SQUID - Active Directory (NTLM)

renato_pacheco
(usa Debian)

Enviado em 08/11/2013 - 15:31h

Ah, é verdade, kra, minha cabeça falhou. Mas falando nisso, vc pode ativar o modo debug do seu squid pra visualizar isso. Adicionando um -d# no executável do squid, sendo q o cerquilha é o número do nível de debug, vc pode obter maiores detalhes sobre isso.

GuilhermeBR
(usa CentOS)

Enviado em 08/11/2013 - 19:17h

Uma coisa que me veio à cabeça agora, mas nem tinha me ligado.

Todas as máquinas, que estão fora do domínio, são Win7 ou Win8. Existe alguma incompatibilidade, do Win7 e Win8 com autenticação NTLM?

GuilhermeBR
(usa CentOS)

Enviado em 08/11/2013 - 19:19h

Sim, existe e 2 ainda:

http://geekdom.wesmo.com/2010/07/16/windows-7-and-squid-via-ntlm-authentication-via-samba/

http://www.vivaolinux.com.br/dica/Como-fazer-o-Windows-7-autenticar-no-Squid-usando-NTLM_AUTH

Só pode ser isso.. ferrou!

GuilhermeBR
(usa CentOS)

Enviado em 09/11/2013 - 11:00h

Pessoal,

Existe alguma forma de fazer isso?

- Usuários do dominio ......: Autentica no AD usando NTLM;
- Usuários fora do dominio .: Autentica no squid usando NCSA.

Mais ou menos isso:

Usuários do domínio:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

Usuários fora do domínio:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd

removido
(usa Nenhuma)

Enviado em 09/11/2013 - 11:29h

Amigo deixa ver se ententi... você tem máquinas (com windows 7 e 8 isntalados) que usam o squid, mas que não estão ingressadas no domínio, e quer fazer com que os usuários que usam essas máquinas acessem a net passando pelo squid com autenticação ou sem de autenticação ?

2º Pergunta: Os usuários que fazem uso dessas máquinas tem algum usuário castrado no active directory ou não ?

GuilhermeBR
(usa CentOS)

Enviado em 09/11/2013 - 11:46h

Opa,

1 - Então, todos tem que se autenticar. O ideal seria todos se autenticar no AD. Mas como existe essa incompatibilidade do Win7 e 8, com autenticação NTLM, eles se autenticariam via NCSA no próprio squid.

Existe um hack para Win7 e 8, para que funcionem com autenticação com NTLM. Mas o problema é que na empresa, direto vem pessoas de fora, visitantes, fornecedores... não estou afim de ficar fazendo esse hack, para todos que vão na empresa. Para essas pessoas, eu crio um usuário no squid, tipo "visitante" e eles se autenticam no próprio proxy, usando NCSA e não no AD (NTLM).

2 - Sim, criei um usuário "visitante" no AD e tb no proxy.

GuilhermeBR
(usa CentOS)

Enviado em 09/11/2013 - 11:58h

Pesquisando aqui, acho que tem jeito sim:

Can I use different authentication mechanisms together?
-------------------------------------------------------
Yes, with limitations.

Commonly deployed user-agents support at least one and up to four different authentication protocols (also called schemes).

Those schemes are explained in detail elsewhere (see Features/NegotiateAuthentication and SquidFaq/TroubleShooting). You can enable more than one at any given moment, just configure the relevant auth_param sections for each different scheme you want to offer to the browsers.

RFC 2617, chapter 4.6, states: A user agent MUST choose to use the strongest auth-scheme it understands. Of course definition of strongest may vary

/!\
Due to a bug in common User-Agents (most notably some Microsoft Internet Explorer and Firefox versions) the order the auth-schemes are configured is relevant. Early versions of MSIE instead chooses the first auth-scheme (in the order they are offered) it understands.
In other words, you SHOULD use this order for the auth_params directives:

negotiate
ntlm
digest
basic
omitting those you do not plan to offer.

Once the admin decides to offer multiple auth-schemes to the clients, Squid can not force the clients to choose one over the other.

Fonte: http://wiki.squid-cache.org/Features/Authentication

#############################

Não tenho como testar agora. Alguém já fez?

removido
(usa Nenhuma)

Enviado em 09/11/2013 - 12:03h

Entendi amigo... então usa autenticação via kerberos... tipo coloca a autenticação via kerberos antes da ntlm e depois a ntlm. segue o link.

http://brunoqueiroz.com/integracao-squid-ad-via-kerberos/

GuilhermeBR
(usa CentOS)

Enviado em 09/11/2013 - 15:38h

NTLM já não utiliza kerberos?

removido
(usa Nenhuma)

Enviado em 09/11/2013 - 15:56h

Não... ntlm utiliza um tipo de autenticação criptografada, kerberos é outro método de autenticação criptografada mais segura, por isso as versões mais recentes do windows abandonaram o ntlm-v1.

GuilhermeBR
(usa CentOS)

Enviado em 09/11/2013 - 17:34h

Certo,

As estações do domínio, utilizam WinXP.

Será que vão conseguir se autenticar, utilizando kerberos? Pq se for compatível, posso utilizar somente kerberos, ao invés de utilizar 2 métodos de autenticação.

removido
(usa Nenhuma)

Enviado em 09/11/2013 - 17:54h

Ai GuilhermeBR utiliza sim kerberos para autenticação. Mas deixe a autenticação via NTLM depois da autenticação kerberos.