erro de autenticação no squid

trem
(usa Outra)

Enviado em 17/11/2010 - 15:26h

Pessoal, eu tenho dois tipos de permissoes. um compermissao total para acessar todos tipos de sites e outra q nao acessa youtube, orkut e msn. To com problema na senha de permissao restrita, ele fica pedindo senha toda hora, pra abrir qqlr flash. Podem me ajudar!!! Abaixo meu squid. Ah e tb nao consegui bloquear o orkut pra quem tem permissao total.
Obrigada

---
http_port 3128


acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY


cache_mem 16 MB

cache_dir ufs /var/lib/squid/cache 10000 16 256

cache_access_log /var/lib/squid/logs/access.log

# cache_log /var/lib/squid/logs/cache.log

# cache_store_log /var/lib/squid/logs/store.log



dns_nameservers 192.168.0.1

# auth_param digest program /usr/libexec/digest_auth_pw /usr/etc/digpass

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off


#Recommended minimum configuration:


#parametros de autenticacao#

auth_param basic program /usr/bin/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm Entre com seu nome de usuario e senha
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off


#Regras padroes do Squid#

acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT



acl limitado src 192.168.0.13 192.168.0.73 192.168.0.49 192.169.0.133
acl permitido url_regex "/etc/squid/spc"
http_access deny limitado !permitido

acl rede_local src 192.168.0.0/24
acl senha proxy_auth REQUIRED
acl acesso_total proxy_auth "/etc/squid/acesso_total"
acl acltime time F 00:01-23:59
acl sites url_regex "/etc/squid/sites_proibidos"
acl palavras_bloqueadas url_regex "/etc/squid/palavras"
acl msn url_regex "/etc/squid/msn_orkut"
acl execoes url_regex "/etc/squid/execoes"
acl msn_bloq req_mime_type -i ^application/x-msn-messenger$

acl orkut dstdomain www.orkut.com
acl orkutbr dstdomain www.orkut.com.br
acl minhaempresa dstdomain www.minhaempersa.com.br
acl torpedo dstdomain www.clarotorpedoweb.com.br
acl claro dstdomain www.claro.com.br
acl oi dstdomain www.oi.com.br
acl msnregex url_regex loginnet.passport.com login.live.com config.messenge.com
acl msndll url_regex -i gateway.dll sqmserver.dll
acl mula_ports port 4662 3000 2222 3333 4444 5555 7777 4242 4661 26662

####
acl exe url_regex -i .exe
acl zip url_regex -i .zip
acl rar url_regex -i .rar
acl scr url_regex -i .scr
acl msi url_regex -i .msi
acl wmv url_regex -i .wmv
acl pif url_regex -i .pif
acl avi url_regex -i .avi
acl mp3 url_regex -i .mp3

####

http_access deny exe !acesso_total
http_access deny zip !acesso_total
http_access deny rar !acesso_total
http_access deny scr !acesso_total
http_access deny msi !acesso_total
http_access deny wmv !acesso_total
http_access deny pif !acesso_total
http_access deny avi !acesso_total
http_access deny mp3 !acesso_total

####

http_access allow acesso_total
http_access allow minhaempresa
http_access allow torpedo
http_access allow claro
http_access allow oi


#http_access deny msnregx !acesso_total
#http_access deny msndll !acesso_total
#http_access deny orkut !accesso_total
#http_access deny orkut.br !acesso_total

###

http_access allow acesso_total
http_access deny senha sites !acesso_total !execoes
http_access allow senha execoes
http_access deny senha palavras_bloqueadas !acesso_total !execoes
http_access deny senha msn !acesso_total !execoes
http_access allow acesso_total
http_access allow msn_bloq !acesso_total
http_access allow Safe_ports
http_access allow rede_local
http_access deny acltime
http_access deny all


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny all
http_reply_access allow all
icp_access allow all

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 12:57h

Também estou com o mesmo problema, quando o usuário acessa um site proibido fica constantemente pedindo login e senha, mas quando o acesso é liberado ele acessa normalmente e nos relatórios mostra o acesso autenticado.

DMS_
(usa elementary OS)

Enviado em 30/01/2012 - 14:27h

Poderia me explicar as regras em negrito? Principalmente a:

"auth_param basic credentialsttl 2 hours"

[]'s

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 15:30h

A linha auth_param basic program /usr/lib/squid/ncsa_auth
/etc/squid/passwd especifica qual módulo será usado, no caso /usr/lib/squid/ncsa_auth é onde se encontra o arquivo com os usuários e senhas gerado conforme comentado acima. Em auth_param basic children 5 estamos definindo quantos processos filhos do módulo de autenticação poderão existir, esse número é o padrão do Squid, entretanto em redes maiores pode haver a necessidade de um incremento deste, devido ao número provavelmente maior de usuários que precisarão se autenticar simultaneamente. Em auth_param basic realm Servidor Proxy Squid ARL configura-se a mensagem que aparecerá na tela onde são fornecidas as informações do usuário para autenticação. Esta opção é interessante para que possamos personalizar este mensagem da tela de login do nosso servidor. E por último auth_param basic credentialsttl 2 hours especifica a validade de uma autenticação bem sucedida.

fonte: http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=81&Itemid=27

andrecanhadas
(usa Debian)

Enviado em 30/01/2012 - 15:51h

Vc definiu que acesso_total pode tudo

http_access allow acesso_total

Tenta assim:
http_access allow acesso_total !orkut !orkut.br

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 16:25h

No meu caso, estou testando o ENDIAN FIREWALL e está ocorrendo este erro, ai vai o squid.conf dele.


shutdown_lifetime 1 seconds
icp_port 0

http_port 0.0.0.0:3128 transparent
http_port 127.0.0.1:8080

cache_effective_user squid
cache_effective_group squid

pid_filename /var/run/squid.pid

cache_mem 40 MB

cache_dir aufs /var/spool/squid 500 16 256

error_directory /usr/share/squid/errors/en

max_filedesc 9581

server_persistent_connections off
half_closed_clients off
buffered_logs on

# START LOG
cache_log /var/log/squid/cache.log
cache_access_log syslog:local6.info
cache_store_log none


log_mime_hdrs off
# END LOG

# FORWARD IP ADDRESS
forwarded_for off

# START AUTHENTICATION
# METHOD is NCSA
auth_param basic program /usr/lib/squid/ncsa_auth /var/efw/proxy/ncsausers
auth_param basic children 20
auth_param basic realm localdomain
auth_param basic credentialsttl 180 minutes

acl for_auth_rule0 proxy_auth "/etc/squid/groups/rule0"
acl for_auth_rule1 proxy_auth "/etc/squid/groups/rule1"
acl for_auth_users proxy_auth REQUIRED
# END AUTHENTICATION

# network - acls
acl all src 0.0.0.0/0.0.0.0 #seams to be needed :(
acl from_all src 0.0.0.0/0.0.0.0
acl to_all dst 0.0.0.0/0.0.0.0

acl from_localhost src 127.0.0.1/255.255.255.255
acl CONNECT method CONNECT

acl to_http_port port 80
acl to_https_port port 10443

# proxy interfaces - acls
acl to_green_interface dst 192.168.10.1

acl from_green src "/etc/squid/acls/green_subnets.acl"
acl to_green dst "/etc/squid/acls/green_subnets.acl"

# allowed ports - acls
acl allowed_ports port "/etc/squid/acls/ports.acl"
acl allowed_sslports port "/etc/squid/acls/sslports.acl"

# allowed havp protocol - acls
acl HAVP_ALLOWED_PROTOS proto HTTP
acl HAVP_ALLOWED_PROTOS proto SSL


acl to_rule0 dstdomain "/etc/squid/acls/dst_rule0.acl"
acl within_timeframe_rule0 time MTWHFAS 00:00-24:00
acl within_timeframe_rule1 time MTWHFAS 00:00-24:00

# caching settings
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache deny from_localhost
cache deny CONNECT
cache allow from_all

# http access to cachemanager
acl manager proto cache_object
http_access allow manager from_localhost
http_access deny manager

# snmp access settings
acl snmppublic snmp_community public
snmp_access allow snmppublic from_localhost
snmp_access deny from_all

# http access to squid
http_access allow from_localhost
http_access allow from_green to_green_interface to_http_port
http_access allow CONNECT from_green to_green_interface to_https_port
http_access deny to_green_interface to_https_port

http_access deny !allowed_ports !allowed_sslports
http_access deny CONNECT !allowed_sslports

http_access deny from_green to_rule0 within_timeframe_rule0 for_auth_rule0
http_access allow from_green within_timeframe_rule1 for_auth_rule1
http_access deny from_all

# http reply access rules
http_reply_access allow from_localhost
http_reply_access deny from_green to_rule0 within_timeframe_rule0
http_reply_access allow from_green within_timeframe_rule1 for_auth_rule1
http_reply_access deny from_all

# max/min object size
maximum_object_size 1024 KB
minimum_object_size 0 KB

request_body_max_size 0KB

reply_body_max_size 0KB allow from_all

visible_hostname new

# begin custom.tmpl
# end custom.tmpl


# cache peer access

andrecanhadas
(usa Debian)

Enviado em 30/01/2012 - 16:27h

Vc ta usando dois tipos de autenticação usa apenas uma.

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 16:38h

como assim dois? onde? qual eu desabilito?

andrecanhadas
(usa Debian)

Enviado em 30/01/2012 - 17:26h

Vc esta autenticando esses usuarios no samba?

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 17:36h

Não, estou autenticando localmente.

-> auth_param basic program /usr/lib/squid/ncsa_auth /var/efw/proxy/ncsausers

andrecanhadas
(usa Debian)

Enviado em 30/01/2012 - 17:40h

Desativa o digest:

# auth_param digest program /usr/libexec/digest_auth_pw /usr/etc/digpass

#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web #server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

diegopontes
(usa Fedora)

Enviado em 30/01/2012 - 18:02h

Ah você está vendo o squid.conf do cara que abriu, da uma olhada no que eu enviei agora..