Squid solicitando três vezes a senha.

1. Squid solicitando três vezes a senha.

dosilva
(usa Ubuntu)

Enviado em 11/01/2017 - 16:24h

Boa tarde Galera,

Eu configurei o Squid no meu trabalho para restringir o acesso a internet, lógico neh, e consegui fazer com que ele enxergue o meu AD, WS2008R2, e consegui fazer as regras baseado no AD.

Porem preciso que faça autenticação também nos micros que não estejam no domínio mais o usuário digite um usuário do meu AD.

Quando coloco um micro que não está no dominio ele pede tres vezes o usuário e senha e navega normalmente. Será que está com problema porque precisa autenticar por três vezes?

Segue o código do squid.

#####

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic casesensitive off
auth_param basic credentialsttl 4 hours

#Default:
external_acl_type grupo_ad %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl domainusers proxy_auth REQUIRED
acl diretores external grupo_ad P_Diretores
acl coordenadores external grupo_ad P_Coordenadores
acl comercial external grupo_ad P_Comercial
acl contabilidade external grupo_ad P_Contabilidade
acl contas_receber external grupo_ad P_Contas_Receber
acl desenvolvimento external grupo_ad P_Desenvolvimento
acl ear external grupo_ad P_Ear
acl faturamento external grupo_ad P_Faturamento
acl juridico external grupo_ad P_Juridico
acl marketing external grupo_ad P_Marketing
acl rh external grupo_ad P_Rh
acl suporte external grupo_ad P_Suporte
acl SSL_ports port 443

acl negados_geral url_regex -i "/etc/squid3/negados_geral"
acl liberados_geral url_regex -i "/etc/squid3/liberados_geral"
acl negados_coordenadores url_regex -i "/etc/squid3/negados_coordenadores"
acl liberados_comercial url_regex -i "/etc/squid3/liberados_comercial"
acl liberados_contabilidade url_regex -i "/etc/squid3/liberados_contabilidade"
acl liberados_contas url_regex -i "/etc/squid3/liberados_contas"
acl liberados_desenvolvimento url_regex -i "/etc/squid3/liberados_desenvolvimento"
acl liberados_ear url_regex -i "/etc/squid3/liberados_ear"
acl liberados_faturamento url_regex -i "/etc/squid3/liberados_faturamento"
acl liberados_juridico url_regex -i "/etc/squid3/liberados_juridico"
acl liberados_marketing url_regex -i "/etc/squid3/liberados_marketing"
acl liberados_rh url_regex -i "/etc/squid3/liberados_rh"
acl liberados_suporte url_regex -i "/etc/squid3/liberados_suporte"

http_access allow diretores

http_access deny negados_coordenadores
http_access allow coordenadores !negados_coordenadores
http_access allow SSL_ports
http_access deny negados_geral
http_access allow liberados_geral

http_access allow liberados_comercial
http_access deny comercial !liberados_comercial

http_access deny contabilidade !liberados_contabilidade
http_access deny contas_receber !liberados_contas
http_access allow liberados_desenvolvimento

http_access deny desenvolvimento !liberados_desenvolvimento !liberados_geral
http_access deny ear !liberados_ear

http_access deny faturamento !liberados_faturamento
http_access deny juridico !liberados_juridico
http_access deny marketing !liberados_marketing
http_access deny rh !liberados_rh
http_access deny suporte !liberados_suporte

0 0

Quote

2. Bom dia

Bruno_Cavalcanti
(usa CentOS)

Enviado em 25/01/2017 - 11:55h

As maquinas que estão no dominio, também precisam autenticar 3 vezes?
faz o seguinte.

loga no servidor e da o comando

# tail -f /var/log/squid/access.log | grep [ip da maquina que fará os testes] - (Se tiver mudado o log de acesso, colocar o mesmo.).

abre o navegador da maquina de testes que esta fora do dominio e que o IP foi citado acima, e acessa a internet normalmente.

posta aqui a saida do log por gentileza. ;)

Obrifado e viva i linux.

0 0

Quote

3. Re: Squid solicitando três vezes a senha.

flaviog
(usa CentOS)

Enviado em 13/02/2017 - 13:37h

Pessoal alguém pode ajudar...
Estou com o mesmo problema!

Fiz uma configuração do squid no CentOS 6.8 para autenticar no dominio ad montado no CentOS 7 com samba4. Segue as duas linhas de configuração que faz a autenticação.

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours.

Todos os testes do servidor proxy após ingressar no domínio foram feitos com sucesso.

Imagino que seja o mesmo caso do amigo "dosilva", quando uma maquina do domínio solicita o acesso a internet a navegação é normal sem pedir login e senha, devido a integração com o AD e o log mostra todo o acesso mostrando o usuário que está acessando a Internet.

Porém quando tento acessar a internet por uma estação que não está no domínio, traz a tela de digitar o login e senha, até aí normal. So que ao digitar as informações corretas, ou seja, um login já cadastrado no AD. A tela reaparece por três vezes e só assim a liberação do acesso a internet é liberado.

configurado os seguintes confs:
krb5.conf
smb.conf
nsswitch.conf
ntp

0 0

Quote

4. Re: Squid solicitando três vezes a senha.

flaviog
(usa CentOS)

Enviado em 13/02/2017 - 15:16h

Consegui resolver o meu problema.

No meu caso estava usando um squid compilado na ultima versão.
Resolver começar do zero, desinstalei o squid compilado e instalei o squid do repositório padrão.

Usei o mesmo conf, não mudei nada. Apenas usei o do repositório.

Agora maquinas do domino acessa sem pedir login e senha. Como já estava mesmo.
E as maquinas que não estão no domínio pedem login e senha. Ao digitar um login do domínio acessa na primeira.

Obrigado pela oportunidade.

0 0

Quote

5. Squid solicitando três vezes a senha.

dosilva
(usa Ubuntu)

Enviado em 03/03/2017 - 11:24h

Bom dia,

Bruno eu quero somente que ele autentique apenas uma vez, que é o ideal.

Segue o teste abaixo:

1488550825.023 0 192.168.1.145 TCP_DENIED/407 3955 GET http://webmail.aceex.com.br/Mondo/lang/sys/favicon.ico - NONE/- text/html
1488550825.024 0 192.168.1.145 TCP_DENIED/407 4328 GET http://webmail.aceex.com.br/Mondo/lang/sys/favicon.ico - NONE/- text/html
1488550825.028 1 192.168.1.145 TCP_HIT/200 1788 GET http://webmail.aceex.com.br/Mondo/lang/sys/favicon.ico denilson NONE/- image/x-icon
1488550825.436 907 192.168.1.145 TCP_MISS/200 7034 CONNECT urs.smartscreen.microsoft.com:443 denilson DIRECT/65.52.234.109 -
1488550825.921 0 192.168.1.145 TCP_DENIED/407 3661 POST http://ssw.live.com/UploadData.aspx - NONE/- text/html
1488550826.004 0 192.168.1.145 TCP_DENIED/407 3661 POST http://ssw.live.com/UploadData.aspx - NONE/- text/html
1488550826.015 0 192.168.1.145 TCP_DENIED/407 3661 POST http://ssw.live.com/UploadData.aspx - NONE/- text/html
1488550826.221 1871 192.168.1.145 TCP_MISS/200 6298 CONNECT t.urs.microsoft.com:443 denilson DIRECT/64.4.54.167 -
1488550827.766 0 192.168.1.145 TCP_HIT/200 11365 GET http://webmail.aceex.com.br/Mondo/skins/Pacific/loading_bar.gif denilson NONE/- image/gif
1488550828.249 0 192.168.1.145 TCP_DENIED/407 3681 CONNECT urs.smartscreen.microsoft.com:443 - NONE/- text/html
1488550828.251 0 192.168.1.145 TCP_DENIED/407 4054 CONNECT urs.smartscreen.microsoft.com:443 - NONE/- text/html
1488550829.162 910 192.168.1.145 TCP_MISS/200 6266 CONNECT urs.smartscreen.microsoft.com:443 denilson DIRECT/65.52.234.109 -
1488550829.474 0 192.168.1.145 TCP_DENIED/407 3820 CONNECT www.bing.com:443 - NONE/- text/html
1488550829.476 0 192.168.1.145 TCP_DENIED/407 4193 CONNECT www.bing.com:443 - NONE/- text/html
1488550830.531 1054 192.168.1.145 TCP_MISS/200 7893 CONNECT www.bing.com:443 denilson DIRECT/13.107.21.200 -
1488550830.531 19004 192.168.1.145 TCP_MISS/200 17810 CONNECT www.bing.com:443 denilson DIRECT/13.107.21.200 -
1488550830.532 17957 192.168.1.145 TCP_MISS/200 11127 CONNECT www.bing.com:443 denilson DIRECT/13.107.21.200 -
1488550832.600 30675 192.168.1.145 TCP_MISS/200 9112 CONNECT iecvlist.microsoft.com:443 denilson DIRECT/192.16.48.200 -
1488550833.605 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT www.msn.com:443 - NONE/- text/html
1488550855.037 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT www.msn.com:443 - NONE/- text/html
1488550855.921 0 192.168.1.145 TCP_DENIED/407 3880 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550855.924 0 192.168.1.145 TCP_DENIED/407 4253 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550855.991 0 192.168.1.145 TCP_DENIED/407 3880 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550855.993 0 192.168.1.145 TCP_DENIED/407 4253 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550856.006 0 192.168.1.145 TCP_DENIED/407 3880 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550856.008 0 192.168.1.145 TCP_DENIED/407 4253 CONNECT img-s-msn-com.akamaized.net:443 - NONE/- text/html
1488550856.034 0 192.168.1.145 TCP_DENIED/407 3808 CONNECT c.msn.com:443 - NONE/- text/html
1488550856.035 0 192.168.1.145 TCP_DENIED/407 4181 CONNECT c.msn.com:443 - NONE/- text/html
1488550856.061 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550856.066 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550856.174 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT www.msn.com:443 - NONE/- text/html
1488550856.180 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT www.msn.com:443 - NONE/- text/html
1488550856.492 0 192.168.1.145 TCP_DENIED/407 3844 CONNECT images.taboola.com:443 - NONE/- text/html
1488550856.494 0 192.168.1.145 TCP_DENIED/407 4217 CONNECT images.taboola.com:443 - NONE/- text/html
1488550857.040 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.044 0 192.168.1.145 TCP_DENIED/407 3828 CONNECT login.live.com:443 - NONE/- text/html
1488550857.045 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.046 0 192.168.1.145 TCP_DENIED/407 4201 CONNECT login.live.com:443 - NONE/- text/html
1488550857.052 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.054 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.058 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.059 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.836 2796 192.168.1.145 TCP_MISS/200 52024 CONNECT www.msn.com:443 denilson DIRECT/204.79.197.203 -
1488550857.838 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.840 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.857 1676 192.168.1.145 TCP_MISS/200 7787 CONNECT www.msn.com:443 denilson DIRECT/204.79.197.203 -
1488550857.858 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.861 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.864 1827 192.168.1.145 TCP_MISS/200 4557 CONNECT c.msn.com:443 denilson DIRECT/131.253.40.50 -
1488550857.865 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550857.868 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.126 1078 192.168.1.145 TCP_MISS/200 6432 CONNECT login.live.com:443 denilson DIRECT/131.253.61.100 -
1488550858.134 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT www.msn.com:443 - NONE/- text/html
1488550858.137 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT www.msn.com:443 - NONE/- text/html
1488550858.503 2005 192.168.1.145 TCP_MISS/200 14137 CONNECT images.taboola.com:443 denilson DIRECT/104.112.140.140 -
1488550858.505 0 192.168.1.145 TCP_DENIED/407 3812 CONNECT c.bing.com:443 - NONE/- text/html
1488550858.510 0 192.168.1.145 TCP_DENIED/407 4185 CONNECT c.bing.com:443 - NONE/- text/html
1488550858.514 2587 192.168.1.145 TCP_MISS/200 115139 CONNECT img-s-msn-com.akamaized.net:443 denilson DIRECT/200.189.84.144 -
1488550858.515 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.517 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.528 2534 192.168.1.145 TCP_MISS/200 11414 CONNECT img-s-msn-com.akamaized.net:443 denilson DIRECT/200.189.84.144 -
1488550858.529 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.531 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.535 2524 192.168.1.145 TCP_MISS/200 20806 CONNECT img-s-msn-com.akamaized.net:443 denilson DIRECT/200.189.84.144 -
1488550858.536 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.537 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.540 2468 192.168.1.145 TCP_MISS/200 6167 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550858.541 0 192.168.1.145 TCP_DENIED/407 3816 CONNECT otf.msn.com:443 - NONE/- text/html
1488550858.543 0 192.168.1.145 TCP_DENIED/407 4189 CONNECT otf.msn.com:443 - NONE/- text/html
1488550863.507 0 192.168.1.145 TCP_DENIED/407 3841 CONNECT iecvlist.microsoft.com:443 - NONE/- text/html
1488550863.513 0 192.168.1.145 TCP_DENIED/407 4214 CONNECT iecvlist.microsoft.com:443 - NONE/- text/html
1488550865.070 1555 192.168.1.145 TCP_MISS/200 9112 CONNECT iecvlist.microsoft.com:443 denilson DIRECT/192.16.48.200 -
1488550865.071 6558 192.168.1.145 TCP_MISS/200 4557 CONNECT c.bing.com:443 denilson DIRECT/131.253.14.192 -
1488550865.071 6534 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.071 6553 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.071 6540 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.072 6528 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.072 7202 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.072 7209 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.072 7231 192.168.1.145 TCP_MISS/200 6023 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.072 6934 192.168.1.145 TCP_MISS/200 6555 CONNECT www.msn.com:443 denilson DIRECT/204.79.197.203 -
1488550865.073 8012 192.168.1.145 TCP_MISS/200 5959 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.073 8014 192.168.1.145 TCP_MISS/200 5959 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -
1488550865.073 8025 192.168.1.145 TCP_MISS/200 5959 CONNECT otf.msn.com:443 denilson DIRECT/40.114.54.223 -

0 0

Quote