fc3ab53507a2270466 Dá erro de timeout com o servidor proxy. Já fiz os testes com capes.gov.br no arquivo sites_sem autenticacao e o problema persiste. abs
#48 escrito por Evandro 2 SEMANAS ATRÁS Bom dia, Estou configurando squid aqui no laboratório de informática da escola, e aparentemente estava tudo ok. Sou bastante novato com linux, portanto tenha paciência, por favor. O problema é que quando configuro o proxy nas máquinas aparece uma página de acesso negado ao cache e pede para efetuar login (aparece a janela p edindo login e senha). Segue squid.conf ########### INICIO DO SCRIPT ########################## http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
29/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#Porta padrao proxy http_port 3128 #Endereco de E-mail do administrador do proxy cache_mgr [email protected] #Nao faz cache de dados de formularios html,em de resultados de programas cgi #hierarchy_stoplist cgi-bin ? #Cria uma access control list, baseando-se na url e utilizando exp. regulares nesta situacao #foi criado uma exp. regular para cgi e ?. acl QUERY urlpath_regex cgi-bin \? #Nao faz cache da acl QUERY cache deny QUERY #Define o tamanho maximo de um ob jeto para seu armazenamento no cache local maximum_object_size 40960 KB #Define o tamanho minimo de um objeto para seu armazenamento no cache local minimum_object_size 0 KB #Define o tamanho maximo de um ob jeto para seu armazenamento no cache de memoria maximum_object_size_in_memory 64 KB #Definicao da quantidade de memoria ram a ser alocada para cache cache_mem 128 MB #Para nao bloquear downloads quick_abort_min -1 KB # Resolve um problema com conexõsistentes que ocorre com certos servidores, # e que provoca delays em nosso cache. detect_broken_pconn on # Provoca um ganho de performance ao usar conexõeline (requisiçem paralelo) pipeline_prefetch on #Para cache de fqdn fqdncache_size 2048 #Tempo de atualizacao dos objetos relacionados aos prot ftp, gopher e http. refresh_pattern ^ftp:// 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #Definicao da porcentagem do uso do cache que fara o squid descartar os arquivos mais antigos cache_swap_low 90 cache_swap_high 95 #Logs access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log #Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e por fim a qtd de dir filhos cache_dir ufs /var/spool/squid3 100 16 256 http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
30/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
#Controle do arquivo de Log logfile_rotate 10 #Arquivo que contem os nomes de maquinas hosts_file /etc/hosts #Maquinas que nao pr ecisaram de autenticacao "Colocar IP" acl liberados src "/etc/squid3/liberados/liberados" http_access allow liberados #liberar o acesso ao site da caixa que está problemas acl bancos dstdomain "/etc/squid3/liberados/bancos" always_direct allow bancos cache deny bancos #MACS que estao liberados. acl macliberado arp "/etc/squid3/liberados/mac_liberado" http_access allow macliberado #### Autenticao no Windows 2008 via WINBIND auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid2.5-ntlmssp auth_param ntlm children 30 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy server auth_param basic credentialsttl 9 hours external_acl_type ad_group ttl=600 children=10 %LOGIN /usr/lib/s quid3/wbinfo_group.pl ### ACL Padroes acl manager pr oto cache_object acl localhost src 127.0.0.1/32 acl SSL_ports port 443 # https acl SSL_ports port 444 # https acl SSL_ports port 447 # https acl SSL_ports port 563 # https acl SSL_ports port 873 # https acl SSL_ports port 7443 # https acl SSL_ports port 1000 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ftp acl Safe_ports port 20 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered por ts acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 1080 acl Safe_ports port 1863 acl Safe_ports port 8443 # https acl Safe_ports port 5222 # gTalk acl Safe_ports port 5223 # gTalk acl Safe_ports port 47057 # torrent http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
31/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # Seguranca (Protecao do Cache) acl manager pr oto cache_object #Limita conexeos HTTP acl connect_abertas maxconn 8 #sites que nao serao feito cache geralmente bancos acl NOCACHE url_regex "/etc/squid3/liberados /direto" \? no_cache deny NOCACHE #-------------------------------------------------------------------------------# # Nome ACL TIPO Nome Grupo AD # #-------------------------------------------------------------------------------# acl acesso_vip external ad_group aces so_vip acl acesso_normal external ad_group acesso_normal acl acesso_rede_social external ad_group acesso_rede_social acl acesso_videos external ad_group acesso_videos acl acesso_download external ad_group aces so_download acl acesso_bloqueado external ad_group acesso_bloqueado # WHITE-LIST acl sites-liberados url_regex -i "/etc/squid3/liberados/sites_liberados" acl sites-almoco url_regex -i "/etc/squid3/liberados/sites_almoco" # BLACK-LIST acl downloads url_regex -i "/etc/squid3/bloqueados/downloads" acl sites-proibidos url_regex -i "/etc/squid3/bloqueados/sites_proibidos" acl sites-bloqueados url_regex -i "/etc/squid3/bloqueados/sites_bloqueados" acl sites-videos url_regex -i "/etc/squid3/bloqueados/sites_videos" acl sites-redes-sociais url_regex -i "/etc/squid3/bloqueados/sites_redes_sociais" acl malware url_regex -i "/etc/squid3/bloqueados/sites_malware" acl extencoes urlpath_regex -i "/etc/squid3/bloqueados/extencoes" #Bloquear determinados usuarios autenticados acl usu_bloqueados proxy_auth "/etc/squid3/bloqueados/usu_bloqueados" #Controle de acesso por horáaqui, vamos liberar o acesso no horádo almoçqui os usuávãder acessar alguns sites diferenciados entre as 12:00 até13:00 acl almoco time MTWHFAS 12:00-13:00 #Agora vamos criar uma regra para garantir que os usuá que vãessar no almoçtãtenticados acl autenticados proxy_auth REQUIRED ################################## Permissoes de Acesso ################################## # usuarios vips tem permissao total menos a sites proibidos http_access allow acesso_vip # bloqueio de extencoes para todos menos usuario vip http_access deny extencoes !acesso_vip http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
32/34
13/3/2014
Blog do Nerd » Configurando Squid e Sq uidGuard no Ubuntu (12.04 LTS) com autenticação e regras por gr upos do Active Dir ectory (Windows 2008)
# sites malware proibidos para todos os grupos http_access deny malware # usuarios acesso normal e bloqueado em tudo http_access allow acesso_normal !sites-proibidos !downloads !sitesbloqueados !sites-videos !sites-redes-sociais # usuarios acesso rede social acessa rede social menos os demais http_access allow acesso_rede_social !sites-proibidos !downloads !sitesbloqueados !sites-videos #usuarios sites de video acessa videos menos os demais http_access allow acesso_videos !sites-proibidos !downloads !sitesbloqueados !sites-redes-sociais # sites liberados para todos http_access allow sites-liberados #Aqui vamos cruzar as acls para garantir que os usuá que vãessar os sites no almoçtejam autenticados http_access allow almoco autenticados sites-almoco ################################ acls de bloqueios ######################################## http_access deny downloads http_access deny sites-bloqueados http_access deny usu_bloqueados http_access deny sites-videos http_access deny sites-redes-sociais # sites proibidos para todos os grupos http_access deny sites-proibidos #regra de bloqueio geral (bloqueio de toda a empresa, libera o que eu liberar) #http_access deny all http_reply_access allow all icp_access allow all miss_access allow all # nome visivel do servidor visible_hostname BARPROXY01 # diretorio de paginas de erro error _directory /var/www/acessonegado/ # erro personalizado por acl "regra" #deny_info http://caminho malware #cache_effective_group proxy cache_effective_user proxy coredump_dir /var/spool/squid3
#49 escrito por Nerd 4 MESES ATRÁS Marcel, Você habilitou os logs? Em que regra está parando com a solicitação de senha? Nerd.
#50 escrito por Marcel 4 MESES ATRÁS Segue log do cache.log http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/
33/34