Você está na página 1de 34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Sobre Suporte em TI

Incio

Sobre

Contato

Doao

Internet Explorer 10 e Windows 7: Falha


geral ao rodar sysprep

55 Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)
8 MESES ATRS por Nerd em Linux, Tutoriais 1

Pesquisar...

Compartilhar / Favoritos
J escrevi outros tutoriais sobre 3 como autenticar o Tw eetar Ubuntu no Active Directory (AD) e como configurar o Squid para se aproveitar dessa autenticao e criar regras baseadas em grupos do AD. Recebi vrios pedidos sobre como integrar o SquidGuard ao Squid autenticando no AD e criando regras por grupos. Este tutorial trata justamente desta integrao. A ideia aproveitar as credenciais dos usurios do AD, que j fizeram a autenticao no Windows e permitir que eles se autentiquem no Squid sem precisar digitar nenhuma senha.

Windows 7 Sysprep: Criao de uma imagem de instalao personalizada (322) O objetivo deste artigo demonstrar como gerar uma imagem personalizada para instalao em massa do Windows 7. Aps concluir todos os []
3 ANOS ATRS

Alm disso os usurios sero includos em grupos do AD e as regras do Squid ser configuradas para dar privilgios de acesso para estes grupos. A sugesto aqui a criao de 3 grupos de acesso: Internet_Acesso_Completo, Internet_Acesso_Padrao e Internet_Acesso_Bloqueado. Dessa forma o Squid gerencia os privilgios de cada grupo e fornece o acesso de acordo com o grupo que o usurio pertena. Uma vez implementada a soluo, a ideia que no seja necessrio modificar regras no Squid, DansGuardian ou SquidClamAV, bastando somente incluir os usurios

Squid 3 (Ubuntu 10.04 LTS) autenticando no Active Directory (Windows 2008) (234) Este artigo faz parte do tutorial Proxy Squid no Ubuntu com autenticao NTLM no Windows 2008 e regras baseadas em Grupos do AD. A idia []
2 ANOS ATRS

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

1/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

no grupo de acesso desejado. Os privilgios dos grupos ficaro assim: 1. O grupo Internet_Acesso_Completo no ser bloqueado pelo SquidGuard e poder acessar qualquer URL. 2. Os usurios membros do grupo Internet_Acesso_Padrao tero os acessos restringidos pelas regras do Squid e todo seu acesso ser filtrado pelas regras do SquidGuard. 3. Por fim o grupo Internet_Acesso_Bloqueado no ter acesso a nada, no podendo navegar na Internet. Tambm sero criadas um conjunto de arquivos que iro conter sites proibidos, permitidos mediante autenticao e permitidos sem necessidade de autenticao, alm de computadores liberados e proibidos de navegar utilizando o proxy. Observao: Outro popular software de filtro de sites por categoria o DansGuardian. Ele funciona muito bem e tem uma comunidade bastante ativa. Preferi utilizar o SquidGuard pois da forma como o DansGuardian trabalha, todo o fluxo do proxy precisa antes passar por ele para s depois ser encaminhado para o Squid tratar. Desta forma todas as regras de liberao para grupos especficos deveriam ser realizados no SquidGuard e a soluo acabaria ficando limitada. Acredito que com o SquidGuard a flexibilidade seja maior. Utilizando o WinPE 3.0 para backup e instalao do Windows 7 (217) O WinPE (Windows Preinstallation Environment) uma verso reduzida do Windows destinada especificamente para preparar um computador para []
3 ANOS ATRS

OpenVPN Servidor Ubuntu e Clientes Windows e Linux (164)

Tags

Active Directory
Arquivo de Resposta

Pr-Requisitos
Servidor Linux Ubuntu 12.04 LTS ou superior previamente instalado. Servidor de DNS configurado (/etc/resolv.conf) e apontando para um servidor de DNS do domnio Active Directory Privilgios de administrador (root) no Linux instalado. Domnio Active Directory (AD) baseado em Windows 2000, 2003 ou 2008 j instalado e operando. Credenciais com privilgios para criao de grupos no AD.

Compartilhamento de Arquivos drivers e-DOC

backup Boot de Rede

arquivos

firewall GPO Java KB980436

imagex

Linux

MBOX Outlook Express Postfix

Proxy PXE redes SSL sysprep TLS

Resumo
So estes os passos que iremos seguir: A. Autenticao Ubuntu 12.04 LTS no Active Directory (Windows 2008) B. Instalao e Configurao do Squid 3 C. Instalao e Configurao do SquidGuard D. Observaes e Dicas

shorewall Squid ssh

Ubuntu

VMware

WAIK WDS Windows

Tutorial
Vamos colocar a mo na massa.

Windows 7
Windows 2003

A. Autenticao Ubuntu 12.04 LTS no Active Directory (Windows 2008)


O servidor linux pode ter IP fixo ou DHCP. claro que para utilizao como servidor Squid recomendvel a utilizao de IP fixo. Alm disso necessrio que o seu(s) servidor(es) DNS esteja(m) corretamente configurado(s) no arquivo /etc/resolv.conf. Recomendo atualizar seu Ubuntu, antes de comear, utilizando os comandos abaixo: 1 2 s u d oa p t g e tu p d a t e s u d oa p t g e td i s t u p g r a d e

Windows 2008 Windows XP WinPE

Reinicie o computador para que o novo kernel seja atualizado (se necessrio). 1 s u d or e b o o t
2/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Instale os pacotes libkrb5-3, krb5-config, samba, winbind e ntp utilizando o comando abaixo: 1 s u d oa p t g e ti n s t a l ll i b k r b 5 3k r b 5 c o n f i gs a m b aw i n b i n dn t p

Pare os servios samba e winbind: 1 2 s u d os e r v i c es m b ds t o p s u d os e r v i c ew i n b i n ds t o p

Limpe a pasta de cache do samba: 1 s u d or mr f/ v a r / l i b / s a m b a / *

Configure o Kerberos alterando o contedo do arquivo /etc/krb5.conf pelo apresentado abaixo. Lembre-se de substituir DOMINIO.COM.BR e dominio.com.br pelo nome FQDN de seu domnio Active Directory nas linhas em destaque. 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 [ l i b d e f a u l t s ] d e f a u l t _ r e a l m=D O M I N I O . C O M . B R t i c k e t _ l i f e t i m e=2 4 0 0 0 d n s _ l o o k u p _ r e a l m=f a l s e d n s _ l o o k u p _ k d c=f a l s e [ r e a l m s ] D O M I N I O . C O M . B R={ k d c=d o m i n i o . c o m . b r : 8 8 a d m i n _ s e r v e r=d o m i n i o . c o m . b r : 7 4 9 d e f a u l t _ d o m a i n=d o m i n i o . c o m . b r } [ d o m a i n _ r e a l m ] . d o m i n i o . c o m . b r=D O M I N I O . C O M . B R d o m i n i o . c o m . b r=D O M I N I O . C O M . B R [ l o g i n ] k r b 4 _ c o n v e r t=t r u e k r b 4 _ g e t _ t i c k e t s=f a l s e [ l o g g i n g ] k d c=F I L E : / v a r / l o g / k r b 5 k d c . l o g a d m i n _ s e r v e r=F I L E : / v a r / l o g / k a d m i n . l o g d e f a u l t=F I L E : / v a r / l o g / k r b 5 l i b . l o g

Edite o arquivo /etc/ntp.conf, comente todas as linhas iniciardas com server, mantendo apenas uma apontando para seu domnio. Voc pode apontar para um servidor NTP de sua rede ou outro qualquer de preferncia. 1 s e r v e rd o m i n i o . c o m . b r

Reinicie o servio ntp e verifique se a data e hora esto corretos: 1 2 s u d os e r v i c en t pr e s t a r t d a t e

Configure o Samba/Winbind, editando o arquivo /etc/samba/smb.conf e substituindo seu contedo conforme abaixo. Lembre-se de substituir HOSTNAME pelo nome de seu servidor linux e alterar DOMINIO, DOMINIO.COM.BR e dominio.com.br para o FQDN de seu domnio nas linhas em destaque. 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 [ g l o b a l ] r e a l m=D O M I N I O . C O M . B R w o r k g r o u p=D O M I N I O n e t b i o sn a m e=H O S T N A M E s e r v e rs t r i n g=% hs e r v e r s e c u r i t y=a d s a l l o wt r u s t e dd o m a i n s=n o i d m a pc o n f i gD O M I N I O :d e f a u l t=y e s i d m a pc o n f i gD O M I N I O :b a c k e n d=r i d i d m a pc o n f i gD O M I N I O :r e a d o n l y=y e s i d m a pc o n f i gD O M I N I O :r a n g e =1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 i d m a pa l l o cc o n f i g :r a n g e=1 0 0 0 0 0 0 1 0 0 0 0 0 0 0
3/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 3 5 3 6 3 7 3 8 3 9 4 0

i d m a pu i d=1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 i d m a pg i d=1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 t e m p l a t es h e l l=/ b i n / b a s h t e m p l a t eh o m e d i r=/ h o m e / % U w i n b i n du s ed e f a u l td o m a i n=y e s w i n b i n de n u mu s e r s=y e s w i n b i n de n u mg r o u p s=y e s w i n b i n dn e s t e dg r o u p s=y e s l o a dp r i n t e r s=n o d o m a i nm a s t e r=n o p r e f e r r e dm a s t e r=n o d o m a i nl o g o n s=n o w i n ss u p p o r t=n o w i n sp r o x y=n o d n sp r o x y=n o p a s s w o r ds e r v e r=d o m i n i o . c o m . b r # C o m p a r t i l h a m e n t oH o m e [ h o m e s ] c o m m e n t=C o m p a r t i l h a m e n t oH o m e b r o w s e a b l e=n o w r i t a b l e=y e s r e a do n l y=n o c r e a t em a s k=0 6 6 4 d i r e c t o r ym a s k=0 7 7 5

Substitua o contedo do arquivo /etc/nsswitch.conf pelo abaixo, para configurar o Linux para considerar o winbind para senhas e grupos. 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 p a s s w d : g r o u p : s h a d o w : h o s t s : n e t w o r k s : p r o t o c o l s : s e r v i c e s : e t h e r s : r p c : n e t g r o u p : c o m p a tw i n b i n d c o m p a tw i n b i n d c o m p a t f i l e sd n s f i l e s d bf i l e s d bf i l e s d bf i l e s d bf i l e s n i s

Para que estas configuraes (nsswitch) tenham efeito, execute o comando ldconfig: 1 s u d ol d c o n f i g

Ajuste o nome do host no arquivo /etc/hosts conforme abaixo, alterando nome-do-host e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domnio: 1 2 1 2 7 . 0 . 0 . 1 1 2 7 . 0 . 0 . 1 l o c a l h o s t n o m e d o h o s t . d o m i n i o . c o m n o m e d o h o s t

Se o computador estiver utilizando DHCP, ajuste o nome do host para que seja registrado automaticamente no DNS, incluindo ou alterando as linhas abaixo no arquivo /etc/dhcp/dhclient.conf. Lembre-se de alterar nome-do-host e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domnio. 1 2 3 4 s e n dh o s t n a m e" n o m e d o h o s t . d o m i n i o . c o m " ; r e q u e s ts u b n e t m a s k ,b r o a d c a s t a d d r e s s ,t i m e o f f s e t ,r o u t e r s , d o m a i n n a m e ,d o m a i n n a m e s e r v e r s ,h o s t n a m e , n e t b i o s n a m e s e r v e r s ,n e t b i o s s c o p e ,i n t e r f a c e m t u ;

Adicione o Linux no dominio executando o comando abaixo. Substitua usurio pela sigla de um usurio com privilgios para adicionar computadores no domnio. 1 s u d on e ta d sj o i nUu s u a r i o

Sua senha ser solicitada. O resultado da execuo ser algo semelhante ao abaixo: 1 2 3 4 E n t e ru s u a r i o s ' sp a s s w o r d : U s i n gs h o r td o m a i nn a m e-D O M I N I O J o i n e d' H O S T N A M E 't or e a l m' d o m i n i o . c o m . b r ' D N Su p d a t ef a i l e d !
4/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

No se preocupe com a mensagen DNS update failed!. Ela aparecer se o seu dominio no estiver configurado para aceitar atualizaes de DNS no autenticadas. Simplesmente ignore esta mensagem. Inicie os servios samba e winbind: 1 2 s u d os e r v i c es m b ds t a r t s u d os e r v i c ew i n b i n ds t a r t

Verifique se a resoluo de nomes esta funcionando corretamente. Caso no esteja reveja os passos realizados acima. 1 2 3 w b i n f o u w b i n f o g w b i n f o iu s u a r i o

Se tudo est funcionando corretamente, configure a autenticao do Linux, alterando os arquivos abaixo. Provavelmente o contedo j estar correto. Apenas certifique-se de que est tudo OK e altere o que estiver diferente. Alternativamente voc pode fazer estas configuraes de forma automtica executando o comando abaixo e marcando as opes Unix authentication e Winbind NT/Active Directory authentication: 1 s u d op a m a u t h u p d a t e

Contedo do arquivo /etc/pam.d/common-account: 1 2 3 4 a c c o u n t[ s u c c e s s = 2n e w _ a u t h t o k _ r e q d = d o n ed e f a u l t = i g n o r e ] a c c o u n t[ s u c c e s s = 1n e w _ a u t h t o k _ r e q d = d o n ed e f a u l t = i g n o r e ] a c c o u n tr e q u i s i t e p a m _ d e n y . s o a c c o u n tr e q u i r e d p a m _ p e r m i t . s o p a m _ u n i x . s o p a m _ w i n b i n d . s o

Contedo do arquivo /etc/pam.d/common-auth: 1 2 3 4 a u t h a u t h a u t h a u t h [ s u c c e s s = 2d e f a u l t = i g n o r e ] [ s u c c e s s = 1d e f a u l t = i g n o r e ] r e q u i s i t e r e q u i r e d

p a m _ u n i x . s on u l l o k _ s e c u r e p a m _ w i n b i n d . s ok r b 5 _ a u t hk r b 5 _ c c a c h e _ t y p e = F I L Ec a c h e d _ l o g i nt r y _ f i r s t _ p a m _ d e n y . s o p a m _ p e r m i t . s o

Contedo do arquivo /etc/pam.d/common-session. Ser necessrio incluir a linha destacada, conforme abaixo. Esta alterao ir criar a pasta home do usurio automaticamente no primeiro logon. 1 2 3 4 5 6 s e s s i o n[ d e f a u l t = 1 ] s e s s i o nr e q u i s i t e s e s s i o nr e q u i r e d s e s s i o nr e q u i r e d s e s s i o nr e q u i r e d s e s s i o no p t i o n a l p a m _ p e r m i t . s o p a m _ d e n y . s o p a m _ p e r m i t . s o p a m _ u n i x . s o p a m _ m k h o m e d i r . s os k e l = / e t c / s k e l / p a m _ w i n b i n d . s o

Se voc quiser restringir o acesso via SSH para um grupo de usurios, crie um grupo global no AD e inclua os usurios permitidos a acessar o servidor Linux neste grupo, por exemplo administradores_linux. Altere o arquivo /etc/ssh/sshd_config e inclua no final do mesmo a seguinte linha: 1 A l l o w G r o u p sa d m i na d m i n i s t r a d o r e s _ l i n u x

O grupo admin opcional e permite o logon dos usurios locais que esto no grupo admin. Por padro o primeiro usurio criado no Ubuntu no momento da instalao ter este privilgio. Como boa prtica de segurana, evite que o root faa logon via ssh, atlerando a linha abaixo no arquivo /etc/ssh/sshd_config: 1 P e r m i t R o o t L o g i nn o

Se desejar voc pode incluir a linha abaixo no arquivo /etc/sudoers para permitir que os usurios membros do grupo administradores_linux possam executar comandos com privilgios de root.
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 5/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

% a d m i n i s t r a d o r e s _ l i n u xA L L = ( A L L )A L L

Se tudo estiver correto voc ser capaz de fazer login no servidor utilizando as credenciais de um usurio membro do grupo administradores_linux.

B. Instalao e Configurao do Squid 3


B1. Instalao do Squid 3
Instale o Squid 3 executando o comando abaixo: 1 s u d oa p t g e ti n s t a l ls q u i d 3

D permisso para o usurio proxy (que o usurio que roda o squid3) ler o contedo da pasta /var/run/samba/winbindd_privileged, incluindo-o no grupo winbindd_priv: 1 u s e r m o daGw i n b i n d d _ p r i vp r o x y

Substitua o contedo do arquivo /etc/squid3/squid.conf pelo mostrado abaixo. Ateno para as linhas destacadas. Elas devem ser alteradas para refletir a realidade de seu ambiente. 0 0 1 0 0 2 0 0 3 0 0 4 0 0 5 0 0 6 0 0 7 0 0 8 0 0 9 0 1 0 0 1 1 0 1 2 0 1 3 0 1 4 0 1 5 0 1 6 0 1 7 0 1 8 0 1 9 0 2 0 0 2 1 0 2 2 0 2 3 0 2 4 0 2 5 0 2 6 0 2 7 0 2 8 0 2 9 0 3 0 0 3 1 0 3 2 0 3 3 0 3 4 0 3 5 0 3 6 0 3 7 0 3 8 0 3 9 0 4 0 0 4 1 0 4 2 0 4 3 0 4 4 0 4 5 0 4 6 0 4 7 0 4 8 0 4 9 0 5 0 0 5 1 0 5 2 #/ e t c / s q u i d 3 / s q u i d . c o n f # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #P o r t a s( p a d r o3 1 2 8 ) h t t p _ p o r t3 1 2 8 # H a b i l i t a rd e b u g # d e b u g _ o p t i o n s2 8 , 3 # C o n f i g u r a e sd eC a c h e #t i p od ec a c h e( a u f s ) ,p a s t ar a i z ,t a m a n h oe mM B ,d i r e t o r i o sp a i s ,d i r e t o r i o se mc a d ad i r e t o r i o c a c h e _ d i ra u f s/ v a r / s p o o l / s q u i d 38 1 9 61 62 5 6 #T a m a n h od ac a c h ep a r ao b e j t o s c a c h e _ m e m2G B #T a m a n h om x i m od o so b j e t o sq u es e r os a l v o se md i s c o m a x i m u m _ o b j e c t _ s i z e1 3 1 0 7 0K B #T a m a n h om i n i m od o so b j e t o sq u es e r os a l v o se md i s c o m i n i m u m _ o b j e c t _ s i z e0K B #N m e r od ee n t r a d a sn at a b e l ad ec a c h ed ec o n v e r s od eI Pp a r aF Q D N i p c a c h e _ s i z e1 6 3 8 4 #P e r c e n t a g e md ec a c h eb a i x a-p a d r o9 0 i p c a c h e _ l o w9 0 #P e r c e n t a g e md ec a c h eb a i x a-p a d r o9 5 i p c a c h e _ h i g h9 5 #m a n t e rm e m r i aa l o c a d aen ou s a d a ,p a r an op r e c i s a rr e a l o c a rq u a n d of o ru s a r m e m o r y _ p o o l so n #N m e r od ee n t r a d a sn at a b e l ad ec a c h ed eD N S f q d n c a c h e _ s i z e1 6 3 8 4 #t a m a n h om x i m od o so b j e t o sg u a r d a d o sn ac a c h e m a x i m u m _ o b j e c t _ s i z e _ i n _ m e m o r y8M B #G e r a rr e s u m od ec a c h e- t i ls o m e n t eq u a n d oe x i s t e ms q u i d sp a r c e i r o sd e s t es q u i d d i g e s t _ g e n e r a t i o no f f #C o n f i g u r a e sg e r a i s #C o m ot r a t a roX F o r w a r e d F o rn oc a b e a l h oH T T P f o r w a r d e d _ f o ro f f # l o g a rp a r a m e t r o sd a sU R L ' s s t r i p _ q u e r y _ t e r m so n #F o r aI E5 . 5o ua n t e i o rab u s c a rn o v a sp g i n a sd os e r v i d oe mc a s od er e f r e s h i e _ r e f r e s ho n # D e t e c t ar e s p o s t a sq u e b r a d a sd ec o n e x e sp e r s i s t n e sea s s u m aq u eor e p l yf o ie n v i a d oa p o s1 0s e g u n d o s d e t e c t _ b r o k e n _ p c o n no n # T e n t ae x e c u t a ra t 2r e q u i s i e se mp a r a l e l o-P o d eq u e b r a ra u t e n t i c a oN T L M / K e r b e r o s p i p e l i n e _ p r e f e t c ho f f #C o n t i n u ab a i x a n d or e q u i s i e sa b o r t a d a s q u i c k _ a b o r t _ m i n1K B #c o n t i n u ab a i x a n d or e q u s i e sa b o r t a d a sa t ol i m i t ed e1 6 K B q u i c k _ a b o r t _ m a x1 6K B #Q u a n t ot e m p om a n t e rc a c h ed eD N S p o s i t i v e _ d n s _ t t l5m i n u t e #F e c h a rc o n e x e sT C Pi m e d i a t a m e n t e h a l f _ c l o s e d _ c l i e n t so f f
6/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

0 5 3 0 5 4 0 5 5 0 5 6 0 5 7 0 5 8 0 5 9 0 6 0 0 6 1 0 6 2 0 6 3 0 6 4 0 6 5 0 6 6 0 6 7 0 6 8 0 6 9 0 7 0 0 7 1 0 7 2 0 7 3 0 7 4 0 7 5 0 7 6 0 7 7 0 7 8 0 7 9 0 8 0 0 8 1 0 8 2 0 8 3 0 8 4 0 8 5 0 8 6 0 8 7 0 8 8 0 8 9 0 9 0 0 9 1 0 9 2 0 9 3 0 9 4 0 9 5 0 9 6 0 9 7 0 9 8 0 9 9 1 0 0 1 0 1 1 0 2 1 0 3 1 0 4 1 0 5 1 0 6 1 0 7 1 0 8 1 0 9 1 1 0 1 1 1 1 1 2 1 1 3 1 1 4 1 1 5 1 1 6 1 1 7 1 1 8 1 1 9 1 2 0 1 2 1 1 2 2 1 2 3 1 2 4 1 2 5 1 2 6 1 2 7 1 2 8 1 2 9 1 3 0 1 3 1 1 3 2 1 3 3 1 3 4

#t i m e o u td el e i t u r ad ed a d o s r e a d _ t i m e o u t2 4 0s e c o n d #t i m e o u td ec o n e x e sp e r s i s t e n t e s p c o n n _ t i m e o u t2 4 0s e c o n d #E m a i ld oa d m i n i s t r a d o r c a c h e _ m g ra d m i n s q u i d @ d o m i n i o . c o m . b r #H o s tv i s v e l v i s i b l e _ h o s t n a m ep r o x y s q u i d . d o m i n i o . c o m . b r #L i n g u a g e md o se r r o s e r r o r _ d i r e c t o r y/ u s r / s h a r e / s q u i d 3 / e r r o r s / p t b r #E v i t aq u es e j a mf e i t o sc o r e d u m p s . c o r e d u m p _ d i r/ v a r / s p o o l / s q u i d 3 #N u m e r od ea r q u i v o sd el o gr o t a c i o n a d o sag u a r d a r . l o g f i l e _ r o t a t e1 2 0 #T e m p op a r aa g a u r d a rof e c h a m e n t od ec o n e x o e sd u r a n t ee n c e r r a m e n t od os q u i d s h u t d o w n _ l i f e t i m e1s e c o n d #p a l a v r a sq u es e r t r a t a d a sd i r e t a m e n t ep o re s s es q u i d ,o us e j a ,n os e r or e p a s s a d a sp a r av i z i n h o s h i e r a r c h y _ s t o p l i s tc g i b i n? #D o m i n i op a d r od eb u s c a # a p p e n d _ d o m a i n. d o m i n i o . c o m . b r #P a d r od er e f r e s hd ec a c h ep a r aa l g u n ss i t e s #r e f r e s h _ p a t t e r n[ i ]r e g e xm i np e r c e n tm a x[ o p t i o n s ] #i:r e g u l a re x p r e s s i o n ac a s e i n s e n s i t i v e #r e g e x :E x p r e s s or e g u l a rab u s c a r #m i n :t e m p o( e mm i n u t o s )q u eu mo b j e t os e r c o n s i d e r a d on o v o #p e r c e n t :%d ai d a d ed oo b j e t oq u ec o n s i d e r a d on o v o #m a x :l i m i t em x i m oq u eo so b j e t o ss e mt e m p od ee x p i r a re x p l i c i t os e r oc o n s i d e r a d o sn o v o s r e f r e s h _ p a t t e r nih t t p . * \ . g o v . b r / . * 7 2 01 0 0 % 7 2 0 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . g l o b o . c o m / . * 7 2 01 0 0 % 7 2 0 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . t e r r a . c o m . b r / . * 7 2 01 0 0 % 7 2 0 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . g o o g l e . * / . * 7 2 01 0 0 %1 0 0 8 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . m s n . * / . * 7 2 01 0 0 %1 0 0 8 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . u o l . c o m . * / . * 7 2 01 0 0 %1 0 0 8 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . b o l . c o m . * / . * 7 2 01 0 0 %1 0 0 8 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r nih t t p . * \ . l y r i c s p l u g i n . c o m . * / . * 7 2 01 0 0 %1 0 0 8 0r e l o a d i n t o i m s r e f r e s h _ p a t t e r n^ f t p :1 4 4 02 0 %1 0 0 8 0 r e f r e s h _ p a t t e r n^ g o p h e r :1 4 4 00 %1 4 4 0 r e f r e s h _ p a t t e r n.02 0 %4 3 2 0 #L o g s # l o g f o r m a tc o m b i n e d% > a% u i% u n[ % t l ]" % r m% r uH T T P / % r v "% H s% #L o gd ea c e s s o a c c e s s _ l o g/ v a r / l o g / s q u i d 3 / a c c e s s . l o g #L o gd ec a c h e c a c h e _ l o g / v a r / l o g / s q u i d 3 / c a c h e . l o g #p a s t ap a r aa r q u i v od ed u m p c o r e d u m p _ d i r/ v a r / s p o o l / s q u i d 3 #c o m p o r t a m e n t ep a r ae s p a oe mb r a n c on a sU R L s u r i _ w h i t e s p a c ea l l o w

#S e r v i d o r e sd eD N Sas e r e mu t i l i z a d o s-S en of o re s p e c i f i c a d o ,ov a l o rd e/ e t c / r e s o l . c o n fs e r u t i l i z a d o # d n s _ n a m e s e r v e r s1 9 2 . 1 6 8 . 0 . 1 #A u t e n t i c a on oW i n d o w s2 0 0 8 a u t h _ p a r a mn t l mp r o g r a m/ u s r / b i n / n t l m _ a u t hh e l p e r p r o t o c o l = s q u i d 2 . 5 n t l m s s p a u t h _ p a r a mn t l mc h i l d r e n3 0 a u t h _ p a r a mn t l mk e e p _ a l i v eo n a u t h _ p a r a mb a s i cp r o g r a m/ u s r / b i n / n t l m _ a u t hh e l p e r p r o t o c o l = s q u i d 2 . 5 b a s i c a u t h _ p a r a mb a s i cc h i l d r e n5 a u t h _ p a r a mb a s i cr e a l mP r o x yS q u i d-D i g i t es u a sc r e d e n c i a i s a u t h _ p a r a mb a s i cc r e d e n t i a l s t t l5h o u r s #A C L s #a c l sd eo r i g e m #r e d el o o p b a c k a c ll o c a l h o s ts r c1 2 7 . 0 . 0 . 1 / 3 2 #R e d el o c a l a c lr e d e _ l o c a ls r c1 9 2 . 1 6 8 . 0 . 0 / 2 4 #a c l sd ed e s t i n o # a c la l l D e s td s t0 . 0 . 0 . 0 / 0 . 0 . 0 . 0 # a c lt o _ l o c a l h o s td s t1 2 7 . 0 . 0 . 0 / 8 #p o r t a ss e g u r a s a c lS S L _ p o r t sp o r t4 4 3 a c lS S L _ p o r t sp o r t8 1 8 0 a c lS S L _ p o r t sp o r t8 4 4 3 #D e m a i ss e r v i o s


7/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

1 3 5 1 3 6 1 3 7 1 3 8 1 3 9 1 4 0 1 4 1 1 4 2 1 4 3 1 4 4 1 4 5 1 4 6 1 4 7 1 4 8 1 4 9 1 5 0 1 5 1 1 5 2 1 5 3 1 5 4 1 5 5 1 5 6 1 5 7 1 5 8 1 5 9 1 6 0 1 6 1 1 6 2 1 6 3 1 6 4 1 6 5 1 6 6 1 6 7 1 6 8 1 6 9 1 7 0 1 7 1 1 7 2 1 7 3 1 7 4 1 7 5 1 7 6 1 7 7 1 7 8 1 7 9 1 8 0 1 8 1 1 8 2 1 8 3 1 8 4 1 8 5 1 8 6 1 8 7 1 8 8 1 8 9 1 9 0 1 9 1 1 9 2 1 9 3 1 9 4 1 9 5 1 9 6 1 9 7 1 9 8 1 9 9 2 0 0 2 0 1 2 0 2 2 0 3 2 0 4 2 0 5 2 0 6 2 0 7 2 0 8 2 0 9 2 1 0 2 1 1 2 1 2 2 1 3 2 1 4 2 1 5 2 1 6

a c lS a f e _ p o r t sp o r t8 0#h t t p a c lS a f e _ p o r t sp o r t8 1#h t t p a c lS a f e _ p o r t sp o r t2 0 2 1#f t p a c lS a f e _ p o r t sp o r t7 0#g o p h e r a c lS a f e _ p o r t sp o r t4 4 35 6 3#h t t p s ,s n e w s a c lS a f e _ p o r t sp o r t2 1 0#w a i s a c lS a f e _ p o r t sp o r t2 8 0#h t t p m g m t a c lS a f e _ p o r t sp o r t4 8 8#g s s h t t p a c lS a f e _ p o r t sp o r t5 9 1#f i l e m a k e r a c lS a f e _ p o r t sp o r t7 7 7#m u l t i l i n gh t t p a c lS a f e _ p o r t sp o r t9 0 1#S W A T a c lS a f e _ p o r t sp o r t8 0 8 0#h t t p a c lS a f e _ p o r t sp o r t8 0 8 1#h t t p a c lS a f e _ p o r t sp o r t8 0 8 2#h t t p a c lS a f e _ p o r t sp o r t8 0 8 8#h t t p a c lS a f e _ p o r t sp o r t8 1 8 0#h t t p a c lS a f e _ p o r t sp o r t3 4 5 6#r e c e i t af e d e r a l-i r p f a c lS a f e _ p o r t sp o r t3 0 0 1#d i a r i oo f i c i a l #a c l sd e f a u l ts q u i d a c lp u r g em e t h o dP U R G E a c lC O N N E C Tm e t h o dC O N N E C T a c lP O S Tm e t h o dP O S T #a c lp a r ao b t e rg r u p o sd oA D e x t e r n a l _ a c l _ t y p eg r u p o _ A Di p v 4t t l = 6 0% L O G I N/ u s r / l i b / s q u i d 3 / w b i n f o _ g r o u p #G r u p o sd oA D a c la c e s s o _ c o m p l e t o e x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ C o m p l e t o a c la c e s s o _ p a d r a o e x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ P a d r a o a c la c e s s o _ b l o q u e a d oe x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ B l o q u e a d o #a c l sd es e g u r a n ap r o t e od oc a c h e a c lm a n a g e rp r o t oc a c h e _ o b j e c t #a c lc o n t r o l a rs i t e s( s i t e s p r o i b i d o s ) a c ls i t e s _ p r o i b i d o sd s t d o m a i ni" / e t c / s q u i d 3 / a c l s / s i t e s _ p r o i b i d o s " a c ls i t e s _ l i b e r a d o sd s t d o m a i ni" / e t c / s q u i d 3 / a c l s / s i t e s _ l i b e r a d o s " a c ls i t e s _ l i b e r a d o s _ s e m _ a u t hd s t d o m a i n i" / e t c / s q u i d 3 / a c l s / s i t e s _ l i b e r a d o s _ s e m _ a u t e n t i c a c a o " #a c lc o n t r o l a rp a l a v r a sd es e x o ,b a i x oc a l o ,e t c a c lp a l a v r a s _ p r o i b i d a su r l _ r e g e xi" / e t c / s q u i d 3 / a c l s / p a l a v r a s _ p r o i b i d a s " a c lp a l a v r a s _ l i b e r a d a su r l _ r e g e xi" / e t c / s q u i d 3 / a c l s / p a l a v r a s _ l i b e r a d a s " a c lm a q u i n a s _ p r o i b i d a ss r c" / e t c / s q u i d 3 / a c l s / m a q u i n a s _ p r o i b i d a s " a c lm a q u i n a s _ l i b e r a d a ss r c" / e t c / s q u i d 3 / a c l s / m a q u i n a s _ l i b e r a d a s " a c li t u n e s _ b r o w s e rb r o w s e ri T u n e s . * a c lm s _ c r y p t o a p i _ b r o w s e rb r o w s e rM i c r o s o f t C r y p t o A P I . * #a c lc o n t r o l a rh o r r i od ee x p e d i e n t e # a c lh o r a r i o _ a l l o wu r l _ r e g e xi" / e t c / s q u i d 3 / h o r a r i o _ a l l o w " # a c lf o r a _ e x p e d i e n t et i m eM T W H F A2 0 : 0 1 2 3 : 5 9 # a c lf o r a _ e x p e d i e n t e 2t i m eM T W H F A0 0 : 0 0 0 5 : 5 9 #M e n s a g e md ee r r o sp e r s o n a l i z a d o sp a r aa l g u i m a sA C L s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ p r o i b i d o s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ l i b e r a d o s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ l i b e r a d o s _ s e m _ a u t h d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Sp a l a v r a s _ p r o i b i d a s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Sp a l a v r a s _ l i b e r a d a s d e n y _ i n f oA R Q _ M A Q U I N A S _ P R O I B I D A Sm a q u i n a s _ p r o i b i d a s d e n y _ i n f oA R Q _ M A Q U I N A S _ P R O I B I D A Sm a q u i n a s _ l i b e r a d a s d e n y _ i n f oA R Q _ A C E S S O _ B L O Q U E A D Oa c e s s o _ b l o q u e a d o d e n y _ i n f oA R Q _ P O R T A S _ P R O I B I D A SS a f e _ p o r t s d e n y _ i n f oA R Q _ P O R T A S _ P R O I B I D A SS S L _ p o r t s #H T T PA C C E S S #r e g r a sd a sa c l sd eo r i g e m-l i b e r ao sa d m i n i s t r a d o r e s # h t t p _ a c c e s sa l l o wa d m i n s h t t p _ a c c e s sa l l o ws i t e s _ l i b e r a d o s _ s e m _ a u t h #L i b e r ai T u n e s h t t p _ a c c e s sa l l o wi t u n e s _ b r o w s e r #L i b e r aM i c r o s o f tC r y p t oA P I h t t p _ a c c e s sa l l o wm s _ c r y p t o a p i _ b r o w s e r #r e g r a sd a sa c l sd ec o n t r o l e( b l o q u e i oep o l t i c a sd er e d e ) h t t p _ a c c e s sa l l o wm a n a g e rl o c a l h o s t
8/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

2 1 7 2 1 8 2 1 9 2 2 0 2 2 1 2 2 2 2 2 3 2 2 4 2 2 5 2 2 6 2 2 7 2 2 8 2 2 9 2 3 0 2 3 1 2 3 2 2 3 3 2 3 4 2 3 5 2 3 6 2 3 7 2 3 8 2 3 9 2 4 0 2 4 1 2 4 2 2 4 3 2 4 4 2 4 5 2 4 6 2 4 7 2 4 8 2 4 9 2 5 0 2 5 1 2 5 2 2 5 3 2 5 4 2 5 5 2 5 6 2 5 7 2 5 8 2 5 9 2 6 0 2 6 1 2 6 2 2 6 3 2 6 4 2 6 5 2 6 6 2 6 7 2 6 8 2 6 9 2 7 0 2 7 1

h t t p _ a c c e s sd e n ym a n a g e r h t t p _ a c c e s sa l l o wr e d e _ l o c a la c e s s o _ c o m p l e t o h t t p _ a c c e s sd e n ya c e s s o _ b l o q u e a d o #r e g r a sd a sa c l sd ep o r t a s-b l o q u e i at o d a sa sp o r t a sn ol i s t a d a s h t t p _ a c c e s sd e n y! S a f e _ p o r t s #b l o q u e i ac o n e x e sd a sp o r t a ss e g u r a sn ol i s t a d a s h t t p _ a c c e s sd e n yC O N N E C T! S S L _ p o r t s #c o n t r o l ed ea c e s s od es i t e sp r o i b i d o s h t t p _ a c c e s sd e n ys i t e s _ p r o i b i d o s! s i t e s _ l i b e r a d o s #c o n t r o l ed ea c e s s od aa c ld ep a l a v r a sd es e x o ,b a i x oc a l o ,e t c #b l o q u e i at o d a sa sp a l a v r a sd al i s t ad ep r o i b i d a sc o me x c e od a s #p a l a v r a sl i b e r a d a s h t t p _ a c c e s sd e n yp a l a v r a s _ p r o i b i d a s! p a l a v r a s _ l i b e r a d a s h t t p _ a c c e s sd e n ym a q u i n a s _ p r o i b i d a s! m a q u i n a s _ l i b e r a d a s h t t p _ a c c e s sa l l o wr e d e _ l o c a lm a q u i n a s _ l i b e r a d a s #c o n t r o l ed eh o r r i od ee x p e d i e n t e #b l o q u e i au t i l i z a of o r ad oe x p e d i e n t e # h t t p _ a c c e s sd e n y! h o r a r i o _ a l l o wf o r a _ e x p e d i e n t e # h t t p _ a c c e s sd e n y! h o r a r i o _ a l l o wf o r a _ e x p e d i e n t e 2 h t t p _ a c c e s sa l l o wp u r g el o c a l h o s t h t t p _ a c c e s sa l l o wr e d e _ l o c a la c e s s o _ p a d r a o h t t p _ a c c e s sa l l o wP O S Tr e d e _ l o c a la c e s s o _ p a d r a o h t t p _ a c c e s sa l l o wP O S Tr e d e _ l o c a la c e s s o _ c o m p l e t o #l i b e r am t o d oP O S Ts e ma u t e n t i c a o .P a r ae v i t a rp r o b l e m a s h t t p _ a c c e s sa l l o wP O S T h t t p _ a c c e s sd e n yp u r g e #H T T PR E P L YA C C E S S h t t p _ r e p l y _ a c c e s sa l l o wa l l h t t p _ a c c e s sd e n ya l l #I C PA C C E S S i c p _ a c c e s sd e n ya l l #M I S SA C C E S S m i s s _ a c c e s sa l l o wr e d e _ l o c a l m i s s _ a c c e s sd e n ya l l #M O D OD EF T PP A S S I V O # f t p _ p a s s i v eo n #N e g a rc a c h ed ec g i b i n a c lQ U E R Yu r l p a t h _ r e g e xc g i b i n\ ? c a c h ed e n yQ U E R Y #n e g a rc a c h ed eP O S T a c lP O S T Sm e t h o dP O S T c a c h ed e n yP O S T S
Ir para o Topo

O arquivo acima apenas uma sugesto. Voc pode fazer as alteraes que julgar necessrias. A parte importante a que controla a autenticao NTLM no dominio: 1 2 3 4 5 6 7 8 9 #A u t e n t i c a on oW i n d o w s2 0 0 8 a u t h _ p a r a mn t l mp r o g r a m/ u s r / b i n / n t l m _ a u t hh e l p e r p r o t o c o l = s q u i d 2 . 5 n t l m s s p a u t h _ p a r a mn t l mc h i l d r e n3 0 a u t h _ p a r a mn t l mk e e p _ a l i v eo n a u t h _ p a r a mb a s i cp r o g r a m/ u s r / b i n / n t l m _ a u t hh e l p e r p r o t o c o l = s q u i d 2 . 5 b a s i c a u t h _ p a r a mb a s i cc h i l d r e n5 a u t h _ p a r a mb a s i cr e a l mP r o x yS q u i d-D i g i t es u a sc r e d e n c i a i s a u t h _ p a r a mb a s i cc r e d e n t i a l s t t l5h o u r s

Outra parte importante a que configura a obteno dos grupos do AD e a aplicao das regras associadas: 0 1 0 2 0 3 0 4 #a c lp a r ao b t e rg r u p o sd oA D e x t e r n a l _ a c l _ t y p eg r u p o _ A Dt t l = 6 0% L O G I N/ u s r / l i b / s q u i d 3 / w b i n f o _ g r o u p #G r u p o sd oA D
9/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2

a c la c e s s o _ c o m p l e t o e x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ C o m p l e t o a c la c e s s o _ p a d r a o e x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ P a d r a o a c la c e s s o _ b l o q u e a d oe x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ B l o q u e a d o h t t p _ a c c e s sa l l o wr e d e _ l o c a la c e s s o _ c o m p l e t o h t t p _ a c c e s sd e n ya c e s s o _ b l o q u e a d o # . . .c o n j u n t od er e g r a sd eb l o q u e i op a d r o h t t p _ a c c e s sa l l o wr e d e _ l o c a la c e s s o _ p a d r a o

O campo ttl=60, na diretiva external_acl_type acima, controla por quanto tempo (em segundos) o grupo vlido para o acesso. Voc pode diminuir ou aumentar este valor de acordo com suas preferncias, para que as alteraes de grupos dos usurios sejam aplicadas para os acessos ao Squid. Em outras palavras: com o ttl de 60, se por exemplo um usurio que possui acesso padro for includo no grupo Internet_Acesso_Completo, levar 1 minuto para que esta alterao seja efetivada pelo Squid. Voc pode comentar as regras que no se aplicarem a sua realidade ou no satisfizerem suas necessidades. Cada diretiva possui uma breve descrio sobre sua funo no prprio arquivo acima, mas em caso de dvidas, consulte a ajuda do Squid: http://www.squidcache.org/Doc/config/

B2. Criao dos grupos no Active Directory (AD)


Voc precisa criar os trs grupos sugeridos no comeo do tutorial em seu AD: Internet_Acesso_Completo Internet_Acesso_Padrao Internet_Acesso_Bloqueado Inclua os usurios nos respectivos grupos, conforme o nvel de acesso desejado para cada um deles. Se todos os seus usurios forem membros do grupo Domain Users, voc pode incluir o grupo Domain Users como membro do grupo Internet_Acesso_Padrao, assim todos os usurios tero o acesso padro. Sendo que pelas regras apresentadas no /etc/squid3/squid.conf acima se o usurio fizer parte de mais de um grupo de acesso a Internet, o grupo Internet_Acesso_Completo ter a maior prioridade, seguido do grupo Internet_Acesso_Bloqueado. Ou seja se o usurio fizer parte dos 3 grupos ele ter o acesso liberado totalmente e se ele fizer parte do Internet_Acesso_Padrao e do Internet_Acesso_Bloqueado, seu acesso ser bloqueado.

B3. Criao de arquivos de controle


Crie a pasta /etc/squid3/acls e dentro dela os arquivos de controle de acesso a sites, palavras e computadores de origem. 1 2 3 4 5 6 7 8 s u d om k d i r/ e t c / s q u i d 3 / a c l s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / s i t e s _ p r o i b i d o s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / s i t e s _ l i b e r a d o s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / s i t e s _ l i b e r a d o s _ s e m _ a u t e n t i c a c a o s u d ot o u c h/ e t c / s q u i d 3 / a c l s / p a l a v r a s _ p r o i b i d a s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / p a l a v r a s _ l i b e r a d a s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / m a q u i n a s _ p r o i b i d a s s u d ot o u c h/ e t c / s q u i d 3 / a c l s / m a q u i n a s _ l i b e r a d a s

Inclua nos arquivos recm criadas as entradas que deseja permitir ou proibir, uma em cada linha. Os arquivos de controle de sites devem conter o domnio completo do que se deseja permitir/proibir, por exemplo www.playboy.com.br. Os arquivos de controle de palavras iro controlar o acesso para URLs que contenham em algum lugar as palavras listadas nos respectivos arquivos. Os arquivos maquinas_proibidas e maquinas_liberadas devem conter os endereos IPs de computadores que devem ter seu acesso proibido ou liberado completamente (um por linha), independente do usurio conectado no mesmo.
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 10/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

recomendvel colocar uma entrada em cada arquivo (palavras_ e maquinas_) ou comentar as regras relativas aos arquivos, para evitar mensagens de warning no Squid.

B4. Arquivos de erros personalizados


As regras deny_info controlam arquivos de erro personalizado para cada regra acl que seja negada pelo Squid. Se voc no deseja utilizar pginas de erro personalizadas, comente as seguintes linhas do /etc/squid3/squid.conf: 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ p r o i b i d o s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ l i b e r a d o s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Ss i t e s _ l i b e r a d o s _ s e m _ a u t h d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Sp a l a v r a s _ p r o i b i d a s d e n y _ i n f oA R Q _ S I T E S _ P R O I B I D O Sp a l a v r a s _ l i b e r a d a s d e n y _ i n f oA R Q _ M A Q U I N A S _ P R O I B I D A Sm a q u i n a s _ p r o i b i d a s d e n y _ i n f oA R Q _ M A Q U I N A S _ P R O I B I D A Sm a q u i n a s _ l i b e r a d a s d e n y _ i n f oA R Q _ A C E S S O _ B L O Q U E A D Oa c e s s o _ b l o q u e a d o d e n y _ i n f oA R Q _ P O R T A S _ P R O I B I D A SS a f e _ p o r t s d e n y _ i n f oA R Q _ P O R T A S _ P R O I B I D A SS S L _ p o r t s

Caso contrrio, crie os arquivos ARQ_SITES_PROIBIDOS, ARQ_MAQUINAS_PROIBIDAS, ARQ_ACESSO_BLOQUEADO e ARQ_PORTAS_PROIBIDAS na pasta /usr/share/squid3/errors/pt-br. Estes arquivos so em formato HTML e devem conter as mensagens a serem reportadas para o usurio em caso de bloqueio no acesso. Voc pode utilizar alguns caracteres especiais para serem convertidas em informaes antes de mostrar para o usurio. Para saber os caracteres permitidos consulte: http://www.squid-cache.org/Doc/config/deny_info/ Se quiser usar meus arquivos personalizados, descomprima o arquivo erros_squid.zip na pasta /usr/share/squid3/errors/pt-br. Um exemplo de acesso negado contido nestes arquivos seria semelhante ao seguinte:

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

11/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

B5. Testando o Squid


Execute o comando abaixo para verificar se as configuraes do squid esto corretas: 1 s q u i d 3kp a r s e

Inicie o Squid: 1 s u d os e r v i c es q u i d 3s t a r t

Aponte seu browser para o ip do squid seguido da porta 3128 e verifique seu funcionamento.

C. Instalao e Configurao do SquidGuard


C1. Instalao do SquidGuard
Instale o SquidGuard: 1 s u d oa p t g e ti n s t a l ls q u i d g u a r d

Baixe uma blacklist. O site http://www.squidguard.org/blacklists.html possui algumas opes. Neste tutorial vou me basear na blacklist mantida em http://urlblacklist.com. ATENO: Esta blacklist bem completa, porm paga. Voc pode baix-la para fins de testes, mas para colocar em um ambiente de produo faa uma assinatura. Se preferir utilize outra blacklist gratuita. Baixe a blacklist para uma pasta temporria (/tmp neste exemplo): 1 w g e tYo n" h t t p : / / u r l b l a c k l i s t . c o m / c g i b i n / c o m m e r c i a l d o w n l o a d . p l ? t y p e = d o w n l o a d & f i l e = b i g b l a c k l i s t

Descomprima a blacklist para a pasta /var/lib/squidguard/db/: 1 t a rx z v f/ t m p / b l a c k l i s t . t a r . g zC/ v a r / l i b / s q u i d g u a r d / d b /

Edite o arquivo /etc/squid/squidGuard.conf e substitua seu contedo pelo mostrado abaixo: 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 # #C O N F I GF I L EF O RS Q U I D G U A R D # #C a u t i o n :d oN O Tu s ec o m m e n t si n s i d e{} # d b h o m e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s l o g d i r/ v a r / l o g / s q u i d 3 d e s tp o r n o g r a f i a{ d o m a i n l i s tp o r n / d o m a i n s u r l l i s tp o r n / u r l s l o gs q u i d G u a r d _ b l o c k s . l o g } d e s ta d u l t o{ d o m a i n l i s ta d u l t / d o m a i n s u r l l i s ta d u l t / u r l s l o gs q u i d G u a r d _ b l o c k s . l o g } d e s ta g r e s s i v o{ d o m a i n l i s ta g g r e s s i v e / d o m a i n s u r l l i s ta g g r e s s i v e / u r l s l o gs q u i d G u a r d _ b l o c k s . l o g
12/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6

} d e s tj o g o s{ d o m a i n l i s tg a m b l i n g / d o m a i n s u r l l i s tg a m b l i n g / u r l s l o gs q u i d G u a r d _ b l o c k s . l o g } d e s tw h i t e l i s t{ d o m a i n l i s tw h i t e l i s t / d o m a i n s u r l l i s tw h i t e l i s t / u r l s } a c l{ d e f a u l t{ p a s sw h i t e l i s t! p o r n o g r a f i a! a d u l t o! a g r e s s i v o! j o g o sa l l } r e d i r e c th t t p : / / w w w . g o o g l e . c o m . b r / s e a r c h ? q = % t

Voc deve ajustar este arquivo incluindo outras categorias ou regras de acordo com suas necessidades. Para saber as categorias da blacklist utilizada verifique o contedo do arquivo /var/lib/squidguard/db/blacklists/CATEGORIES. Para aprender sobre as regras do squidGuard verifique a documentao do squidGuard (http://www.squidguard.org/Doc/). Voc pode usar a ACL src e incluir os usurios do Active Directory. Infelizmente no h uma forma simples de utilizar grupos para estas diretivas. Este tipo de controle no necessrio pois o Squid quem ficar responsvel por fazer uma pr-filtragem dos grupos de usurios do AD. Inicialize a blacklist, criando arquivos .db para as categorias definidas no squidGuard.conf e ajustando as permisses: 1 2 s q u i d G u a r dCa l l c h o w np r o x y : p r o x yR/ v a r / l i b / s q u i d G u a r d / d b

Teste o squidGuard executando o comando abaixo: 1 e c h o" p l a y b o y . c o m . b r--G E T "|s q u i d G u a r dc/ e t c / s q u i d / s q u i d G u a r d . c o n fd

A sada ser semelhante a abaixo: 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]N e ws e t t i n g :d b h o m e :/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]N e ws e t t i n g :l o g d i r :/ v a r / l o g / s q u i d 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i td o m a i n l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / p o r n / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / p o r n / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i tu r l l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / p o r n / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / p o r n / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i td o m a i n l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a d u l t / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a d u l t / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i tu r l l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a d u l t / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a d u l t / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i td o m a i n l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a g g r e s s i v e / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a g g r e s s i v e / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i tu r l l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a g g r e s s i v e / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / a g g r e s s i v e / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i td o m a i n l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / g a m b l i n g / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / g a m b l i n g / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i tu r l l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / g a m b l i n g / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / g a m b l i n g / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i td o m a i n l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / w h i t e l i s t / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / w h i t e l i s t / d o m a i n s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]i n i tu r l l i s t/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / w h i t e l i s t / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]l o a d i n gd b f i l e/ v a r / l i b / s q u i d g u a r d / d b / b l a c k l i s t s / w h i t e l i s t / u r l s 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]s q u i d G u a r d1 . 4s t a r t e d( 1 3 7 3 6 5 1 6 4 8 . 2 4 9 ) 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]s q u i d G u a r dr e a d yf o rr e q u e s t s( 1 3 7 3 6 5 1 6 4 8 . 2 5 4 ) 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]s o u r c en o tf o u n d 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]n oA C Lm a t c h i n gs o u r c e ,u s i n gd e f a u l t 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]R e q u e s t ( d e f a u l t / p o r n o g r a f i a / )p l a y b o y . c o m . b rh t t p : / / w w w . g o o g l e . c o m . b r / s e a r c h ? q = p o r n o g r a f i a/ --G E T 2 0 1 3 0 7 1 21 4 : 5 4 : 0 8[ 8 2 0 4 ]s q u i d G u a r ds t o p p e d( 1 3 7 3 6 5 1 6 4 8 . 2 5 4 )

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

A penltima linha da execuo acima mostra que a tentativa de acesso para a URL solicitada foi encaminhada para o redirecionamento de categoria proibida.

C2. Integrando o SquidGuard com o Squid


Agora precisamos informar ao Squid para encaminhar os acessos dos usurios do grupo Internet_Acesso_Padrao para a avaliao do SquidGuard. Para fazer isso, edite o arquivo /etc/squid3/squid.conf e inclua as linhas abaixo no final do arquivo: 1 2 3 4 u r l _ r e w r i t e _ a c c e s sd e n yr e d e _ l o c a la c e s s o _ c o m p l e t o u r l _ r e w r i t e _ a c c e s sa l l o wa l l u r l _ r e w r i t e _ p r o g r a m/ u s r / b i n / s q u i d G u a r dc/ e t c / s q u i d / s q u i d G u a r d . c o n f u r l _ r e w r i t e _ c h i l d r e n2 0s t a r t u p = 0i d l e = 1c o n c u r r e n c y = 0

Recarregue o squid para que as novas configuraes sejam ativadas: 1 s e r v i c es q u i d 3r e l o a d

C3. Pgina de erros personalizada para o SquidGuard


Se desejar voc pode configurar uma pgina de erros para o SquidGuard semelhante a pgina de erros do Squid. Para fazer isso voc pode utilizar um servidor web j existente em sua rede e apenas ajustar o squidGuard.conf para redirecionar para seu servidor. Outra opo instalar o apache e colocar uma pgina PHP personalizada diretamente em seu servidor Squid. Para instalar o apache e o PHP execute: 1 s u d oa p t g e ti n s t a l la p a c h e 2p h p 5l i b a p a c h e 2 m o d p h p 5

Crie o arquivo /var/www/squidGuard.php com o contedo abaixo. Ajuste o que julgar necessrio, em especial a linha destacada. 0 1 0 2 0 3 0 4 0 5 0 6 0 7 0 8 0 9 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 < ? p h p f u n c t i o ne x e c O u t p u t ( $ c o m m a n d ){ e x e c ( $ c o m m a n d . '2 > & 1 ' ,$ o u t p u t ) ; r e t u r ni m p l o d e ( " \ n " ,$ o u t p u t ) ; } $ u s u a r i o = $ _ G E T [ " u s u a r i o " ] ; $ u r l = $ _ G E T [ " u r l " ] ; $ i p _ o r i g e m = $ _ G E T [ " i p _ o r i g e m " ] ; $ c a t e g o r i a = $ _ G E T [ " c a t e g o r i a " ] ; $ s q u i d G u a r d _ v e r s i o n=e x e c O u t p u t ( " / u s r / b i n / s q u i d G u a r dv " ) ; ? > < h t m l > < h e a d > < m e t ah t t p e q u i v = " C o n t e n t T y p e "c o n t e n t = " t e x t / h t m l ;c h a r s e t = u t f 8 " > < t i t l e > E R R O :V o c n ot e mp e r m i s s op a r aa c e s s a re s t aU R L < / t i t l e > < s t y l et y p e = " t e x t / c s s " > < ! p{ f o n t f a m i l y :A r i a l ,H e l v e t i c a ,s a n s s e r i f ; f o n t s i z e :1 6 p x ; t o p :0 p x ; m a r g i n t o p :1 6 p x ; m a r g i n b o t t o m :1 6 p x ; c o l o r :# 6 6 6 6 6 6 ; } t d{ f o n t f a m i l y :A r i a l ,H e l v e t i c a ,s a n s s e r i f ; f o n t s i z e :1 6 p x ; t o p :0 p x ; c o l o r :# 6 6 6 6 6 6 ; } . c o d e{
14/34

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

3 4 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 8 4 9 5 0 5 1 5 2 5 3 5 4 5 5 5 6 5 7 5 8 5 9 6 0 6 1 6 2 6 3 6 4 6 5 6 6 6 7 6 8 6 9 7 0 7 1 7 2 7 3 7 4 7 5 7 6 7 7 7 8 7 9 8 0 8 1 8 2

f o n t f a m i l y :c o u r i e r ; f o n t s i z e :1 6 p x ; t o p :0 p x ; c o l o r :# 6 6 6 6 6 6 ; } h 1{ f o n t f a m i l y :A r i a l ,H e l v e t i c a ,s a n s s e r i f ; f o n t s i z e :1 8 p x ; m a r g i n t o p :2 4 p x ; m a r g i n b o t t o m :2 4 p x ; c o l o r :# 6 6 6 6 6 6 ; } h 2{ f o n t f a m i l y :A r i a l ,H e l v e t i c a ,s a n s s e r i f ; f o n t s i z e :1 6 p x ; m a r g i n t o p :2 4 p x ; m a r g i n b o t t o m :2 4 p x ; c o l o r :# 6 6 6 6 6 6 ; } h r{ m a r g i n t o p :2 p x ; m a r g i n b o t t o m :2 p x ; } > < / s t y l e > < / h e a d > < b o d y > < d i vi d = " t i t l e s " >< h 1 > E R R O < / h 1 >< h 2 > V o c n ot e mp e r m i s s op a r aa c e s s a re s t aU R L < < h r > < d i vi d = " c o n t e n t " > < p > C o mb a s en a sp o l t i c a sv i g e n t e s ,oa c e s s oaU R L" < ah r e f = " < ? p h pe c h o < / p > < b l o c k q u o t ei d = " e r r o r " >< p > < b > A c e s s oN e g a d o . < / b > < / p >< / b l o c k q u o t e > < p > E mc a s od ed v i d a s ,e n t r ee mc o n t a t oc o mos u p o r t e( < ah r e f = " m a i l t o : e m a i l @ d o m i n i o . c o m . b r " < / p > < p > & n b s p ; < / p > < p > U s u r i ou t i l i z a d op a r ae s t ea c e s s o :< b > < ? p h pe c h o$ u s u a r i o ; ? > < / b > < b r > E n d e r e oI Pd eo r i g e m :< b > < ? p h pe c h o$ i p _ o r i g e m ; ? > < / b > < b r > U R La c e s s a d a :< ah r e f = " < ? p h pe c h o$ u r l ; ? > " > < ? p h pe c h o$ u r l ; ? > < / a > < b r > < / p > < b r >< / d i v >< h r >< d i vi d = " f o o t e r " > < p > G e r a d oe m< ? p h pe c h od a t e ( ' d / M / Y@H : i : s ' ) ; ? >p o r< ? p h pe c h og e t h o s t n a m e ( ) ? >( < ? p h p < / b o d y > < / h t m l >

Ajuste a linha redirect do /etc/squid/squidGuard.conf para apontar para a pgina personalizada. 1 r e d i r e c th t t p : / / l o c a l h o s t / s q u i d G u a r d . p h p ? u s u a r i o = % i & u r l = % u & i p _ o r i g e m = % a & c a t e g o r i a = % t

Recarregue o squid para que as novas configuraes sejam ativadas: 1 s e r v i c es q u i d 3r e l o a d

C4. Atualizao automtica da blacklist


Se desejar voc pode agendar um script para atualizar a blacklist. Recomendo agendar para uma vez por semana. Crie o arquivo /usr/local/bin/squidGuard_update.sh com o seguinte contedo: 1 2 3 4 5 6 7 # ! / b i n / b a s h w g e tYo n" h t t p : / / u r l b l a c k l i s t . c o m / c g i b i n / c o m m e r c i a l d o w n l o a d . p l ? t y p e = d o w n l o a d & f i l e = b i g b l a c k l i s t t a rx z v f/ t m p / b l a c k l i s t . t a r . g zC/ v a r / l i b / s q u i d g u a r d / d b / / u s r / b i n / s q u i d G u a r dCa l l c h o w np r o x y : p r o x yR/ v a r / l i b / s q u i d g u a r d / d b r m/ t m p / b l a c k l i s t . t a r . g z s e r v i c es q u i d 3r e l o a d

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

15/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

D permisso de execuo para o script: 1 s u d oc h m o d+ x/ u s r / l o c a l / b i n / s q u i d G u a r d _ u p d a t e . s h

Agende o script para executar no crontab do root 1 s u d oc r o n t a be

No final do arquivo inclua a seguinte linha: 1 720**/ u s r / l o c a l / b i n / s q u i d G u a r d _ u p d a t e . s h

Isto informa para o cron executar o script todo domingo (0) s 2:07 da madrugada. Ajuste o horrio conforme sua necessidade.

D. Observaes e Dicas
D1. Como controlar o acesso a redes sociais para um grupo especfico do AD
Voc pode criar outros grupos e liberar o acesso a sites especficos somente para este grupo. Por exemplo, voc pode bloquear as redes sociais, criando um grupo no AD chamado Internet_Acesso_Redes_Sociais, incluindo os respectivos dominios (twitter, orkut, facebook, ...) em um novo arquivo chamado /etc/squid3/acls/redes_sociais e incluir as seguintes regras no /etc/squid3/squid.conf: 1 2 a c la c e s s o _ r e d e s _ s o c i a i se x t e r n a lg r u p o _ A DI n t e r n e t _ A c e s s o _ R e d e s _ S o c i a i s a c lr e d e s _ s o c i a i sd s t d o m a i ni" / e t c / s q u i d 3 / a c l s / r e d e s _ s o c i a i s "

Voc pode usar url_regex ao invs de dstdomain, assim voc no precisa digitar o nome exato de cada domnio de rede social, bastando escrever o domnio parcialmente em /etc/squid3/acls/redes_sociais. Um exemplo do arquivo /etc/squid3/acls/redes_sociais seria: 1 2 3 4 t w i t t e r . c o m o r k u t . c o m f a c e b o o k . c o m p l u s . g o o g l e . c o m

Ainda no arquivo /etc/squid3/squid.conf, antes da linha abaixo: 1 h t t p _ a c c e s sa l l o wr e d e _ l o c a la c e s s o _ p a d r a o

inclua as seguintes linhas: 1 2 h t t p _ a c c e s sa l l o wr e d e s _ s o c i a i sa c e s s o _ r e d e s _ s o c i a i s h t t p _ a c c e s sd e n yr e d e s _ s o c i a i s

D2. Visualizao dos logs de acesso do Squid


Escrevi um pequeno script para permitir a visualizao dos logs do Squid de uma forma mais simples e fcil de entender. Voc precisa ter o gawk instalado para ele funcionar corretamente. Instale-o com o comando abaixo: 1 s u d oa p t g e ti n s t a l lg a w k

Crie um arquivo squid3_log.sh com o contedo abaixo: 1 2

# ! / b i n / b a s h t a i lf/ v a r / l o g / s q u i d 3 / a c c e s s . l o g|a w k' { p r i n ts t r f t i m e ( " \ 0 3 3 [ 1 ; 3 1 m % F% H : % M : % S \ 0 3 3 [ 0 m " , $ 1 )""$ 3"\ 0 3 3 [ 1 ; 3

D permisso de execuo:
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 16/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

c h m o d+ xs q u i d 3 _ l o g . s h

Execute o script para verificar os acessos em tempo real: 1 . / s q u i d 3 _ l o g . s h

Se voc receber uma mensagem de erro "awk: function strftime never defined" basta instalar o pacote gawk para resolver: 1 s u d oa p t g e ti n s t a l lg a w k

Voc pode melhorar o script acima incluindo filtros, usando o grep, para por exemplo encontrar os acessos de usurios especficos e/ou data e hora de acesso determinados. A sada do script acima ser algo semelhante a imagem abaixo:

D3. Configurao automtica de Proxy (WPAD)


Se voc no desejar configurar os browsers de cada novo computador em sua rede, basta configura o WPAD. Para saber como fazer isso, verifique o artigo: Descoberta automtica de Proxy WPAD (Web Proxy Auto-Discovery).

D4. Outras Informaes


Reinicie seu computador e teste todos os acessos com usurios de grupos diferentes antes de colocar o sistema em produo. Em caso de problemas com as regras, descomente (remova o #) a linha debug no comeo do /etc/squid3/squid.conf e verifique os logs no /var/log/squid3/cache.log. O Squid bastante poderoso e integrado ao AD torna-se uma ferramenta incrvel e bastante simples de administrar. Estude principalmente as ACLs e a aplicao das mesmas com a diretiva http_access. Voc vai se surpreender com tudo que capaz de fazer. Abraos e em caso de dvidas s escrever nos comentrios. Referncias - Squid autenticando no Windows utilizando grupos do AD - Integrating Squid and Samba3 with NTLM authentication - Integrando autenticao do Squid ao Active Directory - SquidGuard - Configuring Squid, SquidGuard, SquidClamAV binded with LDAP Auth

Compartilhar / Favoritos
Active Directory Squid SquidClamAV SquidGuard Ubuntu

Este artigo foi publicado por Nerd em 12 de julho de 2013 s 18:19, nas categorias Linux, Tutoriais. Siga os comentrios deste artigo atravs do RSS 2.0. Voc pode pular para o fim e deixar um comentrio. Fazer ping no permitido no momento.

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

17/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Artigos Relacionados

Comentrios (55)

#1 escrito por greyson 7 MESES ATRS


Ol Nerd, Mais uma vez um post excelente. Seu site cheio de contedo tcnico de tima qualidade e este no exceo. Eu realizei a integrao do Linux e AD usando o o 12.04 e percebi que o ticket kerberos no renovado e com isso no consigo mais logar com usurios do domnio via SSH ou Samba, somente com os usurios locais. Isso j aconteceu com voc? Aparentemente alguma configurao do PAM, mas quando gero um novo ticket e recoloco o Linux no domnio, volto a acessar com usurio do domnio normalmente. Segue abaixo os erros gerados pelo auth.log: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS: NT_STATUS_ACCESS_DENIED, Error message was: Access denied pam_winbind(sshd:auth): internal module error (retval = PAM_SYSTEM_ERR(4) Qualquer ajuda ser muito bem-vinda.

#2 escrito por Nerd

7 MESES ATRS

Greyson, Obrigado pelos elogios. Eu nunca passei por esse problema em particular, mas uma coisa que j me aconteceu est relacionado ao fato de trabalhar em uma rede com mltiplos controladores de domnio e o winbind as vezes tentar autenticar em um e as vezes em outro controlador. Uma possvel sada remover o servidor do dominio e colocar novamente, tomando o cuidado de forar o controlador de domnio a ser usado para a autenticao: 1- No arquivo de configurao do kerberos (/etc/krb5.conf): Nas linhas kdc e admin_server coloque o nome de um controlador de dominio em particular. 2- Coloque o mesmo controlador de domnio na entrada "password server" do /etc/samba/smb.conf 3- Pare os servios winbinbd e smbd 4- Apague o cache do samba (rm -rf /var/lib/samba/*) 5- Exclua a mquina do AD e force uma replicao em todos os controladores de domnio. 6- coloque a mquina no domnio novamente. No garantido que v funcionar, mas possvel. Aproveite e de uma olhada na data e hora de seu servidor e de seus controladores de domnio. Nerd.

#3 escrito por Greyson 7 MESES ATRS


Obrigado por responder to prontamente Nerd. Realizei os procedimentos e em seguida dou um feedback, at+
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 18/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#4 escrito por Greyson 7 MESES ATRS


Ol Nerd. Segui suas orientaes e no tive sucesso, mas a verificando outras opes, consegui configurar o /etc/pam.d/common-auth para permitir um usurio do domnio logar no servidor. Agora estou com outra situalo: mesmo colocando o usurio do domnio no grupo sudo (Debian Wheezy) no consigo logar como root. verificando o /var/log/auth.log recebo este erro: sudo: pam_unix(sudo:auth): authentication failure; logname=greyson.farias uid=1003317 euid=0 tty=/dev/pts/1 ruser=greyson.farias rhost= user=greyson.farias Alguma dica?

#5 escrito por Nerd

7 MESES ATRS

Greyson, O que d erro o "sudo su", certo? Voc colocou o grupo a qual pertence o usuario greyson.farias no /etc/sudoers? Por exemplo, para o grupo administradores_linux a linha no /etc/sudoers ficaria: %administradores_linux ALL=(ALL) ALL Nerd.

#6 escrito por Greyson 7 MESES ATRS


Ol Nerd, Obrigado pela resposta. Tambm consegui resolver essa questo, obrigado. Agora estou com outra situao. No sei se bug do samba, mas quando coloco a mquina no domnio e compartilho os diretrios, de uma hora para outra, os usurios no conseguem mais acessar os compartilhamentos. Por ex. \\FILESERVER ou \\IPDoServer ento o servidor fica o tempo inteiro solicitando autenticao, mesmo digitando no login: DOMINIO\usurio e digitando a senha, isso ocorre com quaisquer usurios. Eu verifico com wbinfo -u e wbinfo -g e so listados os usurios e grupos. Tambm executo getent passwd e getent group e tambm recebo os usurios e grupos do AD. o Samba que estou utilizando no Debian Wheezy o 3.6.6 (no sei qual no ubuntu 12.04) e no Debian Squeeze o 3.5.4. (est funcionando sem problemas, mas como oldstable, estou querendo migrar) Voc j passou por isso? se j, conseguiu resolver?

#7 escrito por Nerd

7 MESES ATRS

Greyson, A nica vez que me lembro de ter passado por esse problema foi quando estava com a data do servidor errada. Nos logs do samba e do winbind no tem nada que possa ajudar a diagnosticar (/var/log/smb)? Nerd.

#8 escrito por Greyson 7 MESES ATRS

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

19/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Ol Nerd, Finalmente resolvi. Eu observei durante esses dias que quando o computador reinicia, ele no renova automaticamente o ticket do kerberos. Consegui resolver este problema utilizando da ferramenta kutil e seguindo este post: http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-oktutil/. Deixo aqui registrado meus sinceros agradecimentos e mais uma vez parabns pela excelente postagem.

#9 escrito por Nerd

7 MESES ATRS

Maravilha Greyson. Obrigado por compartilhar a dica. Nerd.

#10 escrito por Gustavo

6 MESES ATRS

Ol amigos! Sou neewbie e travei na parte do ktutil. Eu tentei instala-lo, mas no fui feliz (apt-get install krb5-user). Tem algum macete?

#11 escrito por Nerd

6 MESES ATRS

Gustavo, Creio que a instalao do ktutil no tem a ver com este tutorial e sim com um problema especfico de outro usurio. Sugiro seguir as dicas do tutorial mencionado pelo autor da dvida. Nerd.

#12 escrito por Anderson 6 MESES ATRS


Ola galera, ve se alguem pode me ajudar. Eu preciso configurar o squidguard para trabalhar com o AD e com grupos. Por exemplo o grupo(do AD) Internet_Acesso_Completo passa somente pelo filtro porn do squidguard, ja o grupo Internet_Acesso_Padrao passa pelo filtro porn, audio-video e redes sociais por exemplo. alguem ja fez esta configurao? possive? Obrigado

#13 escrito por Nerd

6 MESES ATRS

Anderson, Este tipo de configurao mais avanada complicada. Eu tambm gostaria de uma soluo para isto, mas infelizmente no h milagres. A soluo apresentada neste tutorial manda tudo ou nada para o squid guard. O squid guard no entende os grupos da AD, ento quem faz a filtragem o Squid. O que d para fazer colocar, nas regras do squid guard (squidGuard.conf), as siglas dos usurios que sero filtrados de forma diferente, mas no grupos.
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 20/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Nerd.

#14 escrito por Anderson 6 MESES ATRS


Entendi, Valeu!!!

#15 escrito por Alex Manzo

4 MESES ATRS

Eu consegui usando LDAP assim: 1) Criar a src no squidguard.conf conforme exemplo: src EXEMPLO { ldapusersearch ldap://SERVIDOR-DOAD:3268/DC=DOMINIO,DC=COM?sAMAccountName? sub?(&(sAMAccountName=%s)(memberOf=CN=NOMEDO-GRUPO%2cOU=NOME-DA-OU-ONDE-ESTA-OGRUPO%2cDC=DOMINIO%2cDC=COM)) } 2) Criar a ACL dentro do squidguard.conf antes ou aps a ACL default: acl { default { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !redessociais !virusinfected !games !malware !hacking !onlinegames !proxy !spyware !radio !multimidia !entretenimento !compartilhamento !hospedeiro !webcommerce !shopping !bate-papo all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem=% a&categoria=%t } EXEMPLO { pass whitelist !pornografia !adulto !agressivo !jogos !redesocial !red essociais !virusinfected !games !malware !hacking !onlinegames !proxy !spywa re !radio !multimidia !entretenimento !compartilhamento !hospedeiro all redirect http://localhost/squidGuard.php? usuario=%i&url=%u&ip_origem= %a&categoria=%t } }

#16 escrito por Nerd

4 MESES ATRS

Alex, Dessa forma consegue fazer as regras respeitarem os grupos do AD? Nerd.

#17 escrito por Greyson 2 MESES ATRS


Ol Alex, Como voc declarou as variveis ldapbinddn, ldapbindpass e ldapcachetime ??
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 21/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#18 escrito por Gustavo

6 MESES ATRS

Nerd, muito obrigado por compartilhar conosco este procedimento incrvel!!! Parabns!!!!! No percebi abordagem sobre o tema cache. possivel adicionarmos um cache aqui, para enfim, tornar isso o "estado da arte"? Abrao!

#19 escrito por Nerd

6 MESES ATRS

Gustavo, Veja se isto lhe ajuda: http://blogdonerd.com.br/2011/09/proxysquid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-eregras-baseadas-em-grupos-do-ad/ Nerd.

#20 escrito por Gustavo

6 MESES ATRS

Oi Nerd! Haaa vc o cara! Deu certinho!!!! Hoj efarei os testes. A unica coisa que nao passou, mas vou me esforar mais, o SquidGuard (fui usar outra lista, uma free... acho que foi ai que pegou). Outra pergunta: Eu tenho uma VPN na empresa, da Cisco. Quando me conecto de casa por ela, eu ganho um IP 192.168.255.x. L na minha configurao informei que minha rede local para 10.0.0.0/16. Como fica a rede da VPN neste caso, pois quando fui usar o proxy daqui no rolou, ficou tudo travado. Mais um ultimo pedido. Ser que vc pode me ajudar a interpretar o log para saber onde parou e pq? Abrao e parabns. muito nobre fazer isso que vc faz

#21 escrito por Nerd

6 MESES ATRS

Gustavo, Inclua mais uma acl rede_local no seu squid.conf: acl rede_local src 10.0.0.0/16 acl rede_local src 192.168.255.0/24 S certifique-se de haver conectividade entre as redes. Um ping para o IP de seu proxy um bom teste. Nerd.

#22 escrito por Marcel Luis 5 MESES ATRS


http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 22/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Prezado amigo, parabens pelo seu artigo muito bom mesmo. Consegui fazer funcionar redondinho. No entanto estou com problema no seguinte, crei a seguinte regra: acl sites_bloqueado_squidguard dstdomain -i "/var/lib/squidguard/db/blacklists/porn/domains" depois fiz o bloqueio: http_access deny sites_bloqueado_squidguard acesso_padrao Agora oque acontece, toda vez que o usuario do grupo acesso padrao tenta acessar um site proibido da acl ele em vez de mostrar mensagem de acesso bloqueado ele pede login e senha. Tem como me ajudar nisso?

#23 escrito por Nerd

5 MESES ATRS

Marcel, Esse caracterstica do Squid bem chata. No garanto que v resolver, mas tente trocar a linha http_access deny sites_bloqueado_squidguard acesso_padrao por http_access allow sites_bloqueado_squidguard !acesso_padrao Nerd.

#24 escrito por Marcel Luis 5 MESES ATRS


Infelizmente Nerd no funcionou. Continua pedindo senha em vez de mostrar logo de cara o bloqueio....

#25 escrito por Nerd

5 MESES ATRS

Marcel, Isso um problema complicado com o Squid. Eu mesmo enfrento esse problema em uma de minhas rede e no consegui uma soluo satisfatria. Tente trabalhar com a ordem de suas regras. Habilite o log para ver em que momento pedido a senha. Pode ser que ajude. Se encontrar uma soluo ficarei feliz se puder compartilhar conosco. Uma outra sugesto que lhe dou a seguinte: http_access allow sites_bloqueado_squidguard !acesso_padrao http_acess deny sites_bloqueado_squidguard Nerd.

#26 escrito por Marcel

4 MESES ATRS

Nada tambm.. continua pedindo senha..

#27 escrito por Osvaldo

5 MESES ATRS

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

23/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Excelente artigo! Estou tentando entender pra que serve a acl sites_liberados pois na acl acesso_bloqueado no tem exceo para acesso aos sites liberados, assim o grupo padro acessa tudo menos os proibidos e o completo tem acesso total. Tentei liberar alguns sites na acl sites_liberados porm no consigo liberar dessa forma:
h t t p _ a c c e s sd e n ya c e s s o _ b l o q u e a d o! s i t e s _ l i b e r a d o s

Apenas consegui liberar usando a acl sites_liberados_sem_auth, porm remete a mesma dvida da serventia do acl sites_liberados.

#28 escrito por Nerd

5 MESES ATRS

Osvaldo, No sei exatamente o que deseja fazer, mas voc pode criar uma regra de allow para um grupo ou todos antes de negar o acesso para o grupo acesso_bloqueado http_access allow sites_liberados #libera acesso para todos que conseguirem se autenticar no squid, inclusive os do grupo acesso_bloqueado http_access deny acesso_bloqueado #se no foi aceito pela regra acima, ento bloqueia o acesso para usurios do grupo acesso_bloqueado Nerd

#29 escrito por Rodrigo

4 MESES ATRS

Ol! Achei muito interessante sua postagem e gostaria de saber se da para rodar essa configurao com o samba 4 como controlador de dominio e o que precisaria mudar?

#30 escrito por Gustavo

4 MESES ATRS

Ol pessoal! Aprendi e configurei o meu squid com autenticao aqui com o Nerd. Gostaria de deixar minha contribuio nesta questo de liberao de acesso. Segue o que fiz aqui. # acls default squid acl purge method PURGE acl CONNECT method CONNECT acl POST method POST acl FTP proto FTP # acl para obter grupos do AD external_acl_type grupo_AD ipv4 ttl=30 %LOGIN /usr/lib/squid3/wbinfo_group.pl # Grupos do AD acl acesso_completo external grupo_AD BR_Internet_Acesso_Completo acl acesso_padrao external grupo_AD BR_Internet_Acesso_Padrao acl acesso_wengo external grupo_AD BR_Internet_W
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 24/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

acl acesso_bloqueado external grupo_AD BR_Internet_Acesso_Bloqueado # acls de seguranprote do cache acl manager proto cache_object # acls de URLS com bypass no CISCO ASA acl sites_bypass url_regex -i "/etc/squid3/acls/sites_bypass" # acl de controle da operacao W acl sites_wengo url_regex -i "/etc/squid3/acls/sites_wengo" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" acl sites_liberados_sem_auth url_regex -i "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo cal etc acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" acl itunes_browser browser iTunes.* acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.* acl sites_no_cache url_regex -i "/etc/squid3/sites_no_cache" cache deny sites_no_cache always_direct allow FTP always_direct allow sites_no_cache # acl para bypass de sites da W always_direct allow sites_bypass

#31 escrito por Nerd

4 MESES ATRS

Valeu pela contribuio Gustavo. Nerd.

#32 escrito por Nerd

4 MESES ATRS

Rodrigo, Nunca tentei, mas creio que deva funcionar sem grandes alteraes. S testando para saber. Nerd.

#33 escrito por Alex Manzo

4 MESES ATRS

Boa noite, eu no entendi o seu comentrio referente ao mtodo post no squid.conf que diz assim: "# libera mtodo POST sem autenticao. Para evitar problemas" Desculpe minha ignorncia, para que serve o mtodo POST?
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 25/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Outra dvida, como fao para resolver problema de acesso com site do banco do brasil onde o applet java fica solicitando autenticao do usurio e senha do domnio que mesmo inserindo as informaes ele no funciona? Agradeo muito por sua contribuio!

#34 escrito por Gustavo

4 MESES ATRS

Ol amigo! Acho que o Nerd o melhor para responder isso. Como disse, peguei tudo aqui

#35 escrito por Nerd

4 MESES ATRS

Alex, O acesso HTTP funciona com diversos mtodos de requisio. Os dois mais comuns so o GET e o POST. Algumas vezes o mtodo POST pode te trazer problemas com a autenticao. Se estiver enfrentando problemas, o ideal liberar o acesso. Com relao ao Java e o BB, o ideal voc colocar os endereos do BB que o java usa na lista de sites liberados sem autenticao. Tambm bom verificar a porta utilizada para o acesso do BB. Nerd.

#36 escrito por Alex Manzo

4 MESES ATRS

Nerd, a porta utilizada pelo site do bb junto com o app java a 443... mesmo qdo relaciono os sites envolvidos naquela acl de sites_sem_autenticacao ele ainda acaba exibindo prompt do add java solicitando a senha... a eu resolvi provisoriamente liberando a porta 443 antes da autenticao do AD, s que qualquer coisa relacionada a HTTPS acaba passando por fora do filtro como o facebook por exemplo... como devo tratar essa exceo do bb? abraos

#37 escrito por Alex Manzo

4 MESES ATRS

Nerd, antes que voc responda acho que a nica soluo inserir via GPO exceo para o site https://aapj.bb.com.br nos navegadores das mquinas, pois todas que necessitam acessar o applet java do banco fazem parte do AD... No consegui visualizar outra soluo tendo em vista que o Java incompatvel com autenticao NTLM do squid (vi isso em algum frum do pfsense ou no squid.org ou no oracle.com... nao me lembro, mas foi em algum site importante! rs). Outra coisa, percebi que o squidguard no trata sites HTTPS.... porque se desse certo pra jogar requisies https passando pelo squidguard automaticamente resolveria meu problema com bancos.... H alguma forma de faz-lo? o que acha NERD? Abx

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

26/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#38 escrito por Nerd

4 MESES ATRS

Alex, O Java sempre um problema. Voc pode configurar o Java para no usar o Proxy e tratar as requisies direto no Firewall. O WPAD pode ser uma soluo (http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-autodiscovery/). Nerd.

#39 escrito por Nerd

4 MESES ATRS

Alex, Voc usa WPAD em sua rede? Talvez possa ser uma soluo para que o Java acesse a Internet direto sem passar pelo proxy. De uma lida nesse artigo: http://blogdonerd.com.br/2011/10/descobertaautomatica-de-proxy-wpad-web-proxy-auto-discovery/ Nerd.

#40 escrito por Alex Manzo

4 MESES ATRS

sim uso WPAD mas putz, agora que ca na real... meu WPAD est no simples do simples... apenas indicando o proxy sem informar os sites que nao precisam passar por ele... Eu ainda por cima estou utilizando GPO e na GPO est correto... esta acontecendo um conflito.... agora estou certo disso...

#41 escrito por Alex Manzo

4 MESES ATRS

Nerd, mais uma vez sem querer abusar, como fao para cachear windows update para no ficar saturando meu link? existe alguma ferramenta que seja similar ao wsus em open source? Depois que implementei essa maravilhosa soluo muita gente est querendo me bater! o que eu fao? chamo o a polcia ou melhor chamar a ambulncia? hehehe

#42 escrito por Nerd

4 MESES ATRS

Alex, A melhor maneira que conheo utilizar o WSUS. Ele gratuito, o custo seria somente a licena do Windows do servidor em que ele ir rodar. Voc pode instalar em um servidor windows qualquer de sua rede, compartilhando os recursos do mesmo. Eu costumo colocar ele junto com o servidor de Anti Virus. Nerd.

#43 escrito por Mr. Emerson 3 MESES ATRS


http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 27/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

Ol Nerd. Graas a seu tutorial temos um belo proxy rodando a alguns meses sem maiores problemas por aqui, mas um probleminha tem me atormentado na ltima semana: Office 2013. Chegaram umas mquinas novas com o Office 2013 embarcado e sempre que o usurio carrega o Word, por exemplo, aparecem aquelas janelas do proxy pedindo autenticao para um site da Microsoft. Coloquei trs domnios da Microsoft no arquivo sites_liberados_sem_autenticacao e eis que depois, a janela de autenticao comeou a me apontar para o bizarro endereo autodiscover.MEUDOMINIO. Bem, adicionei tambm esse endereo (que sequer existe em nossa rede) e funcionou. Ento fica a dica pra quem tem o Office 2013 adiconar essas quatro linhas no arquivo sites_liberados_sem_autentcacao: .office.microsoft.com .officeapps.live.com .vo.msecnd.net autodiscover.MEUDOMINIO (troque MEUDOOMINIO pelo domnio da sua rede) Aproveitando. Nerd, essa janelas solicitando autenticao so extremamente irritantes. Qualquer engasgada no Proxy ou no AD j motivo para elas serem mostradas para o usurio. Voc j conseguiu alguma maneira delas desaparecerem completamente? abs

#44 escrito por Gustavo

3 MESES ATRS

Ol Mr. Emerson! Tudo bem? Acho que posso te ajudar com isso. Eu passei pelo mesmo enrosco e resolvi colocando os sites do office em uma lista de acesso que no pede autenticao e antes das demais regras de liberao de sites. Fiz assim: # acls de URLS com bypass no CISCO ASA - vao direto para o firewall, que um appliance acl sites_bypass dstdomain "/etc/squid3/acls/sites_bypass" # acl controlar sites (sites-proibidos) acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos" acl sites_liberados url_regex -i "/etc/squid3/acls/sites_liberados" # Sites liberados e SEM AUTENTICACAO NECESSARIA acl sites_liberados_sem_auth dstdomain "/etc/squid3/acls/sites_liberados_sem_autenticacao" # acl controlar palavras de sexo, baixo calao acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas" acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas" #acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas" #acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas" Espero que te ajude
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 28/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#45 escrito por Nerd

3 MESES ATRS

Valeu pela contribuio Gustavo. Nerd.

#46 escrito por Nerd

3 MESES ATRS

Valeu pela dica Mr. Emerson! Com relao ao problema das janelas de autenticao eu raramente tenho problemas com elas. Elas aparecem de vez em quando, mas diria que chego a passar mais de uma semana sem as v-las. Nerd

#47 escrito por Mr. Emerson 3 SEMANAS ATRS


Nerd estou com problemas srios com alguns peridicos do Capes. Aqui muita gente faz uso desses peridicos e alguns no esto abrindo. Comecei a estudar os links e percebi que o Capes encapsula todos os links de peridicos externos dentro do domnio periodicos.capes.gov.br, e a est o problema. No sei porque cargas d'guas o endereo periodicos.capes.gov.br e seus derivados no aparecem no log do Squid. Eu deixo aquele script de log aberto fazendo grep no meu ip e todos os sites que acesso so exibidos, menos o do periodicos do Capes. Como pode uma coisa dessas? Eu estou apontado para o proxy, mas o site que visito no passa pelo proxy. Algum poderia testar por favor, pra ver se essa maluquice tambm acontece com vocs?

Um dos peridicos que no acesso esse aqui: http://ovidsp.tx.ovid.com.ez106.periodicos.capes.gov.br/sp3.11.0a/ovidweb.cgi? QS2=434f4e1a73d37e8c79e5d8c142641a540d2ebd566019426c906a6f91ae7b352dcc5bdf5072d17fc3ab53507a2270466f3b1e00 D erro de timeout com o servidor proxy. J fiz os testes com capes.gov.br no arquivo sites_sem autenticacao e o problema persiste. abs

#48 escrito por Evandro


Bom dia,

2 SEMANAS ATRS

Estou configurando squid aqui no laboratrio de informtica da escola, e aparentemente estava tudo ok. Sou bastante novato com linux, portanto tenha pacincia, por favor. O problema que quando configuro o proxy nas mquinas aparece uma pgina de acesso negado ao cache e pede para efetuar login (aparece a janela pedindo login e senha). Segue squid.conf ########### INICIO DO SCRIPT ##########################
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 29/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#Porta padrao proxy http_port 3128 #Endereco de E-mail do administrador do proxy cache_mgr profgermanoimp@gmail.com #Nao faz cache de dados de formularios html,em de resultados de programas cgi #hierarchy_stoplist cgi-bin ? #Cria uma access control list, baseando-se na url e utilizando exp. regulares nesta situacao #foi criado uma exp. regular para cgi e ?. acl QUERY urlpath_regex cgi-bin \? #Nao faz cache da acl QUERY cache deny QUERY #Define o tamanho maximo de um objeto para seu armazenamento no cache local maximum_object_size 40960 KB #Define o tamanho minimo de um objeto para seu armazenamento no cache local minimum_object_size 0 KB #Define o tamanho maximo de um objeto para seu armazenamento no cache de memoria maximum_object_size_in_memory 64 KB #Definicao da quantidade de memoria ram a ser alocada para cache cache_mem 128 MB #Para nao bloquear downloads quick_abort_min -1 KB # Resolve um problema com conexsistentes que ocorre com certos servidores, # e que provoca delays em nosso cache. detect_broken_pconn on # Provoca um ganho de performance ao usar conexeline (requisiem paralelo) pipeline_prefetch on #Para cache de fqdn fqdncache_size 2048 #Tempo de atualizacao dos objetos relacionados aos prot ftp, gopher e http. refresh_pattern ^ftp:// 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #Definicao da porcentagem do uso do cache que fara o squid descartar os arquivos mais antigos cache_swap_low 90 cache_swap_high 95 #Logs access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log #Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e por fim a qtd de dir filhos cache_dir ufs /var/spool/squid3 100 16 256
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 30/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

#Controle do arquivo de Log logfile_rotate 10 #Arquivo que contem os nomes de maquinas hosts_file /etc/hosts #Maquinas que nao precisaram de autenticacao "Colocar IP" acl liberados src "/etc/squid3/liberados/liberados" http_access allow liberados #liberar o acesso ao site da caixa que est problemas acl bancos dstdomain "/etc/squid3/liberados/bancos" always_direct allow bancos cache deny bancos #MACS que estao liberados. acl macliberado arp "/etc/squid3/liberados/mac_liberado" http_access allow macliberado #### Autenticao no Windows 2008 via WINBIND auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid2.5-ntlmssp auth_param ntlm children 30 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy server auth_param basic credentialsttl 9 hours external_acl_type ad_group ttl=600 children=10 %LOGIN /usr/lib/squid3/wbinfo_group.pl ### ACL Padroes acl manager proto cache_object acl localhost src 127.0.0.1/32 acl SSL_ports port 443 # https acl SSL_ports port 444 # https acl SSL_ports port 447 # https acl SSL_ports port 563 # https acl SSL_ports port 873 # https acl SSL_ports port 7443 # https acl SSL_ports port 1000 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ftp acl Safe_ports port 20 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 1080 acl Safe_ports port 1863 acl Safe_ports port 8443 # https acl Safe_ports port 5222 # gTalk acl Safe_ports port 5223 # gTalk acl Safe_ports port 47057 # torrent

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

31/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

acl purge method PURGE acl CONNECT method CONNECT http_access http_access http_access http_access http_access http_access allow manager localhost deny manager allow purge localhost deny purge deny !Safe_ports deny CONNECT !SSL_ports

# Seguranca (Protecao do Cache) acl manager proto cache_object #Limita conexeos HTTP acl connect_abertas maxconn 8 #sites que nao serao feito cache geralmente bancos acl NOCACHE url_regex "/etc/squid3/liberados/direto" \? no_cache deny NOCACHE #-------------------------------------------------------------------------------# # Nome ACL TIPO Nome Grupo AD # #-------------------------------------------------------------------------------# acl acesso_vip external ad_group acesso_vip acl acesso_normal external ad_group acesso_normal acl acesso_rede_social external ad_group acesso_rede_social acl acesso_videos external ad_group acesso_videos acl acesso_download external ad_group acesso_download acl acesso_bloqueado external ad_group acesso_bloqueado # WHITE-LIST acl sites-liberados url_regex -i "/etc/squid3/liberados/sites_liberados" acl sites-almoco url_regex -i "/etc/squid3/liberados/sites_almoco" # BLACK-LIST acl downloads url_regex -i "/etc/squid3/bloqueados/downloads" acl sites-proibidos url_regex -i "/etc/squid3/bloqueados/sites_proibidos" acl sites-bloqueados url_regex -i "/etc/squid3/bloqueados/sites_bloqueados" acl sites-videos url_regex -i "/etc/squid3/bloqueados/sites_videos" acl sites-redes-sociais url_regex -i "/etc/squid3/bloqueados/sites_redes_sociais" acl malware url_regex -i "/etc/squid3/bloqueados/sites_malware" acl extencoes urlpath_regex -i "/etc/squid3/bloqueados/extencoes" #Bloquear determinados usuarios autenticados acl usu_bloqueados proxy_auth "/etc/squid3/bloqueados/usu_bloqueados" #Controle de acesso por horaqui, vamos liberar o acesso no hordo almoqui os usuvder acessar alguns sites diferenciados entre as 12:00 at13:00 acl almoco time MTWHFAS 12:00-13:00 #Agora vamos criar uma regra para garantir que os usu que vessar no almottenticados acl autenticados proxy_auth REQUIRED ################################## Permissoes de Acesso ################################## # usuarios vips tem permissao total menos a sites proibidos http_access allow acesso_vip # bloqueio de extencoes para todos menos usuario vip http_access deny extencoes !acesso_vip
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 32/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

# sites malware proibidos para todos os grupos http_access deny malware # usuarios acesso normal e bloqueado em tudo http_access allow acesso_normal !sites-proibidos !downloads !sitesbloqueados !sites-videos !sites-redes-sociais # usuarios acesso rede social acessa rede social menos os demais http_access allow acesso_rede_social !sites-proibidos !downloads !sitesbloqueados !sites-videos #usuarios sites de video acessa videos menos os demais http_access allow acesso_videos !sites-proibidos !downloads !sitesbloqueados !sites-redes-sociais # sites liberados para todos http_access allow sites-liberados #Aqui vamos cruzar as acls para garantir que os usu que vessar os sites no almotejam autenticados http_access allow almoco autenticados sites-almoco ################################ acls de bloqueios ######################################## http_access deny downloads http_access deny sites-bloqueados http_access deny usu_bloqueados http_access deny sites-videos http_access deny sites-redes-sociais # sites proibidos para todos os grupos http_access deny sites-proibidos #regra de bloqueio geral (bloqueio de toda a empresa, libera o que eu liberar) #http_access deny all http_reply_access allow all icp_access allow all miss_access allow all # nome visivel do servidor visible_hostname BARPROXY01 # diretorio de paginas de erro error_directory /var/www/acessonegado/ # erro personalizado por acl "regra" #deny_info http://caminho malware #cache_effective_group proxy cache_effective_user proxy coredump_dir /var/spool/squid3

#49 escrito por Nerd

4 MESES ATRS

Marcel, Voc habilitou os logs? Em que regra est parando com a solicitao de senha? Nerd.

#50 escrito por Marcel


Segue log do cache.log

4 MESES ATRS

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

33/34

13/3/2014

Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

aclmatchAclList: 0x7f77c0a72f58 returning false (AND list entry failed to match) 2013/11/06 18:04:38.520| ACLChecklist::asyncInProgress: 0x7f77c0a72f58 async set to 1 2013/11/06 18:04:38.520| ACLChecklist::checkForAsync: checking password via authenticator 2013/11/06 18:04:38.520| aclmatchAclList: async=1 nodeMatched=0

Copyright (c) 2014 by Blog do Nerd

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/

34/34