Autenticação não funciona em clientes Linux.

cl2b2r
(usa Debian)

Enviado em 24/05/2013 - 11:58h

Olá pessoal do VOL,

Tenho instalado em um ambiente educacional um servidor Linux Ubuntu 12.10 e 25 clientes com esta mesma distro.
Por motivos óbvios tive que instalar um Squid3 para controle de acesso a internet. No entanto, como eu preciso saber qual aluno está acessando proxys para burlar a segurança e outras páginas impróprias (caso o façam eles recebem uma notificação e, dependendo do caso, podem até ser suspensos da escola), tentei implementar a autenticação que, até agora, não funcionou. Não sei o porquê, mas, ela simplesmente não funciona! É como se eu nem tivesse adicionado as linhas ao meu conf.
O que quero dizer é que ao abrir o Firefox no cliente Ubuntu, ele vai pra internet direto sem sequer abrir o pop-up de autenticação.
Vou postar abaixo o meu squid.conf e peço que vocês, por favor, me deem uma luz quanto ao que estou fazendo de errado ou o que está faltando. Desde já agradeço a ajuda.

###### squid.conf ######

# Porta do Squid
http_port 3128

# Nome do servidor
visible_hostname Lab

# Cache
cache_mem 1024 MB
maximum_object_size_in_memory 1024 MB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 100 16 256
# Logs de acesso
access_log /var/log/squid3/access.log squid

# Regras acl padrão
acl manager proto cache_object
acl localhost src 127.0.0.1/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Bloqueia acessos de fora da rede local antes de passar pela autenticação:
acl redelocal src 10.42.0.0/24
http_access deny !redelocal

# Liberação de sites por URL
acl sites_permitidos url_regex -i "/etc/squid3/liberado"
http_access allow sites_permitidos

# Bloqueio de sites por URL
acl sites_proibidos url_regex -i "/etc/squid3/bloqueado"
http_access deny sites_proibidos

#Bloqueio do MSN
acl msn dst 207.46.110.0/24 207.46.104.0/24 64.4.13.0/24 192.168.7.0/24
http_access deny msn
acl bloqmessenger url_regex www.e-messenger.net webmessenger.msn.com
http_access deny bloqmessenger

# Bloqueio de downloads por extensão
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.flv \.cmd \.bat \.msi \.mp3 \.wav \.apk
http_access deny downloads_proibidos

# Autentica o usuário:
auth_param basic realm ENTRE COM USUARIO E SENHA
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

# Permissão rede local e servidor
http_access allow localhost
http_access allow redelocal
http_access deny redelocal

# Bloqueio de usuários fora da rede
http_access deny all

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 12:34h

Deixe assim teu squid.conf e teste.

###### squid.conf ######
#
authenticate_ip_ttl 60 seconds
acl umlogin max_user_ip 1
http_access deny umlogin
#
# Autentica o usuário:
auth_param basic realm ENTRE COM USUARIO E SENHA
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
#

# Porta do Squid
http_port 3128
#
# Nome do servidor
visible_hostname Lab
#
# Cache
cache_mem 1024 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 8 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
# Logs de acesso
access_log /var/log/squid3/access.log squid
#
# Regras acl padrão
acl manager proto cache_object
acl localhost src 127.0.0.1/24
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl CONNECT method CONNECT
#
# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# Bloqueia acessos de fora da rede local antes de passar pela autenticação:
acl redelocal src 10.42.0.0/24
#
# Liberação de sites por URL
acl sites_permitidos url_regex -i "/etc/squid3/liberado"
http_access allow sites_permitidos
#
# Bloqueio de sites por URL
acl sites_proibidos url_regex -i "/etc/squid3/bloqueado"
http_access deny sites_proibidos
#
#Bloqueio do MSN
acl msn dst 207.46.110.0/24 207.46.104.0/24 64.4.13.0/24 192.168.7.0/24
http_access deny msn
acl bloqmessenger url_regex www.e-messenger.net webmessenger.msn.com
http_access deny bloqmessenger
#
# Bloqueio de downloads por extensão
acl downloads_proibidos url_regex -i \.exe \.torrent \.avi \.flv \.cmd \.bat \.msi \.mp3 \.wav \.apk
http_access deny downloads_proibidos
#
# Permissão rede local e servidor
http_access allow localhost
http_access allow redelocal
#
# Bloqueio de usuários fora da rede
http_access deny all

Não esqueça de criar o arquivo /etc/squid3/passwd onde ficarão os usuários e as senhas.

cl2b2r
(usa Debian)

Enviado em 29/05/2013 - 14:37h

Legal amigo!

A dica que você deu realmente funcionou. O problema é que agora as estações não conseguem logar. Isso apesar de eu ter criado o arquivo /etc/squid3/passwd e ter dado permissão de leitura e escrita.
Pior! Quando eu tento acessar os compartilhamentos do samba pelas estações elas não acham a rede.

Ah! eu criei os usuários e senhas da seguinte forma:

sudo htpasswd -b /etc/squid3/passwd login01 senha01

Não sei se isso influi em algo

Buckminster
(usa Debian)

Enviado em 29/05/2013 - 14:54h

Libera a porta do Samba:
acl Safe_ports port 139

E com o proxy autenticado você deve setar o IP do proxy em cada estação ou configurar um WPAD.

cl2b2r
(usa Debian)

Enviado em 29/05/2013 - 15:38h

O pior é que eu já fiz isso. Todas as máquinas estão apontando pro proxy. Não sei se influi algo, mas minhas estações são ubuntu e o "servidor" também.

Buckminster
(usa Debian)

Enviado em 29/05/2013 - 16:04h

Qual é a mensagem que dá no navegador?

Você fez o redirecionamento para o Squid no Iptables?

Faça um teste. Apague o conteúdo do arquivo /etc/squid3/passwd.

Crie um usuário assim, como root:

# htpasswd /etc/squid3/passwd usuario

dê enter; irá pedir a senha. digite a senha, reinicie o Squid e teste.

cl2b2r
(usa Debian)

Enviado em 27/02/2014 - 14:48h

É amigo! Agradeço a ajuda, mas, nem assim funcionou!