[FUG-BR] Squid + AD auth
Saul Figueiredo
saulfelipecf em gmail.com
Sexta Agosto 17 15:28:04 BRT 2012
Em 17 de agosto de 2012 14:24, Saul Figueiredo <saulfelipecf em gmail.com>escreveu:
>
>
> 2012/8/17 Thays Karine de Freitas <thays.karine86 em hotmail.com>
>
>>
>>
>> --------------squid.conf---------------
>>
>> auth_param ntlm program /usr/local/libexec/squid/ntlm_auth
>> domaintest.go.gov.br/win2003-server
>> auth_param ntlm keep_alive on
>> auth_param ntlm children 50
>> authenticate_ttl 2 hours
>> authenticate_ip_ttl 1 hour
>> authenticate_cache_garbage_interval 1 hour
>> external_acl_type NT_global_group %LOGIN /usr/local/libexec/squid/
>> wbinfo_group.pl
>>
>>
>> acl autenticados proxy_auth REQUIRED
>>
>> acl grupo_livre external NT_global_group diretoria
>> http_access allow grupo_livre
>>
>> acl usuarios_liberados proxy_auth
>> "/usr/local/etc/squid/grupos/usuarios_liberados"
>> http_access allow usuarios_liberados
>>
>> acl sites_bloqueados url_regex -i "/usr/local/etc/squid/blockedsites"
>> http_access deny sites_bloqueados
>>
>> acl usuarios_restritos proxy_auth
>> "/usr/local/etc/squid/grupos/usuarios_restritos"
>> http_access allow usuarios_restritos !sites_bloqueados
>>
>> acl usuarios_bloqueados proxy_auth
>> "/usr/local/etc/squid/grupos/usuarios_bloqueados"
>> http_access deny usuarios_bloqueados
>>
>> http_access deny !autenticados
>>
>> http_access allow autenticados
>> http_access deny all
>>
>> --------------squid.conf---------------
>>
>>
>>
>> Já troquei as regras de lugar de tudo quanto é jeito mas não dá certo.
>>
>> Achei interessante a questão das Acls External por grupo do AD (que está
>> marcado de azul), se puderem me exclarecer melhor sobre este assunto
>> também, agradeço.
>>
>> Abraço!
>>
>> Thays.
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Thays
>
> Essa parte aqui ta errada:
>
> http_access deny !autenticados
>
> http_access allow autenticados <-------- você não pode fazer isso,
> afinal, você já definiu acima que quem não autenticar vai ser barrado.
> http_access deny all <---------------------- vai bloquear
>
>
> Sugiro a seguinte dica:
> Habilite apenas as seguintes regras:
>
> acl autenticados proxy_auth REQUIRED
> http_access deny !autenticados
>
> acl sites_bloqueados url_regex -i "/usr/local/etc/squid/blockedsites"
> acl usuarios_restritos proxy_auth "/usr/local/etc/squid/grupos/
> usuarios_restritos"
> acl usuarios_liberados proxy_auth "/usr/local/etc/squid/grupos/
> usuarios_liberados"
>
> http_access allow usuarios_restritos !sites_bloqueados
> http_access allow usuarios_liberados
>
>
> e a principio teste se cada um vai estar liberado e restrito ^^
>
>
>
>
>
>
>
>
>
> --
> "Deve-se aprender sempre, até mesmo com um inimigo."
> (Isaac Newton)
>
> Atenciosamente,
> Saul Figueiredo
> Analista FreeBSD/Linux
> Linux Professional Institute Certification Level 2
> saulfelipecf em gmail.com
> <saul-felipe em hotmail.com>
>
Thays,
Habitue-se sempre a criar as acls todas primeiro e depois criar as regras
de acesso; além de deixar mais legível e organizado, evita de você cometer
algum equivoco de lógica nas regras.
;)
--
"Deve-se aprender sempre, até mesmo com um inimigo."
(Isaac Newton)
Atenciosamente,
Saul Figueiredo
Analista FreeBSD/Linux
Linux Professional Institute Certification Level 2
saulfelipecf em gmail.com
<saul-felipe em hotmail.com>
Mais detalhes sobre a lista de discussão freebsd