Proxy Squid com SquidGuard + Controle de Banda e Autenticação NTLM no Samba 4 (CentOS 6.5 - 64 bits Minimal)

rengaf1

Depois de cinco dias brigando na frente do PC e fuçando muito na Internet (lembrando que esse assunto, em especial, ainda tem pouca coisa a respeito), só hoje consegui por em funcionamento. Squid + SquidGuard + autenticação no Samba 4 ou AD (Microsoft). Espero que ajude aos amigos que buscam a mesma solução.

[ Hits: 56.984 ]

Por: Fagner Silva do Nascimento em 11/04/2014

3 0

Denuncie Favoritos Indicar Impressora

Configurando o Squid

Backup do arquivo de configuração:

# cp -Rfa /etc/squid/squid.conf{,.bkp}
# rm -rf /etc/squid/squid.conf
# vi /etc/squid/squid.conf

http_port 3128
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 64 KB
cache_mem 60 MB
pipeline_prefetch on
fqdncache_size 1024

refresh_pattern ^ftp:      1440  20%   10080
refresh_pattern ^gopher:    1440  0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .        0    20%   4320

cache_swap_low 90
cache_swap_high 95

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_dir ufs /var/spool/squid 100 16 256

logfile_rotate 10
hosts_file /etc/hosts

acl SSL_ports port 443
acl Safe_ports port 80     # http
acl Safe_ports port 21     # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70     # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT

acl localhost src 127.0.0.1/32
http_access allow localhost

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

acl NOCACHE url_regex "/etc/squid/regras/nocache.lst" \?
no_cache deny NOCACHE

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours

acl autenticados proxy_auth REQUIRED

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 10

http_access allow autenticados
http_access deny all
http_reply_access allow all
icp_access allow all
miss_access allow all

visible_hostname proxyauth.palacio.local
error_directory /usr/share/squid/errors/pt-br

cache_effective_user squid
coredump_dir /var/spool/squid

######## CONTROLE DE BANDA ############
acl Acesso_Rapido url_regex -i \.(aspx?|css|jsp?|[js]?html?|rss|php|xml|txt|gif|jpe?g|png)$
acl Banda_Livre arp "/etc/squid/acls/Banda_Livre.lst"

delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1 -1/-1
delay_access 1 allow Banda_Livre

delay_class 2 2
delay_parameters 2 614400/614400 61920/619200 # Navegar a 60k
delay_access 2 allow rede_local !Acesso_Rapido

Criando a pasta de cache:

# mkdir /etc/squid/cache
# mkdir -p /etc/squid/cache/1
# chown squid:squid -R /etc/squid/cache/
# service squid start

Inicialização automática do Squid:

# chkconfig squid on

Página anterior Próxima página

Páginas do artigo

   1. Configurações iniciais
   2. Configurando o Squid
   3. Configurando o SquidGuard

Outros artigos deste autor

BIND 9 - DNS Master e Slave CentOS 6.4 Minimal

Leitura recomendada

Criando RADIUS no Windows Server 2012 para autenticar no Mikrotik

Instalando Servidor RackTables para Documentação de Rede

Site Survey Plan

Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla

FreeRadius 3 + iODBC + Base de Dados em MS SQL Server 2008 no Ubuntu Server - Guia definitivo

Comentários

[1] Comentário enviado por jorgevisentini em 15/04/2014 - 21:08h

Muito bom o tutorial.

Amigo, tenho uma dúvida. Quando o Squid não está integrado com o AD, a troca de permissões, acessos é instantâneo, porém quando integrei com o AD, quando eu mudo o grupo do usuário no AD, leva alguns minutos para surtir efeito.

É correto isso?

Outra coisa... já peguei vários caso em tive que reiniciar o Wimbind porque o navegador não detectava o proxy e/ou não solicitava usuário e senha...

Isso acontece com você ou é alguma configuração que está faltando?

Valeuu

1 0

[2] Comentário enviado por morati em 10/06/2014 - 21:40h

Não consegui, mesmo seguindo seu tutorial. Uma dúvida, eu posso integrar apenas o squidguard sem o squid com o samba4?
tem algum contato skype ou gtalk? estou quebrando a cabeça ha dois dias!

1 0

[3] Comentário enviado por diegojr554 em 17/12/2014 - 14:54h

Segui o seu tutorial e tudo funcionou normalmente, mas estou tendo problemas com os logs, por exemplo quando um usuário tenta acessar um site que está bloqueado o proxy bloqueia normalmente, mas no log aparece a mensagem como TCP_MISS/200 quando devia ser 401 ou 403. Como estou usando lightsquid, os relatórios aparecem como se o usuário tivesse acessado a página.

0 0

[4] Comentário enviado por rubensvital em 25/06/2015 - 14:32h

Valeu! Agora está funcionando a autenticação.
Só não consegui user o squidguard. Eu tenho que configurar estas listas no meu ad?
Quando uso o squidGuard -b -u -C all, fica um tempão, mas não aparece nada no log.

0 0

[5] Comentário enviado por marcelohcm em 06/08/2015 - 15:51h

como eu faço a liberação por usuário, e não por grupo??

0 0

[6] Comentário enviado por marcelohcm em 29/09/2015 - 11:20h

gostaria de saber como faço a liberação por usuário, e não por grupo!
obrigado.

0 0

[7] Comentário enviado por rafael.mendes em 01/10/2016 - 15:26h

Boa Tarde.

No arquivo de log do SquidGuard estou recebendo essa mensagem...

2016-10-01 15:21:39 [2716] (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required

nas config do squidguard.conf esta setado usuário e senha com o caminho da CN correta... já validei

# Autenticacao LDAP
ldapbinddn cn=squid,ou=TI,ou=Usuarios,dc=rmitsolucoes,dc=net
ldapbindpass senha@squid2016
ldapcachetime 60

Mas o log continua dando falha...
Alguma ideia?

0 0