http://www.zago.eti.br/squid/senhas.txt Tutoriais, dicas e FAQ das Mensagens da Linux-br com respostas sobre as diversas maneiras de autenticar usuários pra passar pelo proxy, Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux Neste documento, dicas e mensagens relacionadas a senhas no Squid. como implantar autenticação via browser para os usuários acessarem internet via proxy, tem um detalhe que ainda não testei nem entendi muito bem, tem mensagens e listas e foruns falando de proxy transparente com autenticação, tem quem diz que as duas políticas de controle são conflitantes, uma exclue a outra, ou uma ou outra, o que testei estão nos tutoriais: sem senha, todas as estações tem acesso sem precisar de login e senha: http://www.zago.eti.br/squid/squid-CL9.txt com senha, quando abre o browser tem uma janela de login e senha, enquanto não fornecer estes dados não tem acesso a net.: http://www.zago.eti.br/squid/squid-com-senha-cl9.txt Ainda falta descobrir como liberar internet somente pra quem fez login no Samba, controlar por ACL por usuuário sem digitar login e senha novamente, quem não efetuar login no samba não tem internet, acredito que isto seja o tal de proxy transparente autenticado, acho que viajei nesta, em listas dizem que proxy transparente é aquele que não precisa alterar nada no browser pra acessar a net, tem que ser transparente para os usuários, qualquer dia vou testar isto, neste FAQ tem alguns links pra isto. Pra istalar e configurar o Squid, veja tutoriais e FAQ em: http://www.zago.eti.br/squid/A-menu-squid.hmtl tem um modelo de squid.conf e acl pronto pra copiar e colar veja em: http://www.zago.eti.br/squid/squid-com-senha-cl9.txt Veja também estes tutoriais: http://www.hacom.nl/~richard/software/smb_auth.html como autenticar usuários no squid utililizando o arquivo de usuários e senhas do samba http://sarg.sourceforge.net/ CHETCPASSWD, CHPASSWD, FAQ, forum e etc.., http://www.nocat.com/ Suporta 802.11b wireless network Força autenticação no Apache pra continuar a navegação, igual ao sistema do IG funciona com Squid. Autorização baseada em grupos de um domínio NT/2000 no Squid, utilizando o Samba/winbind O artigo a seguir apresenta as configurações necessárias para que o Squid autentique e autorize um usuário de um domínio NT/2000 a ter acesso à sites Web a partir do grupo a que este usuário pertence. Todas as configurações e testes a seguir foram realizados com Redhat 7.3 e 8.0. http://www.ccl-br.com.br/artigos/auth_squid_samba_winbind.htm http://planeta.terra.com.br/informatica/artigoslinux/html/auth_squid_samba_winbind.htm O artigo a seguir apresenta as configurações necessárias para que o Squid autentique e autorize um usuário de um domínio NT/2000 a ter acesso à sites Web a partir do grupo a que este usuário pertence. No Redhat 7.3 e 8.0. Proxy Transparente com AUTENTICAÇÃO http://www.hostname.org/proxy_auth/ ProxyAuth is a authentication daemon for NAT and Transparent Proxy. This project has been renamed to NatACL http://merlino.merlinobbs.net/Squid-Book/HTML/sec-squid-25-autenticazione-ntlm.html tutorial em italiano, autenticação com proxy transparente, inclusive como autenticar em servidores Windows rodando Active Directory http://www.ldap.org.br/modules/ldap/files/files///Samba-Ldap-Squid.pdf Integração do Samba + Squid + LDAP no CL10 PDF em português ******************************************************** ******************************************************** H T P A S S W D SQUID COM SENHA, COM AUTENTICAÇÃO PELO htpasswd Pra autenticar pelo htpasswd, requer a instalação do pacote htpasswd, este pacote faz parte do apache, mas não é obrigatorio instalar o apache, pode instalar somente este pacote, no CD da sua distro já tem o pacote htpasswd, por exemplo no CL9, pra fazer a instalação, procure no synaptic pelo pacote: apache-htpasswd ou pelo apt-get, execute na linha de comando: apt-get install apache-htpasswd pra veriricar se já foi instalado, execute: rpm -qa | grep htpasswd veja o resultado na minha instalação: # rpm -qa | grep htpasswd apache-htpasswd-2.0.45-28790U90_3cl Também pode instalar htpasswd a partir dos fontes, neste caso precisa baixar os fontes de: http://www.squid-cache.org/htpasswd/ depois precisa compilar o pacote, pra isto vai precisar do gcc e outras depencias, embora seja o metodo mais recomendado pra quem tem experiencia, pode tornar dificil e trabalhoso pra quem não domina esta tecnica, prefira o caminho mais fácil, instale a partir do CD de sua distro, ele vem em todas as distros que tem o pacote Apache. com este pacote istalado, faça a instalação do Squid seguindo este tutorial: http://www.zago.eti.br/squid/squid-com-senha-cl9.txt No tutorial acima tem todas as dicas pra instalar e configurar o Squid, inclusive tem um squid.conf cofigurado, pronto pra copiar e colar, depois precisa criar os usuários que terão acesso a internet, também definir senha pra estes usuários. Pra isto precisa criar o arquivo de usuários e com um editor de texto acrescentar neste aquivo os usuarios que terão acesso à internet, depois precisa criar a senha com o comando htpasswd pra completar a configuração. Os usuários que vão acessar internet não precisam ser os mesmos do Linux, pode criar usuários exclusivos pra acessar a internet, assim eles não terão uma shell válida, servem exclusivamente pra acessar a internet, isto melhora a segurança da rede, por outro lado tem o trabalho extra de criar os usuários e suas senhas, este tópico trata sobre este assunto, pode até utilizar os mesmos nomes dos usuários do sistema, mas as senhas são guardadas em arquivos diferentes e portanto podem ser diferentes, também pode gerar confusão no seu uso e controle. Tem outras maneiras de autenticação, por exemplo PAM/LDAP, Samba e etc... Pra liberar a internet com autenticação, somente para os usuários do Samba, Lembre que vai poder utilizar somente um processo de autenticação, caso queira cofigurar para os usuários do Samba, procure neste documento o tópico: SQUID COM SENHA, COM AUTENTICAÇÃO PELO samba Exemplo pra criar o arquivo de usuários: Pra adicionar os nomes dos usuários no arquivo de usuários (quem vai acessar a net) pode ser feito em qualquer editor de texto simples, por exemplo no "vi" vi /etc/squid/usuarios pressione insert pra entrar no modo edição e acrescente neste arquivo um usuário por linha, por exemplo: anderson antonio zago pra salvar e sair pressione ESC pra sair do modo edição e depois SHIFT: wq o arquivo vai ficar assim: cat /etc/squid/usuarios anderson antonio zago Depois precisa definir senhas a estes usuários, para o primeiro usuário precisa do parametro -c (create file) que cria o arquivo e adiciona o usuário no arquivo de senhas, para os demais usuários não use esta diretiva -c, por exemplo: htpasswd -c /etc/squid/passwd anderson htpasswd /etc/squid/passwd antonio htpasswd /etc/squid/passwd zago DICA. precisa indicar o caminho onde está o arquivo de senhas ou executar o comando htpasswd dentro do diretório onde está o arquivo de senhas, os comandos abaixo tem o mesmo resultado, basta executar: cd /etc/squid htpasswd -c passwd anderson htpasswd passwd antonio htpasswd passwd zago No CL9 precisa copiar o arquivo: /usr/lib/squid/ncsa_auth para /usr/bin, caso ainda não o fez no instalação do squid, execute agora, (execute somente uma única vez) esta linha de comando: cp /usr/lib/squid/ncsa_auth /usr/bin/ squid -k reconfigure Parabéns voce conseguiu!!!, agora vá a uma estação cofigurada pra acessar a internet via proxy e digite um endereço qualquer na URL que vai abrir uma tela pedindo login e senha, informe um dos usuários e senha, tem que ser um usuário cadastrado conforme explicado acima. Caso ocorra alguma mensagem de erro ou não funcione, tente implantar o serviço por partes, tente isolar o problema, veja dicas e mais detalhes nos proximos tópicos deste texto e nos arquivos indicados. ******************************************************** ******************************************************** S A M B A SQUID COM SENHA, COM AUTENTICAÇÃO PELO Samba Tutorial em elaboração, aguarde,.... Pra autenticar pelo Samba, requer o Samba rodando, tem a grande facilidade de usar os mesmos usuários e senhas do Samba, assim todos os usuários do Samba tem acesso à internet, na tela de login que abre no browser, basta informar o mesmo login e senha do Samba pra liberar o acesso a net. Autenticação pelo Samba pode ser viável pra quem utiliza o Samba como servidor de arquivos, como pode ser inviável configura-lo somente pra autenticar usuários que vão acessar net, veja também neste documento, o tópico: SQUID COM SENHA, COM AUTENTICAÇÃO PELO htpasswd Considerando que o servidor Samba já esteja devidamente configurado e autenticando os usuários das estações windows, faça as seguintes alterações no arquivo de configuração do Squid, em /etc/squid/squid.conf precisa desta linha no squid.conf auth_param basic program ????? ******************************************************** ******************************************************** A seguir, copias de algumas mensagens com respostas esclarecedoras que circulou na lista Linux-BR, também contribuições que recebi diretamente do autor, de outras listas ou foruns, mande também a sua contribuição, pra este FAQ, envie dica, passo a passo como solucionou um problema, tutorial, artigo e etc.. envie pra zagolinux@uol.com.br mencionando no e-mail "pro FAQ". ******************************************************** I.E. SP1 - erro na autenticação, após mandar atualizar resolve o problema. Windows com pacote SP1 - erro ao autenticar no Squid, pelo I.E. após o usuario digitar nome e senha, da uma mensagem de erro de DNS na HP escolhida, mas após clicar no botão "Atualizar" a pagina entra e navega normalmente. Neste documento tem Várias respostas, pra localizar estas mensagens, procure por SP1, em resumo, isto é um problema do I.E, a correção pra isto é instalar nas estações windows o pacote q331906 ou solução da Microsoft de número KB331906, procure no site da Microsoft ou no google, baixe e instale este pacote nas estações windows que apresentar este problema. Neste link tem os pacotes: http://www.mackenzie.com.br/macknet/navegacao/download/browsers.html http://support.microsoft.com/default.aspx?id=kb;en-us;331906 http://www.microsoft.com/downloads/details.aspx?FamilyID=85f35cfb-4f39-49b2-9276-f84813da415c&displaylang=pt-br ******************************************************** De: Cléber Marcelo Alves de Barros Responder-a: Cléber Marcelo Alves de Barros Para: thiago@netsitemail.com.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) autentificacao squid via /etc/passwd Data: 12 Sep 2002 16:37:38 -0300 Tem sim, edite o arquivo /etc/squid/squid.conf, procure pela linha : authenticate_program none e muda para o seguinte: authenticate_program /usr/lib/squid/pam_auth /etc/shadow obs: não esquece de ver se a autenticação via PAM esta ok no seu sistema. agora inclua a seguinte ACL: acl liberar_ip src 192.168.1.0 192.168.1.1 (na linha acima vc define quais ip´s irao acessar o proxy) acl password proxy_auth REQUIRED (aqui voce cria a acl para autenticacao) depois: http_access allow liberar_ip password (nessa linha voce libera o acesso dos ip´s mediante senha) http_access deny all (e aqui bloqueia os que não autenticarem) Qualquer duvida é so falar! ----- Original Message ----- From: To: Sent: Wednesday, September 11, 2002 2:24 AM Subject: (linux-br) autentificacao squid via /etc/passwd > > boa noite pessoal, > > gostaria de saber se ha' alguma maneira de autentificar o usuario que quer > utilizar o navegador, via squid utilizando o /etc/passwd......procurei na lista > e nao encontrei nenhuma solucao... > > []s e obrigado quem colaborar comigo... > > Thiago ******************************************************** De: Claudio Lobo - SUPERIG Para: Marcus Lima Cc: Conectiva - Lista Linux Assunto: Re: (linux-br) Squid autenticando pelo Samba Data: 22 Oct 2002 19:46:38 -0200 Se eu entendi bem, vc quer que para o usuário, ao abrir o browser, apareça uma tela de logon e senha, não é? Se for isso ... Sim, é possível! Faz o seguinte: 1. Crie, no diretório netlogon (que vc deve ter no micro que roda o SAMBA), um arquivo TEXTO chamado proxyauth - Nota: é um arquivo texto e não um "arquivo.txt". Crie ele como um arquivo texto NO LINUX (tem de ser no linux) e coloque a palavra allow dentro dele. Só isso. 2. Dê permissão de leitura a todos os usuários do domínio para esse arquivo 3. Linhas de configuração no squid.conf: authenticate_program /usr/local/bin/smb_auth -W nome_do_seu_domínio -U IP_do_seu_servidor_samba acl autenticacao proxy_auth REQUIRED http_access allow autenticacao Obs: 1. É claro que vc deve checar o caminho exato onde está o programa smb_auth, ok? Modifique-o se for diferente. Se persistirem as dúvidas, email-me ou dê uma olhada em http://linux.matrix.com.br/dicas_squid_nt.htm Estou iniciando no linux, mas ... Êta troço bão, sô!!!!! Espero ter ajudado. []´s Claudio ******************************************************** De: Alvaro Figueiredo Para: 3n1gm4 Fr33 <3n1gm4@alexandre.eti.br>, Lista Linux Conectiva Assunto: Re: (linux-br) Autenticar usuários do Squid usando Samba Data: 21 Nov 2002 14:29:22 -0200 Em Qui 21 Nov 2002 10:03, 3n1gm4 Fr33 escreveu: > Ola amigos da Lista, alguém tem experiência em configurar o squid > para autenticar utilizando um outro servidor com usuarios do samba? > Alguem tem algum tutorial que possa me fornecer ou conhece algum > site bom onde possa pesquiar? > grato Uma solução é empregar o smb_auth: http://www.hacom.nl/~richard/software/smb_auth.html ******************************************************** De: Leandro Mendes Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Criar usuários NCSA_AUTH Data: 26 Nov 2002 08:55:59 -0200 >Boa Tarde Galera Atualmento utilizo o Squid com CL8. Testei o NCSA_AUTH com somente 1 usuário e funcionou. Como posso fazer para que os usuários >sejam criados automaticamente? Depois que de cadastrar os usuários, como posso fazer para ter grupos?( e assim dar direitos de acessos no squid.conf).Para >criar usuários eu utilizo o htpasswd -c ... Grato Luis Gustavo Você pode usar o PAM_AUTH(que é uma mão na roda se vc jah tiver usuários cadastrados) ao invés do NCSA_AUTH. Autenticando pelo PAM, você pode utilizar os usuários do sistema para o squid. Caso não tiver os usuários criados, você terá que criar todos os usuários na Mão. Para criar os "grupos" de usuários no squid, você pode criar um arquivo, por exemplo com o nome de "vendas.txt" e colocar seus usuários de vendas lah. Você também pode criar um arquivo com os sites que vendas pode acessar, por exemplo com o nome de "sites.txt" Apos isso você pode adicionar a acl no squid. Ex: acl vendas proxy_auth "/usr/local/squid/etc/acls/vendas.txt" alc sites url_regex "/usr/local/squid/etc/acls/sites.txt http_access deny vendas !sites Não sei se foi essa sua dúvida, mas de qualquer forma pode agregar. ******************************************************** De: alrferreira@carol.com.br Para: vitor@jamyrvasconcellos.com.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid Troca de Senha Via Browser Data: 27 Dec 2002 09:52:49 -0200 Olá Vitor, Procure pelo chpasswd.cgi em http://www.squid-cache.org/related-software.html []´s ******************************************************** Subject: (linux-br) Squid / Shadow > Caros colegas, alguem sabe ou onde encontro uma documentação que > explique como utilizar a autenticação do proxy aproveitando o > /etc/shadow ?? Caros amigos, como eu andei fuçando no historico, segue aqui a sulução do problema acima... [Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index] Autenticacao do Squid - Solucao e Problema Subject: Autenticacao do Squid - Solucao e Problema From: Alexandre Pinaffi Andrucioli Date: Sat, 3 Feb 2001 11:27:44 -0200 (BRST) Pessoal, consegui autenticar no squid usando o shadow. Para aqueles que querem tentar vai ai a dica: No source do squid tem uma pasta chamada auth_modules/PAM/ ou em http://squid.sourceforge.net/hno/pam_auth-1.3.c compile e instale o arquivo pam_auth (dentro do arquivo tem as instrucoes) Coloque no seu squid.conf a seguinte linha: authentication_program /caminho/pam_auth /etc/shadow Depois disso crie o arquivo /etc/pam.d/squid, com as seguintes linhas: auth required /lib/security/pam_pwdb.so shadow nullok account required /lib/security/pam_pwdb.so Depois disso foi soh startar o squid e funcionou. Inclusive fiz testes com NIS e ele autenticou certinho. Agora o problema: 1- Normalmente ele nao autentica na primeira vez, tenho que tentar 2 ou + vezes 2- Ele autentica um usuario mas nao consegue autenticar outro que esta cadastrado, mas depois de um tempo consegue (tem algum limite de pessoas que possam estar autenticadas ao mesmo tempo???) Prev by Subject: Autenticacao Next by Subject: autenticacao do Squid pelo NT Prev by thread: Problema de impressão Next by thread: CL5 + Debian : na mesma HD. Index(es): Subject Thread []s Marcus Vinicius viniciuskawakami@uol.com.br ******************************************************** De: Bruno Ferreti Para: Grupo Linux Assunto: Re: (linux-br) Squid Data: 07 Jan 2003 11:34:09 -0200 Tenho esse exemplo se ajudar !!! authenticate_program /usr/lib/squid/pam_auth /etc/shadow authenticate_children 5 acl pass proxy_auth REQUIRED acl minha_rede src 192.168.2.0/24 http_access allow minha_rede pass É necessario executar os comandos: chown root /usr/lib/squid/pam_auth chmod u+s /usr/lib/squid/pam_auth Modificar o arquivo /etc/pam.d/squid para auth required /lib/security/pam_pwdb.so shadow nullok account required /lib/security/pam_pwdb.so []s Bruno ----- Original Message ----- From: "Leandro Mendes" To: Sent: Tuesday, January 07, 2003 9:31 AM Subject: Re: (linux-br) Squid O squid por padrão não pede autenticação. Vc tem que configurá-lo para isso. Vc pode usar o ncsa_auth para autenticar seus usuários. Existe um HOW-TO em http://www.linuxtime.com.br ******************************************************** De: Cleber P. de Souza Para: 'Marcos A. G. Medina (ig)' Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) RES: (linux-br) Autenticação no squid Data: 15 Apr 2003 17:56:24 -0300 Faça da seguinte forma. Inclua a acl: acl ip_direto src "/etc/squid/ip_for_direct" Onde o arquivo ip_for_direct contém os IP para acesso direto à Internet. Dpois inclua a seguinte regra antes das verificações de senha: http_access allow ip_direto Qualquer dúvida entre em contato. *** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: Marcos A. G. Medina (ig) [mailto:marcosmedina@ig.com.br] Enviada em: terça-feira, 15 de abril de 2003 17:30 Para: Cleber P. de Souza Cc: linux-br@bazar.conectiva.com.br Assunto: RES: (linux-br) RES: (linux-br) Autenticação no squid E como faço para não pedir senha para um determinado IP? Grato Marcos Medina -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:l me de Cleber P. de Souza Enviada em: terça-feira, 15 de abril de 2003 10:38 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Autenticação no squid É fácil. Crie uma acl para os sites que vão se conectar direto. Por exemplo: acl sites_diretos url_regex -i "/etc/squid/sites_diretos" No exemplo acima eu armazeno mo arquivo sites_diretos os link que acessarão sem precisarem ser autenticados. Depois eu coloco a regra: http_access allow sites_diretos Acima da regra de autenticação. Qualquer problema entre em contato. *** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de smanioto@netsite.com.br Enviada em: terça-feira, 15 de abril de 2003 09:58 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Autenticação no squid Prioridade: Alta Olá a todos! Estou com um problema no squid. Tenho uma rede que não utiliza NAT para navegar na WEB, apenas Proxy. Porém, o proxy tem controle de navegação por autenticação e isso é regra para todos desta rede. Meu problema é, gostaria que o proxy squid não pedisse senha APENAS PARA UMA URL. Como faço isso? a minha rede interna é 192.168.1.0/24. Lembrando que não tenho e nem posso fazer NAT, por isso não posso utilizar a opção do navegador que é nao usar proxy para determinada URL. Abraço a todos. Carlos E. Smanioto ******************************************************** De: André Moraes Para: Luiz Henrique Gomes Cc: Linux-Br Assunto: Re: (linux-br) ACL do Squid Data: 25 Apr 2003 01:14:40 -0300 Olá Luiz Henrique, lista, > Alguém aki da lista tem uma ACL para bloqueio de sites com pornografia? > Dê uma olhada no squidGuard, além de permitir uma série de configurações de funcionamento (redirecionamento, por exemplo), as bases de dados de sites são enormes. > Se tiverem um exemplo do squid.conf para autenticacao via samba tambem > agradeco. > Tem um artigo que enviei para a RdL, tratando de autenticação e autorização baseada em grupos de um domínio NT/2000 para o squid. Se você quiser apenas fazer a autenticação, acho que o artigo te atende. Se tiver interesse, está disponível em http://paginas.terra.com.br/informatica/artigoslinux/artigos/auth_squid_samba_winbind.pdf Agradeço qualquer sugestão ou correção. Espero ter ajudado. []'s -- André Moraes ******************************************************** De: André Moraes Para: ruffos@unerj.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid+AD Data: 02 May 2003 09:42:26 -0300 Ruffos (?!), Dê uma olhada em http://paginas.terra.com.br/informatica/artigoslinux/artigos/auth_squid_samba_winbind.pdf É um artigo onde descrevo o procedimento que utilizei na empresa em que trabalho para autenticar usuários do AD no Squid e autorizá-los com base no grupo. A parte de autenticação é o que você necessita. Espero ter ajudado. ******************************************************** De: André Moraes Para: Franco Catena , ruffos@unerj.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid+AD Data: 05 May 2003 23:40:08 -0300 Olá Franco, Lista, > qdo o smbpasswd > > smbpasswd -j eria -r eer > > > no dominio ele retorna > > cli_net_auth2: Error NT_STATUS_NO_TRUST_SAM_ACCOUNT (...) > or domain ERIA. > Unable to join domain ERIA. > > > Eu ja criei a maquina firewall no NT mas nao sei que raios de senha eu devo > alterar. > > Você precisa informar a conta com permissões para criação/alteração de contas de máquina (opção -U do smbpasswd) para que o domínio NT possa fazer a alteração (cadastrar a máquina samba no domínio). No domínio Windows 2000 eu tive problemas relacionados à alteração de conta de máquina em duas situações: a) O DC onde a conta foi criada não era o PDC Emulator e não tinha replicado a conta para este último; b) Eu tentei alterar a conta de máquina com os serviços smb e winbind rodando. Espero ter ajudado. ******************************************************** De: Cleber P. de Souza Para: 'Andre Luiz Felix Nunes' , linux-br@bazar.conectiva.com.br Assunto: RES: (linux-br) integrando samba com squid Data: 12 May 2003 10:53:23 -0200 Tem sim. Você pode usar o smb_auth do squid. Dentro do squid.conf existe o parâmetro authenticate_program. Você pode usá-lo da seguinte forma: authenticate_program /usr/lib/squid/smb_auth -W SEU_DOMÍNIO_SAMBA -U IP_DO_SERVIDOR_SAMBA Depois configure uma acl como proxy_auth para fazer a autenticação no squid. Quando dúvida entre em contato. **** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Andre Luiz Felix Nunes Enviada em: quarta-feira, 7 de maio de 2003 20:34 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) integrando samba com squid Gostaria de usar o sarg para fazer a analise dos acessos. Vou instalar o Samba em um laboratorio para fazer o compartilhamento de arquivos, usando usuarios e senhas. Estou pensando em colocar usuario e senha no squid, para saber o que cada aluno esta acessando, posso integrar a senha do samba com a do squid? Para quando gerar um relatorio como sarg eu ter o codigo do aluno e não o ip do micro. Pois no sarg eu tenho acesso do ip. valeu. ******************************************************** De: André Moraes Para: Andre Luiz Felix Nunes Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Integrando squid e samba Data: 14 May 2003 21:14:43 -0300 Olá Xará, Lista, > Gostaria de saber se é possível integrar usuarios do samba com os do squid. Sim, utilize o winbind, que vem com o Samba. Geralmente é preciso compilar o samba para ter o suporte ao winbind. > O que eu preciso é o seguinte, o usuario loga no samba para acessar seus > arquivos pessoais, e quando acessar a internet, o squid registre o usuário > dele e não o ip, para depois eu gerar um relatorio com o sarg. Nesse caso, você vai precisar recompilar o samba com os módulos auxiliares que utilizam a autenticação winbind e configurar o squid para solicitar autenticação. > Alguem pode me ajudar? Tenho um artigo em http://paginas.terra.com.br/informatica/artigoslinux/artigos/auth_squid_samba_winbind.pdf que trata da integração entre autenticação no AD do Win2K e integração com o squid. Para gerar os relatórios do SARG eu utilizei a maior parte da configuração default e fez o que você quer. Espero ter ajudado, ******************************************************** De: André Moraes Para: Lista Linux-BR Assunto: (linux-br) Artigo Autenticaçãono squid baseada emAutenticação =?iso-8859-1?q?dom=EDnio?=Windows 2000 Data: 26 May 2003 11:06:04 -0300 Lista, Para quem pegou o meu artigo sobre autenticação baseada em grupos de um domínio Windows 2000 no squid utilizando o samba+winbind. Fiz o upload da versão mais atual (com algumas adições e correções) em: http://paginas.terra.com.br/informatica/artigoslinux/artigos/auth_squid_samba_winbind.pdf ******************************************************** De:  sedrez@tecgraf.puc-rio.br Para:  Augusto Flavio Cc:  Linux-BR Assunto:  RE: (linux-br)autenticacao cgi + squid Data:  Tue, 15 Jul 2003 12:59:02 -0300 (BRT) On 14-Jul-2003 Augusto Flavio wrote: > Tenho que desenvolver uma autenticacao em cgi para o > squid. A intencao eh usar um transparent proxy e > quando o usuario abrir o browser e entrar num site eu > tenho que redirecionar qualquer requisicao para uma > pagina de autenticacao. Ateh ae td bem! O problema eh > sincronizar isso com o squid, fazer com que ao gerar > meus logs essa autenticacao do usuario esteje no log. Rio de Janeiro, 15-Jul-2003         O squid tem seu próprio sistema de autenticação de usuários, é capaz de autenticar até contra domínio NT (eu já fiz isso). Portanto, não precisa redirecionar para uma página.         O problema é usar transparente proxy com autenticação quando se acessa uma página que também exige autenticação: o browser não consegue diferenciar a requisição de autenticação do squid da do site... Neste caso, é preciso configurar o cliente para usar o proxy. ----- Paulo F. Sedrez ******************************************************** De:  Jefferson B. Limeira Para:  Cleuber Cardoso da Rocha Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)proxyauth Data:  Wed, 28 Apr 2004 09:43:16 -0300 Olá amigo,   Veja o SquidGuard (http://www.squidguard.org). É um plugin do Squid, onde você pode gerar grupos, acl e fazer os vincúlos, tanto por usuário/horário/origem/destino/data e outras mais. Vale a pena conferir... -- Jefferson B. Limeira TurboPro Internet http://www.turbopro.com.br Citando Cleuber Cardoso da Rocha : > ListaAll > Ja enviei essa pergunta pra lista uma vez, vieram algumas respostas, mas > infelismente ainda estou com o problema; > Meu proxy barrava acessos a usuarios pelo numero ip das maquinas(isso > funcionara muito bem). So que tive a necessidade de implementar o > proxy_auth. Hoje para os usuarios acessarem a Web , precisam digitar uma o > login name e a senha, que e a mesma do logon do Windows. E quando isso > acontece, eles tem acesso total a web. Sei que se um usuario nao tem > permissao ao arquivo proxyauth, ele nao consegue navegar. Mas tem usuarios > que precisam acessar certos tipos de pagina. > Eu gostaria de saber como faco para barrar os acesso pelo nome do usuario. > Ja fiz algumas pesquisas e ate alterei algumas linhas do squid.conf , mas > nada funcinou. Alguem sabe como fazer isso ? ******************************************************** De:  Marcelo Barreto Nees Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Proxy autenticado - Desativar a opcao salvar sennha do windows Data:  Fri, 14 May 2004 15:32:14 -0300 Em Qui 13 Mai 2004 20:25, José Colzani escreveu: > Fiz uns testes em casa e funciona perfeitamente, porem como na empresa o > chefe que que cada usuario tenha uma senha para usar em qualquer maquina > da rede me deparei com o seguinte. > A maldita opcao salvar senha do windows...... > Entao pergunto, tem como fazer o windows nao salvar a senha, tanto > windows 98 como  XP. > Talves mechendo no registro e tal. Desativa o cache de senhas do Internet Explorer: --------------------------------------------------------------------------- REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "DisablePasswordCaching"=dword:00000001 --------------------------------------------------------------------------- --  .''`.  Marcelo Barreto Nees : :'  : Pref. de Jaraguá do Sul - SC / Supervisão de Adm. de Redes `. `'`  GNU/Linux user #78191 - http://counter.li.org   `-    To err is human, to really foul up requires the root password. ******************************************************** De:  Pedro Junior Ashidani Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) ENC: Proxy Transparente com AUTENTICAÇÃO Data:  Mon, 17 May 2004 14:32:49 -0300 Em Seg 17 Mai 2004 11:17, Georgios Tsicalas escreveu: > Olá pessoal, > > Estou tendo uma dificuldade muito estranha na configuração do meu proxy > transparente, eu configurei tudo certo, uso o proxy com autenticação, porém > quando eu coloco ele no modo transparente sem a configuração do browser ele > dá erro e nao pede a senha... > Alguem ae tem alguma solução ?? Aparentemente não há solução. Retirado da FAQ: =================================== 17.15 Can I use proxy_auth with interception? No, you cannot. With interception proxying, the client thinks it is talking to an origin server and would never send the Proxy-authorization request header. =================================== [] 's Pedro ******************************************************** De:  Danilo Vasconcelos de O. e Silva Para:  gustavo@disal.com.br, linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Autenticação Squid vs Outlook Data:  Fri, 2 Jul 2004 08:27:43 -0300 Qual é o tipo de autenticacao que voce está usando?     Se voce usar ntlm nao vai precisar disso.     Já a nsca e a smb_auth vai..         Aqui eu uso a ntlm e é blz.. > Blz Galera, meu squid esta autenticando blz, e as regras estão blz, mas > quando recebo um email com gif/jpg que estão na net o squid pede várias > autenticações , pelo que entendi , ele faz uma solicitação de autenticação > por imagem, sendo se o email tiver 20 imagens , serão 20 vezes que terei que > digitar usuario e senha, tem alguma forma de corrigir isso? > > Valeu. ******************************************************** De:  Frederico Vaz Para:  'João Siqueira' , linux-br@bazar2.conectiva.com.br, 'Thiago Sobral' Assunto:  (linux-br) RES: Site liberado no proxy / RES: Autenticação no Proxy viasite Data:  Mon, 16 Aug 2004 23:57:24 -0300 > João Siqueira escreveu em: > sexta-feira, 13 de agosto de 2004 11:28 > Tenho um servidor linux com Proxy e autenticação utilizando o squid. > ... todos os usuários que logam na Internet tem que autenticar com o > seu nome e senha, como faço para que estes sites de atualização e do > antivírus (os quais já sei o nome) não passem pelo Proxy, para que eles > burlem esta autenticação... Podem continuar passando pelo Proxy sem autenticação. acl senha proxy_auth REQUIRED acl antivirus dstdomain .ftp.nai.com http_access deny !antivirus !senha > Thiago Sobral escreveu em: > sexta-feira, 13 de agosto de 2004 17:55 >  por favor, alguém sabe como deixar para que o squid peça autenticação > somente para determinados sites ? acl senha proxy_auth REQUIRED acl sitescomsenha dstdomain .playboy.com.br acl redelocal src 192.168.0.0/255.255.255.0 http_access allow redelocal http_access deny sitescomsenha !senha Frederico Vaz ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Listas Inter.Net Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) iptables + squid - não usar squid em alguns casos Data:  Thu, 2 Dec 2004 09:52:10 -0300 Olá, > Tenho um squid, autenticando alguns usuários, mas > preciso  que em determinados sites (intranet) não seja > exigida essa autenticação, já tentei diversas regras > do squid e iptables e todas não tiveram sucesso, > procurei no google e nada, alguém aqui pode me ajudar > ? Provavelmente você deve ter uma entrada no seu squid.conf assim: http_access allow localnet password http_access deny all Onde localnet é a acl que diz os IPs da sua rede interna (acl localnet src 192.168.0.0/255.255.255.0) Então você deve criar uma acl pros sites que não precisam de autenticação: acl sitesOK dstdomain .site1.com.br acl sitesOK dstdomain .site2.com.br acl sitesOK dstdomain .site3.com.br e colocar nas regras de acesso: http_access allow localnet sitesOK http_access allow localnet password http_access deny all Abraço! Alejandro Flores ******************************************************** De: Mauricio Teixeira (netmask) Para: Thiago M. Campos Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Autenticação do Squid via Samba Data: Wed, 27 Apr 2005 16:50:34 -0300 Em Qua, 2005-04-27 às 15:28 -0300, Thiago M. Campos escreveu: > Num Fedora 3 tenho instalado o Squid e Samba, instalei o modulo smb_auth Veja se isso aqui ajuda: http://www.wlug.org.nz/SquidNotes -- % Mauricio Teixeira (netmask) % mteixeira{a}webset{d}net <> Maceio/AL/BR % TI+Telecom Analyst <> Linux Specialist % http://mteixeira.webset.net <> http://pmping.sf.net ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: andrelopes@terra.com.br Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Squid + Autenticacao smb_auth Data: Wed, 6 Jul 2005 11:12:43 -0300 Olá, > Pessoas... > Estou instalando um novo servidor Squid que autenticarah usuarios de > um dominio Microsoft com AD utilizando o smb_auth. Jah revirei o Google > procurando a resposta pra meu problema mas nao achei. Já que você quer autenticar em um AD, porque você não usa a autenticação via NTLM? > auth_param basic program /usr/bin/smb_auth -W MEU_DOMINIO -U > 172.16.0.11 O caminho está correto, certo? /usr/bin/smb_auth? > auth_param basic children 5 Muito pouco. Quantos usuários tem na rede? > Logs do Squid: > 1120600700.757 2 172.16.0.60 TCP_DENIED/407 1735 GET > http://www.google.com.br/ - NONE/- text/html > 1120600708.290 1055 172.16.0.60 TCP_DENIED/407 1735 GET > http://www.google.com.br/ andre NONE/- text/html Normalmente os erros dos programas auxiliares vão para o 'cache.log'. Da uma olhada nele. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: hamacker Para: andrelopes@terra.com.br, Lista Linux Assunto: Re: (linux-br)Squid + Autenticacao smb_auth Data: Wed, 06 Jul 2005 09:52:59 -0300 Colega, eu tive que alterar o script /usr/lib/squid/smb_auth.sh (uma especie de wrapper usado pelo smb_auth) na unha porque alguns comandos como smbclient e/ou nmblookup que estavam dentro do script estavam falhando. Eu não sei exatamente o que precisei modificar nesse script /usr/lib/squid/smb_auth.sh, talvez fosse apenas ver todos os comandos que estao sendo executados dentro dele e verificar se eles realmente existem no seu sistema, mas experiementar colocar uns echo's e identifica-lo. []'s ps: É triste dizer, mas o cliente samba sempre me reserva problemas com nmblookup, numa distro funciona perfeitamente e noutra dá zica. Algumas distros tem smbfs que precisa ser instalado e noutros o samba-clients é suficiente. André Lopes Pereira escreveu: > Pessoas... > > Estou instalando um novo servidor Squid que autenticarah usuarios de > um dominio Microsoft com AD utilizando o smb_auth. Jah revirei o Google > procurando a resposta pra meu problema mas nao achei. > > Compilei o smb_auth. Tudo certo. ******************************************************** De: Leonardo Pinto Responder A: Leonardo Pinto Para: rafael Cc: Linux-BR Lista Assunto: Re: (linux-br)squid autenticando no samba Data: Tue, 24 Jan 2006 12:51:02 -0000 Já andei quebrando muito a cabeça com isto... E debugando achei este pequeno grande erro em "/usr/lib/squid/smb_auth.sh": ... echo "Query address options: $addropt" #dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH" | awk '/^[0-9.]+ / { print $1 ; exit }'` dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH#1c" | awk '/^[0-9.]+ / { print $1 ; exit }'` Repare que comentei (sustenido) a linha de código com o erro, e adicionei a correta logo embaixo. A diferença é "apenas" essa: #1c Sds, -- Leonardo Pinto listas#openlogic dot com br > Tenho um CL10 rodando squid e este deveria estar autenticando no > samba, a configuração do squid esta correta mas na tentativa de conexão > fica pedindo login e senha e não autentica no browser. Em muitos artigos > que li todos mencionam os passos já feitos mas ainda não conecta.. > alguem poderia me dar um help.. ? ******************************************************** De: Rubens luiz Para: Jorge Godoy , rafael Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)squid autenticando no samba Data: Tue, 24 Jan 2006 22:28:39 +0000 (GMT) Tem um arquivo se nao me engano /var/run/winbindd_privileges vc tem que dar permissao nesse arquivo para o usuario do squid. --- Jorge Godoy escreveu: > rafael writes: > > > Tenho um CL10 rodando squid e este deveria > estar autenticando no > > samba, a configuração do squid esta correta mas na > tentativa de conexão > > fica pedindo login e senha e não autentica no > browser. Em muitos artigos > > que li todos mencionam os passos já feitos mas > ainda não conecta.. > > alguem poderia me dar um help.. ? > > Ajude-se primeiro enviando para *a lista* os logs da > tentativa de conexão. > Com certeza você já os leu e procurou pelas > mensagens de erro no Google antes > de postar na lista, então sabe onde estão... > > -- > Jorge Godoy > >