Autenticando o Proxy Squid + DansGuardian no AD (samba4)
\n\tA autentica\u00e7\u00e3o do usu\u00e1rio e senha e feita sempre pelo squid, mesmo que trabalhe em conjundo com o DansGuardiam e sua porta do browser esteja `virada` para o dans, toda a autentica\u00e7\u00e3o eh feita no squid.
\n\tH\u00e1 tr\u00eas maneiras de serem feitas as autentica\u00e7\u00f5es do squid no samba4 sendo que duas h\u00e1 necessidade de ingressar anteriormente esse servidor squid no dom\u00ednio existente do samba4.
\nDescri\u00e7\u00e3o
\n\u2022\tPermitir que o squid autentique usu\u00e1rios do windows active directory ou samba.
\n\u2022\tIsso proporcina uma maior integra\u00e7\u00e3o e utiliza\u00e7\u00e3o de uma \u00fanica base de senhas.
\n\u2022\tTamb\u00e9m facilita o controle da navega\u00e7\u00e3o e relat\u00f3rios por usu\u00e1rios.
\n\u2022\tExistem 2 autenticadores no squid para isso:
\no\tNTLM: Pega automaticamente ou n\u00e3o o login do usu\u00e1rio logado no dominio. Caso o usu\u00e1rio n\u00e3o esteja logado, solicita a senha.
\no\tMSNT: Solicita que o usu\u00e1rio digite o usu\u00e1rio e senha. O NTLM \u00e9 bem melhor, sugiro usar ele.
\no\tSMB_AUTH: Faz autentica\u00e7\u00e3o atrav\u00e9s do samba. Bem simples e f\u00e1cil de configurar.
\n\u2022\tSe estiver utilizando o squid do SuSE, ele vem com todos os autenticadores. Caso contr\u00e1rio ter\u00e1 que compilar no squid. <\/p>\n
\tUma forma f\u00e1cil e r\u00e1pida eh pelo execut\u00e1vel distribu\u00eddo no squid chamada smb_auth (no freebsd localizado em \/usr\/local\/libexec\/squid\/smb_auth). Usando deste execut\u00e1vel n\u00e3o h\u00e1 necessidade de ingressar o servidor ao dom\u00ednio.
\n\t1 \u2013 No servidor samba4 sera necess\u00e1rio criar um compartilhamento chamado netlogon contendo um arquivo dentro do diret\u00f3rio de nome proxyauth escrito em seu conte\u00fado o nome allow.
\n[root@dominio ~]# vim \/etc\/samba\/smb.conf<\/p>\n
[netlogon]
\n comment = The domain logon service
\n path = \/share\/netlogon
\n # valid users = @”Domain Users”
\n valid users = %U
\n browseable = no
\n guest ok = yes
\n writeable = no
\n read only = yes
\n[root@dominio ~]# cat \/share\/netlogon\/proxyauth
\nallow<\/p>\n
[root@dominio ~]# chmod 777 \/share\/netlogon\/proxyauth<\/p>\n
[root@dominio ~]# ls -lah \/share\/netlogon\/
\ntotal 12K
\ndrwxr-xr-x. 2 root root 4.0K Mar 20 19:35 .
\ndrwxr-xr-x. 6 root root 4.0K Mar 20 19:35 ..
\n-rwxrwxrwx. 1 root root 6 Mar 20 19:35 proxyauth<\/p>\n
Abaixo iremos realizer um teste do usuario e senha. Onde escrevo USUARIO SENHA substitui por dados reais. Ap\u00f3s dar um enter no comando escreva com um espa\u00e7o o Usuario e senha e posterior de enter e espere.<\/p>\n
Quando eu escrevo um usu\u00e1rio e senha corretos tenho a mensagem de OK ao final.
\nObserva\u00e7\u00e3o para o dom\u00ednio no qual omite o .net, .com, etc..<\/p>\n
(root@proxy)~# \/usr\/local\/libexec\/squid\/smb_auth -W DOMINIOTESTE -d
\nUSUARIO SENHA
\nDomain name: DOMINIOTESTE
\nPass-through authentication: no
\nQuery address options:
\nDomain controller IP address: 192.168.218.190
\nDomain controller NETBIOS name: DOMINIO
\nContents of \/\/DOMINIO\/NETLOGON\/proxyauth: allow
\nOK<\/p>\n
Quando introduzo um usuario e senha incorretos tenho a mensagem de ERR ao final.<\/p>\n
(root@proxy)~# \/usr\/local\/libexec\/squid\/smb_auth -W DOMINIOTESTE -d
\nuferes 123
\nDomain name: DOMINIOTESTE
\nPass-through authentication: no
\nQuery address options:
\nDomain controller IP address: 192.168.218.190
\nDomain controller NETBIOS name: DOMINIO
\nContents of \/\/DOMINIO\/NETLOGON\/proxyauth:
\nERR<\/p>\n
Para finalizar iremos aplicar no arquivo squid.conf a autentica\u00e7\u00e3o (n\u00e3o irei abortar o arquivo todo e muito menos a configura\u00e7\u00e3o do squid):<\/p>\n
auth_param basic program \/usr\/local\/libexec\/squid\/smb_auth -W DOMINIOTESTE -U 192.168.218.190<\/p>\n
Mas abaixo temos a clausula de requerimento.
\nacl auth proxy_auth REQUIRED<\/p>\n
Reinicie o squid e teste a autentica\u00e7\u00e3o.<\/p>\n
Alguns artigos mandam alterar o conte\u00fado com um patch ou manualmente do arquivo abaixo:
\n\/usr\/local\/libexec\/squid\/smb_auth.sh
\nTrocando
\nUSER=”$SMBUSER%$SMBPASS”
\npor
\nUSER=”$SMBUSER”
\nPASSWD=”$SMBPASS”<\/p>\n
Porem isso n\u00e3o foi necess\u00e1rio. Quando realizei essa modifica\u00e7\u00e3o parou de funcionar.<\/p>\n
Outras formas de integrar o squid com o samba4
\nDescri\u00e7\u00e3o
\n\u2022\tPermitir que o squid autentique usu\u00e1rios do windows active directory ou samba.
\n\u2022\tIsso proporcina uma maior integra\u00e7\u00e3o e utiliza\u00e7\u00e3o de uma \u00fanica base de senhas.
\n\u2022\tTamb\u00e9m facilita o controle da navega\u00e7\u00e3o e relat\u00f3rios por usu\u00e1rios.
\n\u2022\tExistem 2 autenticadores no squid para isso:
\no\tNTLM: Pega automaticamente ou n\u00e3o o login do usu\u00e1rio logado no dominio. Caso o usu\u00e1rio n\u00e3o esteja logado, solicita a senha.
\no\tMSNT: Solicita que o usu\u00e1rio digite o usu\u00e1rio e senha. O NTLM \u00e9 bem melhor, sugiro usar ele.
\no\tSMB_AUTH: Faz autentica\u00e7\u00e3o atrav\u00e9s do samba. Bem simples e f\u00e1cil de configurar.
\n\u2022\tSe estiver utilizando o squid do SuSE, ele vem com todos os autenticadores. Caso contr\u00e1rio ter\u00e1 que compilar no squid. <\/p>\n
Softwares e Vers\u00f5es
\n\u2022\tSquid 2.5.X
\n\u2022\tSamba client 3.x
\nConfigura\u00e7\u00e3o para MSNT e NTLM
\nConfigurar samba e winbind para entrar no dom\u00ednio
\n\u2022\tEditar o smb.conf
\nworkgroup = mydomain
\npassword server = myPDC
\nsecurity = ads
\nwinbind uid = 10000-20000
\nwinbind gid = 10000-20000
\nwinbind use default domain = yes
\n# tirar outras opcoes de dominio master
\n\u2022\tEditar o \/etc\/hosts e adicionar uma entrada para o nome do servidor AD.
\n\u2022\tEntrar no dominio.
\n$ net join -S NOMESERVIDORDOMINIOWINDOWS -Uuserdowindows%senhadowindows
\n\u2022\tOBS: \u00c8 necess\u00e1rio um usu\u00e1rio no windows com permiss\u00e3o no grupo Administradores.
\n\u2022\tVerificar se o nscd est\u00e1 rodando e parar
\n$ ps auxwww | grep [n]scd
\nroot 3036 0.0 0.2 141416 1080 ? Ssl 10:04 0:00 \/usr\/sbin\/nscd
\n$ \/etc\/init.d\/nscd stop
\n$ chkconfig nscd off
\n\u2022\tOBS: Esse procedimento acima \u00e9 muito importante, pois dependendo da vers\u00e3o do samba, se o nscd estiver rodando o winbind n\u00e3o funciona!
\n\u2022\tStartar nmb e winbind
\n$ \/etc\/init.d\/nmb start; \/etc\/init.d\/winbind start;
\n\u2022\tSetar diretorio do winbind para mesmo grupo do squid:
\nchown root.GRUPOSQUID \/var\/lib\/samba\/winbindd_privileged
\n\u2022\tRodar diariamente no crontab
\n$ net rpc changetrustpw
\n\u2022\tTestar se logou com sucesso no dom\u00ednio:
\n$ wbinfo -t
\nSecret is good
\n\u2022\tTestar autentica\u00e7\u00e3o do winbind:
\n$ wbinfo -a mydomain\\\\myuser%mypasswd
\nplaintext password authentication succeeded
\nerror code was NT_STATUS_OK (0x0)
\nchallenge\/response password authentication succeeded
\nerror code was NT_STATUS_OK (0x0)<\/p>\n
________________________________________
\nMSNT
\n\u2022\tEditar o \/etc\/squid\/msntauth.conf
\nserver PDCNAME PDCNAME WORKGROUP
\n\u2022\tEditar o squid.conf:
\nauth_param basic program \/usr\/local\/squid\/libexec\/msnt_auth
\nauth_param basic children 5
\nauth_param basic realm Usu\u00e1rio e Senha
\nauth_param basic credentialsttl 5 minutes<\/p>\n
acl password proxy_auth REQUIRED
\nhttp_access allow LAN password<\/p>\n
________________________________________
\nNTLM
\n\u2022\tParticularidade do squid RPM do SuSE:
\no\tNo SUSE tem 2 ntlm_auth, um em \/usr\/bin outro em \/usr\/sbin. TEM QUE USAR O DO \/usr\/bin:
\n $ \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-basic
\nmyuser mypasswd
\nOK
\n\u2022\tTestar o autenticador na linha de comando:
\n$ \/usr\/local\/bin\/ntlm_auth –helper-protocol=squid-2.5-basic
\nmydomain+myuser mypasswd
\nOK
\n\u2022\tPara debugar a autentica\u00e7\u00e3o, rodar o winbind com o parametro -d 6
\n\u2022\tInserir no squid.conf:
\n#Auth AD
\nauth_param ntlm program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
\nauth_param ntlm children 30
\nauth_param basic program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-basic
\nauth_param basic children 5
\nauth_param basic realm Linux Proxy Server
\nauth_param basic credentialsttl 2 hours<\/p>\n
\u2022\tOBS IMPORTANTE: Perceba que no arquivo squid.conf existem 2 chamadas ao ntlm_auth. A primeira \u00e9 referente a autentica\u00e7\u00e3o autom\u00e1tica, pegando o usu\u00e1rio do windows j\u00e1 logado e a segunda \u00e9 para pedir senha, para usu\u00e1rios n\u00e3o logados. Caso deseje que ele sempre solicite senha, mesmo para usu\u00e1rios logados, comente a primeira op\u00e7\u00e3o (ntlmssp) e deixe somente a segunda op\u00e7\u00e3o (basic). <\/p>\n","protected":false},"excerpt":{"rendered":"
Autenticando o Proxy Squid + DansGuardian no AD (samba4) A autentica\u00e7\u00e3o do usu\u00e1rio e senha e feita sempre pelo squid, mesmo que trabalhe em conjundo com o DansGuardiam e sua porta do browser esteja `virada` para o dans, toda a autentica\u00e7\u00e3o eh feita no squid….<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10,2],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/684"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=684"}],"version-history":[{"count":1,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/684\/revisions"}],"predecessor-version":[{"id":685,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/684\/revisions\/685"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}