Post on 18-Oct-2015
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
1/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 1/34
SobreSuporte em TI
Internet Explorer 10 e Window s 7: Falhageral ao rodar sysprep
8 MESES ATRS
Tweetar
3
Configurando Squid eSquidGuard no Ubuntu(12.04LTS) com autenticao eregras por grupos do ActiveDirectory (Windows 2008)
por Nerdem Linux, Tutoriais 1
Compartilhar / Favoritos
J escrevi outros
tutoriais sobre
como autenticar o
Ubuntu no Active
Directory (AD)e como
configurar o Squidpara se
aproveitar dessa autenticao e
criar regras baseadas em grupos do AD. Recebi vrios pedidos sobre como integrar o
SquidGuard ao Squid autenticando no AD e criando regras por grupos. Este tutorial trata
justamente desta integrao.
A ideia aproveitar as credenciais dos usurios do AD, que j fizeram a autenticao noWindows e permitir que eles se autentiquem no Squid sem precisar digitar nenhuma
senha.
Alm disso os usurios sero includos em grupos do AD e as regras do Squid ser
configuradas para dar privilgios de acesso para estes grupos.
A sugesto aqui a criao de 3 grupos de acesso: Internet_Acesso_Completo,
Internet_Acesso_Padraoe Internet_Acesso_Bloqueado. Dessa forma o Squid gerencia
os privilgios de cada grupo e fornece o acesso de acordo com o grupo que o usurio
pertena. Uma vez implementada a soluo, a ideia que no seja necessrio modificar
regras no Squid, DansGuardian ou SquidClamAV, bastando somente incluir os usurios
55
Pesquisar...
Windows 7 Sysprep:Criao de umaimagem de instalaopersonalizada (322)O objetivo deste artigo
demonstrar como
gerar uma imagem
personalizada para
instalao em massa do
Windows 7. Aps
concluir todos os []
3 ANOS ATRS
Squid 3 (Ubuntu 10.04LTS) autenticando noActive Directory(Windows 2008) (234)Este artigo faz parte do
tutorial Proxy Squid no
Ubuntu com
autenticao NTLM noWindows 2008 e regras
baseadas em Grupos
do AD. A idia []
2 ANOS ATRS
Incio Sobre Contato Doao
http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2011/10/autenticacao-ubuntu-10-04-lts-no-active-directory-windows-2008/https://twitter.com/intent/tweet?original_referer=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&text=Blog%20do%20Nerd%20%C2%BB%20Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&tw_p=tweetbutton&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&via=blogdonerdhttp://twitter.com/search?q=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2Fhttp://-/?-http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/2010/08/criacao-de-uma-imagem-de-instalacao-personalizada-do-windows-7-sysprep/http://blogdonerd.com.br/doacao/http://blogdonerd.com.br/contato/http://blogdonerd.com.br/sobre/http://blogdonerd.com.br/http://twitter.com/blogdonerdhttp://feeds.feedburner.com/blogdonerdrsshttp://-/?-http://-/?-http://-/?-http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2010/08/criacao-de-uma-imagem-de-instalacao-personalizada-do-windows-7-sysprep/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2011/10/autenticacao-ubuntu-10-04-lts-no-active-directory-windows-2008/http://blogdonerd.com.br/category/tutoriais/http://blogdonerd.com.br/category/tutoriais/linux-tutoriais/http://blogdonerd.com.br/author/Nerd/http://www.addtoany.com/share_save#url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&description=J%C3%A1%20escrevi%20outros%20tutoriais%20sobre%20como%20autenticar%20o%20Ubuntu%20no%20Active%20Directory%20(AD)%C2%A0e%20como%20configurar%20o%20Squid%20para%20se%20aproveitar%20dessa%20autentica%C3%A7%C3%A3o%20e%20criar%20regras%20baseadas%20em%20grupos%20do%20AD.http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://twitter.com/search?q=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2Fhttps://twitter.com/intent/tweet?original_referer=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&text=Blog%20do%20Nerd%20%C2%BB%20Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&tw_p=tweetbutton&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&via=blogdonerdhttp://blogdonerd.com.br/2013/07/internet-explorer-10-e-windows-7-falha-geral-ao-rodar-sysprep/http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://blogdonerd.com.br/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
2/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 2/34
no grupo de acesso desejado. Os privilgios dos grupos ficaro assim:
1. O grupo Internet_Acesso_Completono ser bloqueado pelo SquidGuard e poder
acessar qualquer URL.
2. Os usurios membros do grupo Internet_Acesso_Padraotero os acessos
restringidos pelas regras do Squid e todo seu acesso ser filtrado pelas regras do
SquidGuard.
3. Por fim o grupo Internet_Acesso_Bloqueadono ter acesso a nada, no podendo
navegar na Internet.
Tambm sero criadas um conjunto de arquivos que iro conter sitesproibidos,
permitidos mediante autenticao e permitidos sem necessidade de autenticao, alm
de computadoresliberados e proibidos de navegar utilizando o proxy.
Observao: Outro popular software de filtro de sites por categoria o DansGuardian.
Ele funciona muito bem e tem uma comunidade bastante ativa. Preferi utilizar o
SquidGuard pois da forma como o DansGuardian trabalha, todo o fluxo do proxy precisa
antes passar por ele para s depois ser encaminhado para o Squid tratar. Desta forma
todas as regras de liberao para grupos especficos deveriam ser realizados no
SquidGuard e a soluo acabaria ficando limitada. Acredito que com o SquidGuard a
flexibilidade seja maior.
Pr-RequisitosServidor Linux Ubuntu 12.04 LTS ou superior previamente instalado.
Servidor de DNS configurado (/etc/resolv.conf) e apontando para um servidor de
DNS do domnio Active Directory
Privilgios de administrador (root) no Linux instalado.
Domnio Active Directory (AD) baseado em Windows 2000, 2003 ou 2008 j instalado
e operando.
Credenciais com privilgios para criao de grupos no AD.
ResumoSo estes os passos que iremos seguir:
A. Autenticao Ubuntu 12.04 LTS no Active Directory (Windows 2008)
B. Instalao e Configurao do Squid 3
C. Instalao e Configurao do SquidGuard
D. Observaes e Dicas
TutorialVamos colocar a mo na massa.
A. Autenticao Ubuntu 12.04 LTS noActive Directory (Windows 2008)O servidor linux pode ter IP fixo ou DHCP. claro que para utilizao como servidor
Squid recomendvel a utilizao de IP fixo. Alm disso necessrio que o seu(s)
servidor(es) DNS esteja(m) corretamente configurado(s) no arquivo /etc/resolv.conf.
Recomendo atualizar seu Ubuntu, antes de comear, utilizando os comandos abaixo:
Reinicie o computador para que o novo kernel seja atualizado (se necessrio).
12
sudoapt-get updatesudoapt-get dist-upgrade
1 sudoreboot
Active DirectoryArquivo de Resposta arquivos
backup Boot de RedeCompartilhamento de
Arquivos drivers e-DOC
firewall GPO imagex
Java KB980436 LinuxMBOX Outlook Express Postfix
Proxy PXE redes
shorewall Squid sshSSL sysprep TLS
Ubuntu VMwareWAIK WDS
Windows
Windows 7Windows 2003
Windows 2008Windows XP WinPE
Tags
Utilizando o WinPE 3.0 parabackup e instalao do Windows7 (217)O WinPE (Windows Preinstallation
Environment) uma verso
reduzida do Windows destinada
especificamente para preparar
um computador para []
3 ANOS ATRS
OpenVPN ServidorUbuntu e Clientes
http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2012/06/openvpn-servidor-ubuntu-e-clientes-windows-e-linux/http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/tag/winpe/http://blogdonerd.com.br/tag/windows-xp/http://blogdonerd.com.br/tag/windows-2008/http://blogdonerd.com.br/tag/windows-2003/http://blogdonerd.com.br/tag/windows-7/http://blogdonerd.com.br/tag/windows/http://blogdonerd.com.br/tag/wds/http://blogdonerd.com.br/tag/waik/http://blogdonerd.com.br/tag/vmware/http://blogdonerd.com.br/tag/ubuntu/http://blogdonerd.com.br/tag/tls/http://blogdonerd.com.br/tag/sysprep/http://blogdonerd.com.br/tag/ssl/http://blogdonerd.com.br/tag/ssh/http://blogdonerd.com.br/tag/squid/http://blogdonerd.com.br/tag/shorewall/http://blogdonerd.com.br/tag/redes/http://blogdonerd.com.br/tag/pxe/http://blogdonerd.com.br/tag/proxy/http://blogdonerd.com.br/tag/postfix/http://blogdonerd.com.br/tag/outlook-express/http://blogdonerd.com.br/tag/mbox/http://blogdonerd.com.br/tag/linux-tutoriais/http://blogdonerd.com.br/tag/kb980436/http://blogdonerd.com.br/tag/java/http://blogdonerd.com.br/tag/imagex/http://blogdonerd.com.br/tag/gpo/http://blogdonerd.com.br/tag/firewall/http://blogdonerd.com.br/tag/e-doc/http://blogdonerd.com.br/tag/drivers/http://blogdonerd.com.br/tag/compartilhamento-de-arquivos/http://blogdonerd.com.br/tag/boot-de-rede/http://blogdonerd.com.br/tag/backup/http://blogdonerd.com.br/tag/arquivos/http://blogdonerd.com.br/tag/arquivo-de-resposta/http://blogdonerd.com.br/tag/active-directory/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
3/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 3/34
Instale os pacotes libkrb5-3, krb5-config, samba, winbind e ntp utilizando o comando
abaixo:
Pare os servios sambae winbind:
Limpe a pasta de cache do samba:
Configure o Kerberos alterando o contedo do arquivo/etc/krb5.confpelo apresentado
abaixo.
Lembre-se de substituir DOMINIO.COM.BR e dominio.com.br pelo nome FQDN de
seu domnio Active Directory nas linhas em destaque.
Edite o arquivo/etc/ntp.conf, comente todas as linhas iniciardas com server, mantendo
apenas uma apontando para seu domnio. Voc pode apontar para um servidor NTPde
sua rede ou outro qualquer de preferncia.
Reinicie o servio ntpe verifique se a data e hora esto corretos:
Configure o Samba/Winbind, editando o arquivo/etc/samba/smb.confe substituindo
seu contedo conforme abaixo.
Lembre-se de substituir HOSTNAME pelo nome de seu servidor linux e alterar
DOMINIO, DOMINIO.COM.BR e dominio.com.br para o FQDN de seu domnio nas
linhas em destaque.
1 sudoapt-get installlibkrb5-3 krb5-config samba winbind ntp
12
sudoservice smbd stopsudoservice winbind stop
1 sudorm-rf /var/lib/samba/*
0102030405
06070809101112131415161718192021
22232425
[libdefaults] default_realm = DOMINIO.COM.BR ticket_lifetime = 24000 dns_lookup_realm = false dns_lookup_kdc = false
[realms] DOMINIO.COM.BR = { kdc = dominio.com.br:88 admin_server = dominio.com.br:749 default_domain = dominio.com.br }[domain_realm] .dominio.com.br = DOMINIO.COM.BR dominio.com.br = DOMINIO.COM.BR[login] krb4_convert = true krb4_get_tickets = false
[logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log
1 server dominio.com.br
1
2
sudoservice ntp restart
date
0102030405
0607080910111213
[global] realm = DOMINIO.COM.BR workgroup = DOMINIO netbios name = HOSTNAME server string = %h server
security = ads allow trusted domains = no idmap config DOMINIO: default = yes idmap config DOMINIO: backend = rid idmap config DOMINIO: readonly= yes idmap config DOMINIO: range= 1000000-10000000 idmap alloc config: range = 1000000-10000000
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
4/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 4/34
Substitua o contedo do arquivo /etc/nsswitch.confpelo abaixo, para configurar o Linux
para considerar o winbindpara senhas e grupos.
Para que estas configuraes (nsswitch) tenham efeito, execute o comando ldconfig:
Ajuste o nome do host no arquivo/etc/hostsconforme abaixo, alterando nome-do-host
e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domnio:
Se o computador estiver utilizando DHCP, ajuste o nome do host para que seja
registrado automaticamente no DNS, incluindo ou alterando as linhas abaixo no arquivo/etc/dhcp/dhclient.conf. Lembre-se de alterar nome-do-host e dominio.com de acordo
com o hostname de seu Linux e o FQDN de seu domnio.
Adicione o Linux no dominio executando o comando abaixo. Substitua usurio pela sigla
de um usurio com privilgios para adicionar computadores no domnio.
Sua senha ser solicitada. O resultado da execuo ser algo semelhante ao abaixo:
141516171819202122232425
262728293031323334353637383940
idmap uid = 1000000-10000000 idmap gid = 1000000-10000000
template shell = /bin/bash template homedir = /home/%U winbind use default domain = yes winbind enum users= yes winbind enum groups= yes winbind nested groups= yes
load printers = no domain master = no
preferred master = no domain logons = no wins support = no wins proxy = no dns proxy = no password server = dominio.com.br#Compartilhamento Home[homes] comment = Compartilhamento Home browseable = no writable = yes readonly = no create mask = 0664 directory mask = 0775
0102030405060708091011
1213
passwd: compat winbindgroup: compat winbindshadow: compathosts: files dnsnetworks: filesprotocols: db filesservices: db filesethers: db filesrpc: db files
netgroup: nis
1 sudoldconfig
12
127.0.0.1 localhost127.0.0.1 nome-do-host.dominio.com nome-do-host
1234
send host-name "nome-do-host.dominio.com";request subnet-mask, broadcast-address, time-offset, routers,domain-name, domain-name-servers, host-name,netbios-name-servers, netbios-scope, interface-mtu;
1 sudonet ads join-U usuario
1234
Enter usuarios's password:Using short domain name -- DOMINIOJoined 'HOSTNAME'to realm 'dominio.com.br'DNS update failed!
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
5/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 5/34
No se preocupe com a mensagen DNS update failed!. Ela aparecer se o seu dominio
no estiver configurado para aceitar atualizaes de DNS no autenticadas.
Simplesmente ignore esta mensagem.
Inicie os servios sambae winbind:
Verifique se a resoluo de nomes esta funcionando corretamente. Caso no esteja
reveja os passos realizados acima.
Se tudo est funcionando corretamente, configure a autenticao do Linux, alterando os
arquivos aba ixo. Provavelmente o contedo j estar correto. Apenas certifique-se de
que est tudo OK e altere o que estiver diferente.
Alternativamente voc pode fazer estas configuraes de forma automtica executando o
comando abaixo e marcando as opes Unix authenticatione Winbind NT/Active
Directory authentication:
Contedo do arquivo/etc/pam.d/common-account:
Contedo do arquivo/etc/pam.d/common-auth:
Contedo do arquivo/etc/pam.d/common-session. Ser necessrio incluir a linha
destacada, conforme abaixo. Esta alterao ir criar a pasta home do usurio
automaticamente no primeiro logon.
Se voc quiser restringir o acesso via SSH para um grupo de usurios, crie um grupoglobal no AD e inclua os usurios permitidos a acessar o servidor Linux neste grupo, por
exemplo administradores_linux. Altere o arquivo/etc/ssh/sshd_confige inclua no final
do mesmo a seguinte linha:
O grupo admin opcional e permite o logon dos usurios locais que esto no grupo
admin. Por padro o primeiro usurio criado no Ubuntu no momento da instalao ter
este pr ivilgio.
Como boa prtica de segurana, evite que o root faa logon via ssh, atlerando a linha
abaixo no arquivo/etc/ssh/sshd_config:
Se desejar voc pode incluir a linha abaixo no arquivo /etc/sudoerspara permitir que os
usurios membros do grupo administradores_linuxpossam executar comandos com
privilgios de root.
12
sudoservice smbd startsudoservice winbind start
123
wbinfo uwbinfo gwbinfo i usuario
1 sudopam-auth-update
1234
account [success=2 new_authtok_reqd=donedefault=ignore] pam_uaccount [success=1 new_authtok_reqd=donedefault=ignore] pam_waccount requisite pam_deny.soaccount required pam_permit.so
1234
auth [success=2 default=ignore] pam_unix.so nullok_secureauth [success=1 default=ignore] pam_winbind.so krb5_auth krb5auth requisite pam_deny.soauth required pam_permit.so
123456
session [default=1] pam_permit.sosession requisite pam_deny.sosession required pam_permit.sosession required pam_unix.sosession required pam_mkhomedir.so skel=/etc/sksession optional pam_winbind.so
1 AllowGroups admin administradores_linux
1 PermitRootLogin no
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
6/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 6/34
Se tudo estiver correto voc ser capaz de fazer login no servidor utilizando as
credenciais de um usurio membro do grupo administradores_linux.
B. Instalao e Configurao do Squid 3
B1. Instalao do Squid 3Instale o Squid 3 executando o comando abaixo:
D permisso para o usurio proxy(que o usurio que roda o squid3) ler o contedo
da pasta/var/run/samba/winbindd_privileged, incluindo-o no grupo winbindd_priv:
Substitua o contedo do arquivo/etc/squid3/squid.confpelo mostrado abaixo. Ateno
para as linhas destacadas. Elas devem ser alteradas para refletir a realidade de seu
ambiente.
1 %administradores_linux ALL=(ALL) ALL
1 sudoapt-get installsquid3
1 usermod-a -G winbindd_priv proxy
001002003004005006007008009010011012013
014015016017018019020021022023024025026027028029
030031032033034035036037038039040041042043044
045046047048049050051052
# /etc/squid3/squid.conf##################################################### Portas (padro 3128)http_port 3128#Habilitar debug#debug_options 28,3#Configuraes de Cache# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais,cache_dir aufs /var/spool/squid38196 16 256# Tamanho da cache para obejtos
cache_mem 2 GB# Tamanho mximo dos objetos que sero salvos em discomaximum_object_size 131070 KB# Tamanho minimo dos objetos que sero salvos em discominimum_object_size 0 KB# Nmero de entradas na tabela de cache de converso de IP para FQDipcache_size 16384# Percentagem de cache baixa - padro 90ipcache_low 90# Percentagem de cache baixa - padro 95ipcache_high 95# manter memria alocada e no usada, para no precisar realocar qumemory_pools on# Nmero de entradas na tabela de cache de DNSfqdncache_size 16384# tamanho mximo dos objetos guardados na cache
maximum_object_size_in_memory 8 MB# Gerar resumo de cache - til somente quando existem squids parceidigest_generation off# Configuraes gerais# Como tratar o X-Forwared-For no cabealho HTTPforwarded_for off#logar parametros das URL'sstrip_query_terms on# Fora IE 5.5 ou anteior a buscar novas pginas do servido em casoie_refresh on#Detecta respostas quebradas de conexes persistnes e assuma que odetect_broken_pconn on#Tenta executar at 2 requisies em paralelo - Pode quebrar autentpipeline_prefetch off
# Continua baixando requisies abortadasquick_abort_min -1 KB# continua baixando requsies abortadas at o limite de 16KBquick_abort_max 16 KB# Quanto tempo manter cache de DNSpositive_dns_ttl 5 minute# Fechar conexes TCP imediatamentehalf_closed_clients off
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
7/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 7/34
053054055056057058059060061062063064
065066067068069070071072073074075076077078079
080081082083084085086087088089090091092093094095
096097098099100101102103104105106107108109110111112113114115116117118119120121122123124125126
127128129130131132133134
# timeout de leitura de dadosread_timeout 240 second# timeout de conexes persistentespconn_timeout 240 second# Email do administradorcache_mgr adminsquid@dominio.com.br# Host visvelvisible_hostname proxy-squid.dominio.com.br# Linguagem dos erroserror_directory /usr/share/squid3/errors/pt-br# Evita que sejam feitos coredumps.coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.logfile_rotate 120# Tempo para agaurdar o fechamento de conexoes durante encerramentshutdown_lifetime 1 second# palavras que ser tratadas diretamente por esse squid, ou seja, nhierarchy_stoplist cgi-bin ?# Dominio padro de busca#append_domain .dominio.com.br# Padro de refresh de cache para alguns sites# refresh_pattern [-i] regex min percent max [options]# -i : regular expressiona case-insensitive# regex: Expresso regular a buscar# min: tempo (em minutos) que um objeto ser considerado novo# percent: % da idade do objeto que considerado novo
# max: limite mximo que os objetos sem tempo de expirar explicitorefresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320# Logs#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Logaccess_log /var/log/squid3/access.log
# Log de cachecache_log /var/log/squid3/cache.log# pasta para arquivo de dumpcoredump_dir /var/spool/squid3# comportamente para espao em branco nas URLsuri_whitespace allow# Servidores de DNS a serem utilizados - Se no for especificado, o#dns_nameservers 192.168.0.1# Autenticao no Windows 2008auth_param ntlm program /usr/bin/ntlm_auth--helper-protocol=squid-auth_param ntlm children 30auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth--helper-protocol=squidauth_param basic children 5auth_param basic realm Proxy Squid - Digite suas credenciaisauth_param basic credentialsttl 5 hours# ACLs# acls de origem# rede loopbackacl localhost src 127.0.0.1/32# Rede localacl rede_local src 192.168.0.0/24# acls de destino#acl allDest dst 0.0.0.0/0.0.0.0#acl to_localhost dst 127.0.0.0/8
# portas segurasacl SSL_ports port 443acl SSL_ports port 8180acl SSL_ports port 8443# Demais servios
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
8/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 8/34
135136137138139140141142143144145146
147148149150151152153154155156157158159160161
162163164165166167168169170171172173174175176177
178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208
209210211212213214215216
acl Safe_ports port 80 # httpacl Safe_ports port 81 # httpacl Safe_ports port 20-21 # ftpacl Safe_ports port 70 # gopheracl Safe_ports port 443 563 # https, snewsacl Safe_ports port 210 # waisacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 901 # SWATacl Safe_ports port 8080 # http
acl Safe_ports port 8081 # httpacl Safe_ports port 8082 # httpacl Safe_ports port 8088 # httpacl Safe_ports port 8180 # httpacl Safe_ports port 3456 # receita federal - irpfacl Safe_ports port 3001 # diario oficial# acls default squidacl purge method PURGEacl CONNECT method CONNECTacl POST method POST# acl para obter grupos do ADexternal_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinf
# Grupos do ADacl acesso_completo external grupo_AD Internet_Acesso_Completoacl acesso_padrao external grupo_AD Internet_Acesso_Padraoacl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado# acls de segurana proteo do cacheacl manager proto cache_object# acl controlar sites (sites-proibidos)acl sites_proibidos dstdomain -i "/etc/squid3/acls/sites_proibidos"acl sites_liberados dstdomain -i "/etc/squid3/acls/sites_liberados"acl sites_liberados_sem_auth dstdomain -i "/etc/squid3/acls/sites_# acl controlar palavras de sexo, baixo calo, etcacl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proiacl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_libe
acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas"acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas"acl itunes_browser browser iTunes.*acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.*# acl controlar horrio de expediente#acl horario_allow url_regex -i "/etc/squid3/horario_allow"#acl fora_expediente time MTWHFA 20:01-23:59#acl fora_expediente2 time MTWHFA 00:00-05:59# Mensagem de erros personalizados para alguimas ACLsdeny_info ARQ_SITES_PROIBIDOS sites_proibidosdeny_info ARQ_SITES_PROIBIDOS sites_liberadosdeny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_authdeny_info ARQ_SITES_PROIBIDOS palavras_proibidasdeny_info ARQ_SITES_PROIBIDOS palavras_liberadasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadasdeny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueadodeny_info ARQ_PORTAS_PROIBIDAS Safe_portsdeny_info ARQ_PORTAS_PROIBIDAS SSL_ports# HTTP ACCESS# regras das acls de origem - libera os administradores#http_access allow adminshttp_access allow sites_liberados_sem_auth# Libera iTunes
http_access allow itunes_browser# Libera Microsoft Crypto APIhttp_access allow ms_cryptoapi_browser# regras das acls de controle (bloqueio e polticas de rede)http_access allow manager localhost
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
9/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 9/34
O arquivo acima apenas uma sugesto. Voc pode fazer as alteraes que julgar
necessrias. A parte importante a que controla a autenticao NTLM no dominio:
Outra parte importante a que configura a obteno dos grupos do AD e a aplicaodas regras associadas:
217218219220221222223224225226227228
229230231232233234235236237238239240241242243
244245246247248249250251252253254255256257258259
260261262263264265266267268269270271
http_access deny managerhttp_access allow rede_local acesso_completohttp_access deny acesso_bloqueado# regras das acls de portas - bloqueia todas as portas no listadashttp_access deny !Safe_ports# bloqueia conexes das portas seguras no listadashttp_access deny CONNECT !SSL_ports# controle de acesso de sites proibidoshttp_access deny sites_proibidos !sites_liberados
# controle de acesso da acl de palavras de sexo, baixo calo, etc# bloqueia todas as palavras da lista de proibidas com exceo das# palavras liberadashttp_access deny palavras_proibidas !palavras_liberadashttp_access deny maquinas_proibidas !maquinas_liberadashttp_access allow rede_local maquinas_liberadas# controle de horrio de expediente# bloqueia utilizao fora do expediente#http_access deny !horario_allow fora_expediente#http_access deny !horario_allow fora_expediente2http_access allow purge localhost
http_access allow rede_local acesso_padraohttp_access allow POST rede_local acesso_padraohttp_access allow POST rede_local acesso_completo# libera mtodo POST sem autenticao. Para evitar problemashttp_access allow POSThttp_access deny purge# HTTP REPLY ACCESShttp_reply_access allow allhttp_access deny all# ICP ACCESSicp_access deny all
# MISS ACCESSmiss_access allow rede_localmiss_access deny all# MODO DE FTP PASSIVO#ftp_passive on# Negar cache de cgi-binacl QUERY urlpath_regex cgi-bin \?cache deny QUERY# negar cache de POSTacl POSTS method POSTcache deny POSTS
123456789
# Autenticao no Windows 2008auth_param ntlm program /usr/bin/ntlm_auth--helper-protocol=squid-2.auth_param ntlm children 30auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth--helper-protocol=squid-2auth_param basic children 5auth_param basic realm Proxy Squid - Digite suas credenciaisauth_param basic credentialsttl 5 hours
01020304
# acl para obter grupos do ADexternal_acl_type grupo_AD ttl=60 %LOGIN /usr/lib/squid3/wbinfo_grou# Grupos do AD
Ir para o Topo
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
10/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 10/34
O campo ttl=60, na diretiva external_acl_typeacima, controla por quanto tempo (em
segundos) o grupo vlido para o acesso. Voc pode diminuir ou aumentar este valorde acordo com suas preferncias, para que as alteraes de grupos dos usurios sejam
aplicadas para os acessos ao Squid. Em outras palavras: com o ttl de 60, se por exemplo
um usurio que possui acesso padro for includo no grupo Internet_Acesso_Completo,
levar 1 minuto para que esta alterao seja efetivada pelo Squid.
Voc pode comentar as regras que no se aplicarem a sua realidade ou no satisfizerem
suas necessidades.
Cada diretiva possui uma breve descrio sobre sua funo no prprio arquivo acima,
mas em caso de dvidas, consulte a ajuda do Squid: http://www.squid-
cache.org/Doc/config/
B2. Criao dos grupos no Active Directory (AD)Voc precisa criar os trs grupos sugeridos no comeo do tutorial em seu AD:
Internet_Acesso_Completo
Internet_Acesso_Padrao
Internet_Acesso_Bloqueado
Inclua os usurios nos respectivos grupos, conforme o nvel de acesso desejado paracada um deles.Se todos os seus usurios forem membros do grupo Domain Users, voc pode incluir ogrupo Domain Userscomo membro do grupo Internet_Acesso_Padrao, assim todos osusurios tero o acesso padro. Sendo que pelas regras apresentadas no
/etc/squid3/squid.confacima se o usurio fizer parte de mais de um grupo de acesso aInternet, o grupo Internet_Acesso_Completoter a maior prioridade, seguido do grupoInternet_Acesso_Bloqueado. Ou seja se o usurio fizer parte dos 3 grupos ele ter oacesso liberado totalmente e se ele fizer parte do Internet_Acesso_Padraoe doInternet_Acesso_Bloqueado, seu acesso ser bloqueado.
B3. Criao de arquivos de controleCrie a pasta/etc/squid3/aclse dentro dela os arquivos de controle de acesso a sites,
palavras e computadores de origem.
Inclua nos arquivos recm criadas as entradas que deseja permitir ou proibir, uma em
cada linha.
Os arquivos de controle de sitesdevem conter o domnio completo do que se deseja
permitir/proibir, por exemplo www.playboy.com.br.
Os arquivos de controle de palavrasiro controlar o acesso para URLs que contenham
em algum lugar as palavras listadas nos respectivos arquivos.
Os arquivos maquinas_proibidase maquinas_liberadasdevem conter os endereos IPs
de computadores que devem ter seu acesso proibido ou liberado completamente (um
por linha), independente do usurio conectado no mesmo.
0506070809101112
acl acesso_completo external grupo_AD Internet_Acesso_Completoacl acesso_padrao external grupo_AD Internet_Acesso_Padraoacl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueadohttp_access allow rede_local acesso_completohttp_access deny acesso_bloqueado#... conjunto de regras de bloqueio padrohttp_access allow rede_local acesso_padrao
1
2345678
sudomkdir/etc/squid3/acls
sudotouch/etc/squid3/acls/sites_proibidossudotouch/etc/squid3/acls/sites_liberadossudotouch/etc/squid3/acls/sites_liberados_sem_autenticacaosudotouch/etc/squid3/acls/palavras_proibidassudotouch/etc/squid3/acls/palavras_liberadassudotouch/etc/squid3/acls/maquinas_proibidassudotouch/etc/squid3/acls/maquinas_liberadas
http://www.squid-cache.org/Doc/config/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
11/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 11/34
recomendvel colocar uma entrada em cada arquivo (palavras_ e maquinas_) ou
comentar as regras relativas aos arquivos, para evitar mensagens de warning no Squid.
B4. Arquivos de erros personalizadosAs regras deny_infocontrolam arquivos de erro personalizado para cada regra aclque
seja negada pelo Squid.
Se voc no deseja utilizar pginas de erro personalizadas, comente as seguintes linhas
do /etc/squid3/squid.conf:
Caso contrrio, crie os
arquivos ARQ_SITES_PROIBIDOS , ARQ_MAQUINAS_PROIBIDAS, ARQ_ACESSO_BLOQUEADO e ARQ_PORTAS_PROIBIDASnapasta/usr/share/squid3/errors/pt-br.
Estes arquivos so em formato HTML e devem conter as mensagens a serem reportadas
para o usurio em caso de bloqueio no acesso.
Voc pode utilizar alguns caracteres especiais para serem convertidas em informaes
antes de mostrar para o usurio. Para saber os caracteres permitidos
consulte: http://www.squid-cache.org/Doc/config/deny_info/
Se quiser usar meus arquivos personalizados, descomprima o arquivo erros_squid.zipna
pasta/usr/share/squid3/errors/pt-br.
Um exemplo de acesso negado contido nestes arquivos seria semelhante ao seguinte:
01020304050607080910
deny_info ARQ_SITES_PROIBIDOS sites_proibidosdeny_info ARQ_SITES_PROIBIDOS sites_liberadosdeny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_authdeny_info ARQ_SITES_PROIBIDOS palavras_proibidasdeny_info ARQ_SITES_PROIBIDOS palavras_liberadasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadasdeny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueadodeny_info ARQ_PORTAS_PROIBIDAS Safe_portsdeny_info ARQ_PORTAS_PROIBIDAS SSL_ports
http://blogdonerd.com.br/wp-content/uploads/2011/10/erro_squid.pnghttp://blogdonerd.com.br/wp-content/uploads/2011/10/erros_squid.ziphttp://www.squid-cache.org/Doc/config/deny_info/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
12/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 12/34
B5. Testando o SquidExecute o comando abaixo para verificar se as configuraes do squid esto corretas:
Inicie o Squid:
Aponte seu browser para o ip do squid seguido da porta 3128e verifique seu
funcionamento.
C. Instalao e Configurao doSquidGuard
C1. Instalao do SquidGuardInstale o SquidGuard:
Baixe uma blacklist. O site http://www.squidguard.org/blacklists.htmlpossui algumas
opes.
Neste tutorial vou me basear na blacklist mantida em http://urlblacklist.com.
ATENO: Esta blacklist bem completa, porm paga. Voc pode baix-la para fins
de testes, mas para colocar em um ambiente de produo faa uma assinatura. Se
preferir utilize outra blacklist gratuita.
Baixe a blacklist para uma pasta temporria (/tmp neste exemplo):
Descomprima a blacklist para a pasta/var/lib/squidguard/db/:
Edite o arquivo/etc/squid/squidGuard.confe substitua seu contedo pelo mostrado
abaixo:
1 squid3 -k parse
1sudoservice squid3 start
1 sudoapt-get installsquidguard
1 wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?typ
1 tar-xzvf /tmp/blacklist.tar.gz -C /var/lib/squidguard/db/
0102
03040506070809101112131415161718
19202122232425
## CONFIG FILE FOR SQUIDGUARD
## Caution: do NOT use comments inside { }#dbhome /var/lib/squidguard/db/blacklistslogdir /var/log/squid3dest pornografia { domainlist porn/domains urllist porn/urls log squidGuard_blocks.log }dest adulto { domainlist adult/domains urllist adult/urls
log squidGuard_blocks.log }dest agressivo { domainlist aggressive/domains urllist aggressive/urls log squidGuard_blocks.log
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklisthttp://www.squidguard.org/blacklists.htmlhttp://urlblacklist.com/?sec=subscribehttp://urlblacklist.com/?sec=homehttp://www.squidguard.org/blacklists.html5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
13/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 13/34
Voc deve ajustar este arquivo incluindo outras categorias ou regras de acordo com
suas necessidades. Para saber as categorias da blacklist utilizada verifique o contedo do
arquivo/var/lib/squidguard/db/blacklists/CATEGORIES.
Para aprender sobre as regras do squidGuard verifique a documentao do squidGuard
(http://www.squidguard.org/Doc/).
Voc pode usar a ACL srce incluir os usurios do Active Directory. Infelizmente no h
uma forma simples de utilizar grupos para estas diretivas. Este tipo de controle no
necessrio pois o Squid quem ficar responsvel por fazer uma pr-filtragem dos
grupos de usurios do AD.
Inicialize a blacklist, criando arquivos .db para as categorias definidas no squidGuard.conf
e ajustando as permisses:
Teste o squidGuard executando o comando abaixo:
A sada ser semelhante a abaixo:
262728293031323334353637
383940414243444546
}dest jogos { domainlist gambling/domains urllist gambling/urls log squidGuard_blocks.log }dest whitelist { domainlist whitelist/domains urllist whitelist/urls }
acl { default {
pass whitelist !pornografia !adulto !agressivo !jogos all
redirect http://www.google.com.br/search?q=%t }}
12
squidGuard -C allchownproxy:proxy -R /var/lib/squidGuard/db
1 echo"playboy.com.br - - GET"| squidGuard -c /etc/squid/squidGuard.c
010203040506070809
101112131415161718192021222324
2526272829
2013-07-12 14:54:08 [8204] New setting: dbhome: /var/lib/squidguard/2013-07-12 14:54:08 [8204] New setting: logdir: /var/log/squid2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black
2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] squidGuard 1.4 started (1373651648.249)2013-07-12 14:54:08 [8204] squidGuard ready forrequests (1373651648
2013-07-12 14:54:08 [8204] sourcenot found2013-07-12 14:54:08 [8204] no ACL matching source, using default2013-07-12 14:54:08 [8204] Request(default/pornografia/-) playboy.cohttp://www.google.com.br/search?q=pornografia -/-- GET2013-07-12 14:54:08 [8204] squidGuard stopped (1373651648.254)
http://www.squidguard.org/Doc/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
14/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 14/34
A penltima linha da execuo acima mostra que a tentativa de acesso para a URL
solicitada foi encaminhada para o redirecionamento de categoria proibida.
C2. Integrando o SquidGuard com o SquidAgora precisamos informar ao Squid para encaminhar os acessos dos usurios do
grupo Internet_Acesso_Padraopara a avaliao do SquidGuard.
Para fazer isso, edite o arquivo/etc/squid3/squid.confe inclua as linhas abaixo no final
do arquivo:
Recarregue o squid para que as novas configuraes sejam ativadas:
C3. Pgina de erros personalizada para o
SquidGuardSe desejar voc pode configurar uma pgina de erros para o SquidGuard semelhante a
pgina de erros do Squid.
Para fazer isso voc pode utilizar um servidor web j existente em sua rede e apenas
ajustar o squidGuard.conf para redirecionar para seu servidor.
Outra opo instalar o apache e colocar uma pgina PHP personalizada diretamente
em seu servidor Squid.
Para instalar o apache e o PHP execute:
Crie o arquivo/var/www/squidGuard.phpcom o contedo abaixo. Ajuste o que julgar
necessrio, em especial a linha destacada.
1234
url_rewrite_access deny rede_local acesso_completourl_rewrite_access allow allurl_rewrite_program /usr/bin/squidGuard-c /etc/squid/squidGuard.confurl_rewrite_children 20 startup=0 idle=1 concurrency=0
1 service squid3 reload
1 sudoapt-get installapache2 php5 libapache2-mod-php5
01020304050607080910
1112131415161718192021222324252627282930313233
ERRO: Voc no tem permisso para acessar esta URL
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
15/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 15/34
Ajuste a linha redirectdo /etc/squid/squidGuard.confpara apontar para a pgina
personalizada.
Recarregue o squid para que as novas configuraes sejam ativadas:
C4. Atualizao automtica da blacklistSe desejar voc pode agendar um script para atualizar a blacklist.
Recomendo agendar para uma vez por semana.
Crie o arquivo/usr/local/bin/squidGuard_update.shcom o seguinte contedo:
343536373839404142434445
464748495051525354555657585960
61626364656667686970717273747576
777879808182
font-family: courier;font-size: 16px;top: 0px;color: #666666;}h1 {font-family: Arial, Helvetica, sans-serif;font-size: 18px;margin-top: 24px;margin-bottom: 24px;color: #666666;}
h2 {font-family: Arial, Helvetica, sans-serif;font-size: 16px;margin-top: 24px;margin-bottom: 24px;color: #666666;}hr {margin-top: 2px;margin-bottom: 2px;}-->
ERRO Voc no tem permisso para ace
Com base nas polticas vigentes, o acesso a URL " por
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
16/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 16/34
D permisso de execuo para o script:
Agende o script para executar no crontab do root
No final do arquivo inclua a seguinte linha:
Isto informa para o cronexecutar o script todo domingo (0) s 2:07 da madrugada.
Ajuste o horrio conforme sua necessidade.
D. Observaes e Dicas
D1. Como controlar o acesso a redes sociais paraum grupo especfico do ADVoc pode criar outros grupos e liberar o acesso a sites especficos somente para estegrupo. Por exemplo, voc pode bloquear as redes sociais, criando um grupo no ADchamado Internet_Acesso_Redes_Sociais, incluindo os respectivos dominios (twitter,orkut, facebook, ...) em um novo arquivo chamado/etc/squid3/acls/redes_sociaiseincluir as seguintes regras no/etc/squid3/squid.conf:
Voc pode usar url_regexao invs de dstdomain, assim voc no precisa digitar o
nome exato de cada domnio de rede social, bastando escrever o domnio parcialmente
em/etc/squid3/acls/redes_sociais .
Um exemplo do arquivo/etc/squid3/acls/redes_sociaisseria:
Ainda no arquivo/etc/squid3/squid.conf, antes da linha abaixo:
inclua as seguintes linhas:
D2. Visualizao dos logs de acesso do SquidEscrevi um pequeno script para permitir a visualizao dos logs do Squid de uma forma
mais simples e fcil de entender.
Voc precisa ter o gawk instalado para ele funcionar corretamente. Instale-o com o
comando abaixo:
Crie um arquivo squid3_log.shcom o contedo abaixo:
D permisso de execuo:
1 sudochmod+x /usr/local/bin/squidGuard_update.sh
1 sudocrontab-e
1 7 2 0 * * /usr/local/bin/squidGuard_update.sh
12
acl acesso_redes_sociais external grupo_AD Internet_Acesso_Redes_Sociacl redes_sociais dstdomain -i "/etc/squid3/acls/redes_sociais"
1234
twitter.comorkut.comfacebook.complus.google.com
1 http_access allow rede_local acesso_padrao
1
2
http_access allow redes_sociais acesso_redes_sociais
http_access deny redes_sociais
1 sudoapt-get installgawk
12
#!/bin/bash
tail-f /var/log/squid3/access.log | awk'{print strftime("\033[1;31m
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
17/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 17/34
Execute o script para verificar os acessos em tempo real:
Se voc receber uma mensagem de erro "awk: function strftime never defined" basta
instalar o pacote gawk para resolver:
Voc pode melhorar o script acima incluindo filtros, usando o grep, para por exemploencontrar os acessos de usurios especficos e/ou data e hora de acesso determinados.
A sada do script acima ser algo semelhante a imagem abaixo:
D3. Configurao automtica de Proxy (WPAD)Se voc no desejar configurar os browsers de cada novo computador em sua rede,
basta configura o WPAD.
Para saber como fazer isso, verifique o artigo: Descoberta automtica de Proxy WPAD
(Web Proxy Auto-Discovery).
D4. Outras InformaesReinicie seu computador e teste todos os acessos com usurios de grupos diferentes
antes de colocar o sistema em produo.
Em caso de problemas com as regras, descomente (remova o #) a linha debugno
comeo do/etc/squid3/squid.confe verifique os logs no/var/log/squid3/cache.log.
O Squid bastante poderoso e integrado ao AD torna-se uma ferramenta incrvel e
bastante simples de administrar.
Estude pr incipalmente as ACLse a aplicao das mesmas com a diretiva http_access.
Voc vai se surpreender com tudo que capaz de fazer.
Abraos e em caso de dvidas s escrever nos comentrios.
Referncias
- Squid autenticando no Windows utilizando grupos do AD
- Integrating Squid and Samba3 with NTLM authentication
- Integrando autenticao do Squid ao Active Directory
-SquidGuard
- Configuring Squid, SquidGuard, SquidClamAV binded with LDAP Auth
Compartilhar / Favoritos
Active Directory Squid SquidClamAV SquidGuard Ubuntu
Este artigo foi publicado por Nerdem 12 de julho de 2013s 18:19, nas categorias Linux, Tutoriais. Siga oscomentrios deste artigo atravs do RSS 2.0. Voc podepular para o fim e deixar um comentrio. Fazer ping no permitido n o momento.
1 chmod+x squid3_log.sh
1 ./squid3_log.sh
1 sudoapt-get installgawk
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/feed/http://blogdonerd.com.br/category/tutoriais/http://blogdonerd.com.br/category/tutoriais/linux-tutoriais/http://blogdonerd.com.br/author/Nerd/http://www.calculate-linux.org/blogs/show/135http://www.squidguard.org/http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directoryhttp://mkeadle.org/?p=13http://www.vivaolinux.com.br/artigo/Squid-autenticando-no-Windows-utilizando-grupos-do-ADhttp://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/http://blogdonerd.com.br/tag/ubuntu/http://blogdonerd.com.br/tag/squidguard/http://blogdonerd.com.br/tag/squidclamav/http://blogdonerd.com.br/tag/squid/http://blogdonerd.com.br/tag/active-directory/http://www.addtoany.com/share_save#url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&description=J%C3%A1%20escrevi%20outros%20tutoriais%20sobre%20como%20autenticar%20o%20Ubuntu%20no%20Active%20Directory%20(AD)%C2%A0e%20como%20configurar%20o%20Squid%20para%20se%20aproveitar%20dessa%20autentica%C3%A7%C3%A3o%20e%20criar%20regras%20baseadas%20em%20grupos%20do%20AD.http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://www.stumbleupon.com/submit?url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://del.icio.us/post?url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://www.facebook.com/share.php?u=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&t=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://digg.com/submit?phase=2&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://twitter.com/home?status=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29+-+http%3A%2F%2Ftinyurl.com%2F5vtf9865/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
18/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 18/34
Artigos Relacionados
#1escrito por greyson 7 MESES ATRS
Ol Nerd,
Mais uma vez um post excelente. Seu site cheio de contedo tcnico de
tima qualidade e este no exceo. Eu realizei a integrao do Linux e
AD usando o o 12.04 e percebi que o ticket kerberos no renovado e
com isso no consigo mais logar com usurios do domnio via SSH ou
Samba, somente com os usurios locais. Isso j aconteceu com voc?
Aparentemente alguma configurao do PAM, mas quando gero um
novo ticket e recoloco o Linux no domnio, volto a acessar com usurio do
domnio normalmente. Segue abaixo os erros gerados pelo auth.log:
pam_winbind(sshd:auth): request wbcLogonUser failed:
WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS:
NT_STATUS_ACCESS_DENIED, Error message was: Access deniedpam_winbind(sshd:auth): internal module error (retval =
PAM_SYSTEM_ERR(4)
Qualquer ajuda ser muito bem-vinda.
#2escrito por Nerd 7 MESES ATRS
Greyson,
Obrigado pelos elogios.
Eu nunca passei por esse problema em particular, mas uma
coisa que j me aconteceu est relacionado ao fato detrabalhar em uma rede com mltiplos controladores de
domnio e o winbind as vezes tentar autenticar em um e as
vezes em outro controlador.
Uma possvel sada remover o servidor do dominio e colocar
novamente, tomando o cuidado de forar o controlador de
domnio a ser usado para a autenticao:
1- No arquivo de configurao do kerberos (/etc/krb5.conf):
Nas linhas kdc e admin_server coloque o nome de um
controlador de dominio em particular.
2- Coloque o mesmo controlador de domnio na entrada
"password server" do /etc/samba/smb.conf
3- Pare os servios winbinbd e smbd
4- Apague o cache do samba (rm -rf /var/lib/samba/*)
5- Exclua a mquina do AD e force uma replicao em todos os
controladores de domnio.
6- coloque a mquina no domnio novamente.
No garantido que v funcionar, mas possvel.
Aproveite e de uma olhada na data e hora de seu servidor e de
seus controladores de domnio.
Nerd.
#3escrito por Greyson 7 MESES ATRS
Obrigado por responder to prontamente Nerd. Realizei os
procedimentos e em seguida dou um feedback, at+
Comentrios (55)
http://softwarelivre-ac.org/http://softwarelivre-ac.org/http://-/?-5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
19/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 19/34
#4escrito por Greyson 7 MESES ATRS
Ol Nerd. Segui suas orientaes e no tive sucesso, mas a verificando
outras opes, consegui configurar o /etc/pam.d/common-auth para
permitir um usurio do domnio logar no servidor. Agora estou com outra
situalo: mesmo colocando o usurio do domnio no grupo sudo
(Debian Wheezy) no consigo logar como root. verificando o
/var/log/auth.log recebo este erro:
sudo: pam_unix(sudo:auth): authentication failure; logname=greyson.fariasuid=1003317 euid=0 tty=/dev/pts/1 ruser=greyson.farias rhost=
user=greyson.farias
Alguma dica?
#5escrito por Nerd 7 MESES ATRS
Greyson,
O que d erro o "sudo su", certo?
Voc colocou o grupo a qual pertence o usuario greyson.farias
no /etc/sudoers?Por exemplo, para o grupo administradores_linux a linha no
/etc/sudoers ficaria:
%administradores_linux ALL=(ALL) ALL
Nerd.
#6escrito por Greyson 7 MESES ATRS
Ol Nerd,
Obrigado pela resposta. Tambm consegui resolver essa questo,
obrigado.Agora estou com outra situao. No sei se bug do samba, mas
quando coloco a mquina no domnio e compartilho os diretrios, de
uma hora para outra, os usurios no conseguem mais acessar os
compartilhamentos. Por ex. \\FILESERVER ou \\IPDoServer ento o
servidor fica o tempo inteiro solicitando autenticao, mesmo digitando
no login: DOMINIO\usurio e digitando a senha, isso ocorre com
quaisquer usurios. Eu verifico com wbinfo -u e wbinfo -g e so listados
os usurios e grupos. Tambm executo getent passwd e getent group e
tambm recebo os usurios e grupos do AD. o Samba que estou
utilizando no Debian Wheezy o 3.6.6 (no sei qual no ubuntu 12.04) e
no Debian Squeeze o 3.5.4. (est funcionando sem problemas, mascomo oldstable, estou querendo migrar) Voc j passou por isso? se j,
conseguiu resolver?
#7escrito por Nerd 7 MESES ATRS
Greyson,
A nica vez que me lembro de ter passado por esse problema
foi quando estava com a data do servidor errada.
Nos logs do samba e do winbind no tem nada que possa
ajudar a diagnosticar (/var/log/smb)?
Nerd.
#8escrito por Greyson 7 MESES ATRS
http://softwarelivre-ac.org/http://softwarelivre-ac.org/http://softwarelivre-ac.org/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
20/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 20/34
Ol Nerd,
Finalmente resolvi. Eu observei durante esses dias que quando o
computador reinicia, ele no renova automaticamente o ticket do
kerberos. Consegui resolver este problema utilizando da ferramenta kutil
e seguindo este post:
http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-o-
ktutil/. Deixo aqui registrado meus sinceros agradecimentos e mais uma
vez parabns pela excelente postagem.
#9escrito por Nerd 7 MESES ATRS
Maravilha Greyson.
Obrigado por compartilhar a dica.
Nerd.
#10escrito por Gustavo 6 MESES ATRS
Ol amigos!
Sou neewbie e travei na parte do ktutil.
Eu tentei instala-lo, mas no fui feliz (apt-get install krb5-user).
Tem algum macete?
#11escrito por Nerd 6 MESES ATRS
Gustavo,
Creio que a instalao do ktutil no tem a ver com este
tutorial e sim com um problema especfico de outro usurio.
Sugiro seguir as dicas do tutorial mencionado pelo autor da
dvida.
Nerd.
#12escrito por Anderson 6 MESES ATRS
Ola galera, ve se alguem pode me ajudar. Eu preciso configurar o
squidguard para trabalhar com o AD e com grupos. Por exemplo o
grupo(do AD) Internet_Acesso_Completo passa somente pelo filtro porn
do squidguard, ja o grupo Internet_Acesso_Padrao passa pelo filtro porn,
audio-video e redes sociais por exemplo. alguem ja fez esta
configurao? possive? Obrigado
#13escrito por Nerd 6 MESES ATRS
Anderson,
Este tipo de configurao mais avanada complicada. Eu
tambm gostaria de uma soluo para isto, mas infelizmente
no h milagres.
A soluo apresentada neste tutorial manda tudo ou nada para
o squid guard.
O squid guard no entende os grupos da AD, ento quem faz afiltragem o Squid.
O que d para fazer colocar, nas regras do squid guard
(squidGuard.conf), as siglas dos usurios que sero filtrados de
forma diferente, mas no grupos.
http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-o-ktutil/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
21/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 21/34
Nerd.
#14escrito por Anderson 6 MESES ATRS
Entendi, Valeu!!!
#15escrito por Alex Manzo 4 MESES ATRS
Eu consegui usando LDAP assim:
1) Criar a src no squidguard.conf conforme exemplo:
src EXEMPLO {
ldapusersearch ldap://SERVIDOR-DO-
AD:3268/DC=DOMINIO,DC=COM?sAMAccountName?
sub?(&(sAMAccountName=%s)(memberOf=CN=NOME-
DO-GRUPO%2cOU=NOME-DA-OU-ONDE-ESTA-O-
GRUPO%2cDC=DOMINIO%2cDC=COM))
}
2) Criar a ACL dentro do squidguard.conf antes ou aps
a ACL default:
acl {
default {
pass whitelist !pornografia !adulto !agressivo !jogos
!redesocial !redessociais !virusinfected !games !malware
!hacking !onlinegames !proxy !spyware !radio !multimidia
!entretenimento !compartilhamento !hospedeiro
!webcommerce !shopping !bate-papo all
redirect http://localhost/squidGuard.php?
usuario=%i&url=%u&ip_origem=% a&categoria=%t}
EXEMPLO {
pass whitelist !pornografia !adulto !agressivo !jogos
!redesocial !red essociais !virusinfected !games !malware
!hacking !onlinegames !proxy !spywa re !radio
!multimidia !entretenimento !compartilhamento
!hospedeiro all
redirect http://localhost/squidGuard.php?
usuario=%i&url=%u&ip_origem=%a&categoria=%t
}
}
#16escrito por Nerd 4 MESES ATRS
Alex,
Dessa forma consegue fazer as regras respeitarem
os grupos do AD?
Nerd.
#17escrito por Greyson 2 MESES ATRS
Ol Alex,
Como voc declarou as variveis
ldapbinddn, ldapbindpass e ldapcachetime ??
http://softwarelivre-ac.org/http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=%5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
22/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 22/34
#18escrito por Gustavo 6 MESES ATRS
Nerd, muito obrigado por compartilhar conosco este procedimento
incrvel!!!
Parabns!!!!!
No percebi abordagem sobre o tema cache. possivel adicionarmos um
cache aqui, para enfim, tornar isso o "estado da arte"?
Abrao!
#19escrito por Nerd 6 MESES ATRS
Gustavo,
Veja se isto lhe ajuda: http://blogdonerd.com.br/2011/09/proxy-
squid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-e-
regras-baseadas-em-grupos-do-ad/
Nerd.
#20escrito por Gustavo 6 MESES ATRS
Oi Nerd!
Haaa vc o cara!
Deu certinho!!!! Hoj efarei os testes.
A unica coisa que nao passou, mas vou me esforar mais,
o SquidGuard (fui usar outra lista, uma free... acho que foi ai
que pegou).
Outra pergunta:Eu tenho uma VPN na empresa, da Cisco. Quando me
conecto de casa por ela, eu ganho um IP 192.168.255.x.
L na minha configurao informei que minha rede local
para 10.0.0.0/16.
Como fica a rede da VPN neste caso, pois quando fui usar o
proxy daqui no rolou, ficou tudo travado.
Mais um ultimo pedido.
Ser que vc pode me ajudar a interpretar o log para saber
onde parou e pq?
Abrao e parabns. muito nobre fazer isso que vc faz
#21escrito por Nerd 6 MESES ATRS
Gustavo,
Inclua mais uma acl rede_local no seu squid.conf:
acl rede_local src 10.0.0.0/16
acl rede_local s rc 192.168.255.0/24
S certifique-se de haver conectividade entre as redes.
Um ping para o IP de seu proxy um bom teste.Nerd.
#22escrito por Marcel Luis 5 MESES ATRS
http://blogdonerd.com.br/2011/09/proxy-squid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-e-regras-baseadas-em-grupos-do-ad/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
23/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 23/34
Prezado amigo, parabens pelo seu artigo muito bom mesmo.
Consegui fazer funcionar redondinho. No entanto estou com problema no
seguinte, crei a seguinte regra:
acl s ites_bloqueado_squidguard dstdomain -i
"/var/lib/squidguard/db/blacklists/porn/domains"
depois fiz o bloqueio:
http_access deny sites_bloqueado_squidguard acesso_padrao
Agora oque acontece, toda vez que o usuario do grupo acesso padraotenta acessar um site proibido da acl ele em vez de mostrar mensagem
de acesso bloqueado ele pede login e senha.
Tem como me ajudar nisso?
#23escrito por Nerd 5 MESES ATRS
Marcel,
Esse caracterstica do Squid bem chata.
No garanto que v resolver, mas tente trocar a linha
http_access deny sites_bloqueado_squidguard acesso_padrao
por
http_access allow sites_bloqueado_squidguard !acesso_padrao
Nerd.
#24escrito por Marcel Luis 5 MESES ATRS
Infelizmente Nerd no funcionou. Continua pedindo senha
em vez de mostrar logo de cara o bloqueio....
#25escrito por Nerd 5 MESES ATRS
Marcel,
Isso um problema complicado com o Squid. Eu mesmo
enfrento esse problema em uma de minhas rede e no
consegui uma soluo satisfatria.
Tente trabalhar com a ordem de suas regras.
Habilite o log para ver em que momento pedido a
senha.
Pode ser que ajude.
Se encontrar uma soluo ficarei feliz se puder
compartilhar conosco.
Uma outra sugesto que lhe dou a seguinte:
http_access allow sites_bloqueado_squidguard
!acesso_padrao
http_acess deny sites_bloqueado_squidguard
Nerd.
#26escrito por Marcel 4 MESES ATRS
Nada tambm.. continua pedindo senha..
#27escrito por Osvaldo 5 MESES ATRS
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
24/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 24/34
Excelente artigo!
Estou tentando entender pra que serve a acl sites_liberados pois na acl
acesso_bloqueado no tem exceo para acesso aos sites liberados,
assim o grupo padro acessa tudo menos os proibidos e o completo tem
acesso total. Tentei liberar alguns sites na acl sites_liberados porm no
consigo liberar dessa forma:
http_access deny acesso_bloqueado !sites_liberados
Apenas consegui liberar usando a acl sites_liberados_sem_auth, porm
remete a mesma dvida da serventia do acl sites_liberados.
#28escrito por Nerd 5 MESES ATRS
Osvaldo,
No sei exatamente o que deseja fazer, mas voc pode criar
uma regra de allow para um grupo ou todos antes de negar o
acesso para o grupo acesso_bloqueado
http_access allow sites_liberados #libera acesso para todos que
conseguirem se autenticar no squid, inclusive os do grupo
acesso_bloqueado
http_access deny acesso_bloqueado #se no foi aceito pela
regra acima, ento bloqueia o acesso para usurios do grupo
acesso_bloqueado
Nerd
#29escrito por Rodrigo 4 MESES ATRS
Ol!
Achei muito interessante sua postagem e gostaria de saber se da pararodar essa configurao com o samba 4 como controlador de dominio e
o que precisaria mudar?
#30escrito por Gustavo 4 MESES ATRS
Ol pessoal!
Aprendi e configurei o meu squid com autenticao aqui com o
Nerd.
Gostaria de deixar minha contribuio nesta questo de
liberao de acesso.
Segue o que fiz aqui.
# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST
acl FTP proto FTP
# acl para obter grupos do AD
external_acl_type grupo_AD ipv4 ttl=30 %LOGIN
/usr/lib/squid3/wbinfo_group.pl
# Grupos do AD
acl acesso_completo external grupo_ADBR_Internet_Acesso_Completo
acl acesso_padrao external grupo_AD
BR_Internet_Acesso_Padrao
acl acesso_wengo external grupo_AD BR_Internet_W
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
25/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 25/34
acl acesso_bloqueado external grupo_AD
BR_Internet_Acesso_Bloqueado
# acls de seguranprote do cache
acl manager proto cache_object
# acls de URLS com bypass no CISCO ASA
acl s ites_bypass url_regex -i "/etc/squid3/acls/sites_bypass"
# acl de controle da operacao W
acl sites_wengo url_regex -i "/etc/squid3/acls/sites_wengo"
# acl controlar sites (sites-proibidos)
acl sites_proibidos url_regex -i
"/etc/squid3/acls/sites_proibidos"
acl s ites_liberados url_regex -i "/etc/squid3/acls/sites_liberados"
acl sites_liberados_sem_auth url_regex -i
"/etc/squid3/acls/sites_liberados_sem_autenticacao"
# acl controlar palavras de sexo, baixo cal etc
acl palavras_proibidas url_regex -i
"/etc/squid3/acls/palavras_proibidas"
acl palavras_liberadas url_regex -i
"/etc/squid3/acls/palavras_liberadas"
acl maquinas_proibidas src
"/etc/squid3/acls/maquinas_proibidas"
acl maquinas_liberadas src
"/etc/squid3/acls/maquinas_liberadas"
acl itunes_browser browser iTunes.*
acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.*
acl sites_no_cache url_regex -i "/etc/squid3/sites_no_cache"
cache deny sites_no_cache
always_direct allow FTP
always_direct allow sites_no_cache
# acl para bypass de sites da W
always_direct allow sites_bypass
#31escrito por Nerd 4 MESES ATRS
Valeu pela contribuio Gustavo.
Nerd.
#32escrito por Nerd 4 MESES ATRS
Rodrigo,
Nunca tentei, mas creio que deva funcionar sem grandes
alteraes.
S testando para saber.
Nerd.
#33escrito por Alex Manzo 4 MESES ATRS
Boa noite, eu no entendi o seu comentrio referente ao mtodo post no
squid.conf que diz assim:
"# libera mtodo POST sem autenticao. Para evitar problemas"
Desculpe minha ignorncia, para que serve o mtodo POST?
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
26/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 26/34
Outra dvida, como fao para resolver problema de acesso com site do
banco do brasil onde o applet java fica solicitando autenticao do
usurio e senha do domnio que mesmo inserindo as informaes ele no
funciona?
Agradeo muito por sua contribuio!
#34escrito por Gustavo 4 MESES ATRS
Ol amigo!
Acho que o Nerd o melhor para responder isso. Como disse,
peguei tudo aqui
#35escrito por Nerd 4 MESES ATRS
Alex,
O acesso HTTP funciona com diversos mtodos de requisio.
Os dois mais comuns so o GET e o POST. Algumas vezes o
mtodo POST pode te trazer problemas com a autenticao. Se
estiver enfrentando problemas, o ideal liberar o acesso.
Com relao ao Java e o BB, o ideal voc colocar os
endereos do BB que o java usa na lista de sites liberados sem
autenticao.
Tambm bom verificar a porta utilizada para o acesso do BB.
Nerd.
#36escrito por Alex Manzo 4 MESES ATRS
Nerd, a porta utilizada pelo site do bb junto com o app java a 443... mesmo qdo relaciono os sites envolvidos naquela
acl de sites_sem_autenticacao ele ainda acaba exibindo
prompt do add java solicitando a senha... a eu resolvi
provisoriamente liberando a porta 443 antes da
autenticao do AD, s que qualquer coisa relacionada a
HTTPS acaba passando por fora do filtro como o facebook
por exemplo... como devo tratar essa exceo do bb?
abraos
#37escrito por Alex Manzo 4 MESES ATRS
Nerd, antes que voc responda acho que a nica
soluo inserir via GPO exceo para o site
https://aapj.bb.com.brnos navegadores das mquinas,
pois todas que necessitam acessar o applet java do
banco fazem parte do AD... No consegui visualizar
outra soluo tendo em vista que o Java incompatvel
com autenticao NTLM do squid (vi isso em algum
frum do pfsense ou no squid.org ou no oracle.com...
nao me lembro, mas foi em algum site importante! rs).
Outra coisa, percebi que o squidguard no trata sites
HTTPS.... porque se desse certo pra jogar requisieshttps passando pelo squidguard automaticamente
resolveria meu problema com bancos.... H alguma
forma de faz-lo? o que acha NERD? Abx
https://aapj.bb.com.br/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
27/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 27/34
#38escrito por Nerd 4 MESES ATRS
Alex,
O Java sempre um problema. Voc pode configurar
o Java para no usar o Proxy e tratar as requisies
direto no Firewall.
O WPAD pode ser uma soluo
(http://blogdonerd.com.br/2011/10/descoberta-
automatica-de-proxy-wpad-web-proxy-auto-discovery/).
Nerd.
#39escrito por Nerd 4 MESES ATRS
Alex,
Voc usa WPAD em sua rede?
Talvez possa ser uma soluo para que o Java acesse a
Internet direto sem passar pelo proxy.
De uma lida nesse artigo:http://blogdonerd.com.br/2011/10/descoberta-
automatica-de-proxy-wpad-web-proxy-auto-discovery/
Nerd.
#40escrito por Alex Manzo 4 MESES ATRS
sim uso WPAD mas putz, agora que ca na real... meu
WPAD est no s imples do s imples... apenas indicando
o proxy sem informar os sites que nao precisam
passar por ele... Eu ainda por cima estou utilizandoGPO e na GPO est correto... esta acontecendo um
conflito.... agora estou certo disso...
#41escrito por Alex Manzo 4 MESES ATRS
Nerd, mais uma vez sem querer abusar, como fao para cachear windows
update para no ficar saturando meu link? existe alguma ferramenta que
seja similar ao wsus em open source?
Depois que implementei essa maravilhosa soluo muita gente est
querendo me bater! o que eu fao? chamo o a polcia ou melhor chamara ambulncia? hehehe
#42escrito por Nerd 4 MESES ATRS
Alex,
A melhor maneira que conheo utilizar o WSUS. Ele gratuito,
o custo seria somente a licena do Windows do servidor em
que ele ir rodar. Voc pode instalar em um servidor windows
qualquer de sua rede, compartilhando os recursos do mesmo.
Eu costumo colocar ele junto com o servidor de Anti Virus.
Nerd.
#43escrito por Mr. Emerson 3 MESES ATRS
http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
28/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 28/34
Ol Nerd.
Graas a seu tutorial temos um belo proxy rodando a alguns meses sem
maiores problemas por aqui, mas um probleminha tem me atormentado
na ltima semana: Office 2013.
Chegaram umas mquinas novas com o Office 2013 embarcado e sempre
que o usurio carrega o Word, por exemplo, aparecem aquelas janelas
do proxy pedindo autenticao para um site da Microsoft. Coloquei trs
domnios da Microsoft no arquivo sites_liberados_sem_autenticacao e eisque depois, a janela de autenticao comeou a me apontar para o
bizarro endereo autodiscover.MEUDOMINIO. Bem, adicionei tambm
esse endereo (que sequer existe em nossa rede) e funcionou.
Ento fica a dica pra quem tem o Office 2013 adiconar essas quatro linhas
no arquivo sites_liberados_sem_autentcacao:
.office.microsoft.com
.officeapps.live.com
.vo.msecnd.net
autodiscover.MEUDOMINIO
(troque MEUDOOMINIO pelo domnio da sua rede)Aproveitando. Nerd, essa janelas solicitando autenticao so
extremamente irritantes. Qualquer engasgada no Proxy ou no AD j
motivo para elas serem mostradas para o usurio. Voc j conseguiu
alguma maneira delas desaparecerem completamente?
abs
#44escrito por Gustavo 3 MESES ATRS
Ol Mr. Emerson! Tudo bem?
Acho que posso te ajudar com isso.
Eu passei pelo mesmo enrosco e resolvi colocando os sites do
office em uma lista de acesso que no pede autenticao e
antes das demais regras de liberao de sites.
Fiz assim:
# acls de URLS com bypass no CISCO ASA - vao direto para o
firewall, que um appliance
acl s ites_bypass dstdomain "/etc/squid3/acls/sites_bypass"
# acl controlar sites (sites-proibidos)
acl sites_proibidos url_regex -i
"/etc/squid3/acls/sites_proibidos"acl s ites_liberados url_regex -i "/etc/squid3/acls/sites_liberados"
# Sites liberados e SEM AUTENTICACAO NECESSARIA
acl sites_liberados_sem_auth dstdomain
"/etc/squid3/acls/sites_liberados_sem_autenticacao"
# acl controlar palavras de sexo, baixo calao
acl palavras_proibidas url_regex -i
"/etc/squid3/acls/palavras_proibidas"
acl palavras_liberadas url_regex -i
"/etc/squid3/acls/palavras_liberadas"
#acl maquinas_proibidas src"/etc/squid3/acls/maquinas_proibidas"
#acl maquinas_liberadas src
"/etc/squid3/acls/maquinas_liberadas"
Espero que te ajude
5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12
29/34
13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 29/34
#45escrito por Nerd 3 MESES ATRS
Valeu pela contribuio Gustavo.
Nerd.
#46escrito por Nerd 3 MESES ATRS
Valeu pela dica Mr. Emerson!
Com relao ao problema das janelas de autenticao eu
raramente tenho problemas com elas.
Elas aparecem de vez em quando, mas diria que chego a
passar mais de uma semana sem as v-las.
Nerd
#47escrito por Mr. Emerson 3 SEMANAS ATRS
Nerd estou com problemas srios com alguns peridicos do Capes. Aquimuita gente faz uso desses peridicos e alguns no esto abrindo.
Comecei a estudar os links e percebi que o Capes encapsula todos os
links de peridicos externos dentro do domnio periodicos.capes.gov.br,
e a est o problema.
No sei porque cargas d'guas o endereo periodicos.capes.gov.br e
seus derivados no aparecem no log do Squid. Eu deixo aquele script de
log aberto fazendo grep no meu ip e todos os sites que acesso so
e