FreeBSD Proxy squid autenticado com o Actvie Directory por ntlm auth

By Saul Figueiredo, 14 de Outubro de 2011. Escrevi este artigo para aqueles que, como eu, encontraram muitas dificuldades - e poucas informaes sobre - em autenticar um FreeBSD Proxy squid com o Active Directory via ntlm.

Informaes relevantes antes de dar incio a este artigo

- Verso do FreeBSD utilizada nesse artigo: FreeBSD freebsd.mydomain.com 8.2-RELEASE FreeBSD 8.2-RELEASE - Toda coleo do ports instalada; - Acesso a internet; - Espao em disco da partio /usr deve ter no mnimo 10Gb de tamanho. - Alguns comandos ou opes so diferentes dos utilizados pelo Linux (net ads join por exemplo), atente-se a isso.

1. Instalando o squid
1.1. Para instalar:

1.2. O make config, trar um tela semelhante as abaixo. Marque exatamente essas opes:

1.3. Depois de marcadas, selecione OK e faa o que est abaixo:

OBS: Se voc est usando a mesma verso do FreeBSD que usei, com toda a coleo do ports instalada e com acesso a internet, o passo acima ser concludo com sucesso. Caso acontea algum problema durante, interprete a mensagem e corra atraz da soluo.

2. Configurando o kerberos
2.1. Configurando o /etc/resolv.conf

onde intranet.abc o nome netbios do seu domnio e 192.168.0.21 o nome do seu servidor DNS. 2.2. Quando o squid foi configurado no passo 1, marcamos algumas opes, e dentre elas estava uma, que instalava o servio bsico do Kerberos. Quando o kerberos instalado por outro aplicativo, como o squid neste caso, ele no cria o arquivo de configurao /etc/krb5.conf. Vamos cria-lo aqui com a seguinte configurao:

Onde intranet.abc o nome netbios do meu domnio local e mandachuva.intranet.abc o nome do meu controlador de domnio, o AD.

3. Instalao do samba
3.1 A instalao do samba a seguir:

Marque as opes exatamente como abaixo:

Depois de marcadas as opes necessrias, selecione ok vamos instalar o samba.

OBS: Se voc est usando a mesma verso do FreeBSD que usei, com toda a coleo do ports instalada e com acesso a internet, o passo acima ser concludo com sucesso. Caso acontea algum problema durante, interprete a mensagem e corra atraz da soluo. 3.2 Arquivo de configurao do samba: smb.conf

Onde INTRANET.ABC o nome netbios do seu domnio; ABC o nome do domnio; e 192.168.0.21 o meu servidor AD (active directory) e FREEBSD o nome netbios do FreeBSD. OBS: O AD DEVER ter o servidor wins instalado.

Para conseguir iniciar o samba, ser necessrio habilita-lo no /etc/rc.conf:

Depois disso voc conseguir iniciar o samba:

Nesta etapa, o winbind tambm dever conseguir funcionar normalmente, pois ele gerenciado pelo samba.

4. Adicionando o servidor ao domnio e testes na configurao do winbind

4.1. Para colocar o FreeBSD no domnio, use o comando abaixo:

OBS: mandachuva.intranet.abc o meu servidor AD e suporte o meu usurio com privilegio de colocar maquinas no domnio. OBS: Veja que o comando net aqui um pouco diferente do utilizado pelo Linux

4.2. Testando o winbind. Retire os comandos grep que eu inclu nas imagens. S os coloquei para filtrar os usurios

wbinfo t wbinfo u wbinfo g

Verifica se a integrao com o domnio foi bem sucedida; Dever retornar todos os usurios do seu domnio; Dever retornar todos os grupos do domnio;

4.3. Se os passos anteriores deram certo, vamos a parte legal da historia agora: A configurao do squid.conf

5. Squid.conf Configurao da autenticao e das regras mais bsicas

5.1 Antes de comearmos a trabalhar com o squid, bom que voc no tenha se esquecido de habilita-lo no rc.conf. Segue abaixo o exemplo do meu arquivo /etc/rc.conf para que tudo o que voc fez nesse artigo funcione:

Se est como acima, estar tudo ok.

5.2 Diretrio dos arquivos de configurao do squid

O arquivo squid.conf ficar assim: Parte 1

Onde ABC o nome do domnio (nome no netbios) e MANDAHUVA o meu servidor AD

Parte 2

Essa a regra NEGA acesso a internet caso no haja autenticao

E aps verificar a autenticao, ele libera os usurios ou blqoueia:

Essas regras so apenas o bsico, voc poder tambm fazer algo do tipo:

Onde BlackList uma lista de sites que no devem ser acessados.

- ATENO Os arquivos com os usurios ficaram com essa sintaxe:

nomedodomnio\nomedousuario ex: