Squid não solicitando autenticação

digo_pk
(usa Red Hat)

Enviado em 26/12/2011 - 14:00h

Ola pessoal estou com um problema com a autenticação do squid.

Já segui diversos tutoriais aqui do VOL e não estou conseguindo fazer solicitar a autenticação

segue meu squid.conf


http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log
visible_hostname Proxy_SR_SERVICOS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 995
acl Safe_ports port 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 4443
acl purge method PRUGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow all
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
acl usuarios_livres proxy_auth "/etc/squid/nivel1"
http_access allow usuarios_livres
acl usuarios_bloq proxy_auth "/etc/squid/nivel2"
acl livre url_regex -i "/etc/squid/livre"
acl bloq url_regex -i "/etc/squid/bloq"
acl negra url_regex -i "/etc/squid/negra"
http_access deny negra
http_access allow livre
http_access allow usuarios_bloq
http_access deny usuarios_bloq !bloq
http_access deny usuarios_bloq !negra
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
http_access deny all
error_directory /usr/share/squid/errors/Portuguese

quando executo o comando
[root@roteador squid]# service squid restart
Parando o squid: 2011/12/26 13:54:42| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2011/12/26 13:54:42| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2011/12/26 13:54:42| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
................ [ OK ]
2011/12/26 13:55:14| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2011/12/26 13:55:14| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2011/12/26 13:55:14| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2011/12/26 13:55:14| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
2011/12/26 13:55:14| Initializing https proxy context
Iniciando o squid: . [ OK ]
[root@roteador squid]#


Estou com o ip e porta da maquina proxy setados na maquina cliente e quando abro o browser ele abre aquela tela de erro do squid:

Erro
Proibido acesso ao cache
-----------------------------------------------
Na tentativa de recuperar a URL http://www.google.com/

O seguinte erro foi encontrado:

- Proibido o acesso ao Cache.

Desculpe, você não tem autorização para acessar:

http://www.google.com/

através desse servidor ate que se autentique.


sem nem pedir usuário e senha.

Desde já agradeço a ajuda

phrich
(usa Slackware)

Enviado em 26/12/2011 - 19:39h

Modifique esta linha (a primeira no seu squid.conf):

http_port 3128 transparent

Para

http_port 3128

Autenticação não funciona com proxy transparente

digo_pk
(usa Red Hat)

Enviado em 27/12/2011 - 09:43h

phrich obrigado pela ajuda.... mas não resolveu o problema...

continua aparecendo a mesma mensagem de erro do squid quando abro o browser

phrich
(usa Slackware)

Enviado em 27/12/2011 - 10:29h

Faltou:

acl AUTENTICA proxy_auth REQUIRED
http_access allow AUTENTICA

Antes de colocá-las, leia sobre elas para vc entender melhor.

digo_pk
(usa Red Hat)

Enviado em 27/12/2011 - 10:42h

cara esssas linhas estão assim no meu squid.conf

acl autenticados proxy_auth REQUIRED
http_access allow autenticados

tenho que mudar para como você enviou?

phrich
(usa Slackware)

Enviado em 27/12/2011 - 15:05h

Vamos lá:

O squid lê as confs de cima para baixo ou seja, qdo ele ve uma regra que se aplica, ele para naquela regra.

vc tem regra assim:

# por exemplo:

acl liberados proxy_auth ...

e só lá embaixo vc tem:

acl autenticados proxy_auth REQUIRED

A linha acima deve estar antes das linhas das acls, tudo o que estiver acima dessa linha passa sem autenticação.

então o certo seria:



acl autenticados proxy_auth REQUIRED

http_access allow autenticados


Tente organizar seu squid.conf da seguinte maneira:

1 - Ajustes, como porta, programa que será usado na autenticação, etc

2 - ACLS, todas as acls que serão usadas

3 - Colocar as regras de liberação e bloqueio (http_access...) tente seguir a mesma linha por exemplo

acl 1 dstdomain google.com
acl 2 url_regex sexo

http_access allow 1
http_access deny 2


Ou seja, procure manter uma ordem e organização, assim vc administra mais fácil.

digo_pk
(usa Red Hat)

Enviado em 27/12/2011 - 15:52h

Cara fiz o que você falou... organizei o squid.conf

mas continua não solicitando a autenticação

segue meu squid.conf como ficou

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log
visible_hostname Proxy_SR_SERVICOS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
acl autenticados proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 995
acl Safe_ports port 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 4443
acl purge method PRUGE
acl CONNECT method CONNECT
acl usuarios_livres proxy_auth "/etc/squid/nivel1"
acl usuarios_bloq proxy_auth "/etc/squid/nivel2"
acl livre url_regex -i "/etc/squid/livre"
acl bloq url_regex -i "/etc/squid/bloq"
acl negra dstdom_regex -i "/etc/squid/negra"
http_access allow autenticados
http_access allow manager localhost
http_access deny manager
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow purge localhost
http_access allow purge
http_access allow localhost
http_access allow usuarios_livres
http_access allow usuarios_bloq
http_access allow livre
http_access deny usuarios_bloq !bloq
http_access deny negra
http_access deny usuarios_bloq !negra
http_access deny all
error_directory /usr/share/squid/errors/Portuguese

phrich
(usa Slackware)

Enviado em 27/12/2011 - 16:05h

Tente assim, fiz algumas correções:

http_port 3128
hierarchy_stoplist cgi-bin ?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log
visible_hostname Proxy_SR_SERVICOS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl autenticados proxy_auth REQUIRED
acl usuarios_livres proxy_auth "/etc/squid/nivel1"
acl usuarios_bloq proxy_auth "/etc/squid/nivel2"
acl livre url_regex -i "/etc/squid/livre"
acl bloq url_regex -i "/etc/squid/bloq"
acl negra dstdom_regex -i "/etc/squid/negra"
acl QUERY urlpath_regex cgi-bin \?
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 995
acl Safe_ports port 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 4443
acl purge method PRUGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow usuarios_livres
http_access allow usuarios_bloq !bloq !negra
http_access deny negra
http_access allow livre
http_access allow autenticados
http_access deny all
error_directory /usr/share/squid/errors/Portuguese

phrich
(usa Slackware)

Enviado em 27/12/2011 - 16:06h

Outro detalhe, vc configurou o proxy no navegador?

DMS_
(usa elementary OS)

Enviado em 27/12/2011 - 16:14h

Tenta este, a linha em negrito está dando um deny em quem NÃO for autenticado.

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log
visible_hostname Proxy_SR_SERVICOS
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
auth_param basic realm DIGITE SEU USUARIO E SENHA
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
acl autenticados proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 995
acl Safe_ports port 110
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 4443
acl purge method PRUGE
acl CONNECT method CONNECT
acl usuarios_livres proxy_auth "/etc/squid/nivel1"
acl usuarios_bloq proxy_auth "/etc/squid/nivel2"
acl livre url_regex -i "/etc/squid/livre"
acl bloq url_regex -i "/etc/squid/bloq"
acl negra dstdom_regex -i "/etc/squid/negra"
http_access deny !autenticados
http_access allow manager localhost
http_access deny manager
http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow purge localhost
http_access allow purge
http_access allow localhost
http_access allow usuarios_livres
http_access allow usuarios_bloq
http_access allow livre
http_access deny usuarios_bloq !bloq
http_access deny negra
http_access deny usuarios_bloq !negra
http_access deny all
error_directory /usr/share/squid/errors/Portuguese


Caso não funcione, coloque o
http_access allow autenticados
antes do ultimo deny.

abraço.

digo_pk
(usa Red Hat)

Enviado em 27/12/2011 - 16:56h

fix o que o phrich e marchix colocarão e continuo com o mesmo problema...

saitam
(usa Slackware)

Enviado em 27/12/2011 - 17:50h

verifique se o caminho do arquivo /usr/lib/squid/ncsa_auth esta correto e com permissão
e adicione usuários no proxy
#touch /etc/squid/passwd
#htpasswd /etc/squid/passwd usuario

verifique #cat /etc/squid/passwd

reinicie o squid e teste, depois manda o feedback.