Você está na página 1de 24

2017/03/12 06:16 1/24 Squid autenticando no AD utilizando o CentOS 7

Squid autenticando no AD utilizando o


CentOS 7

E ai galera, aqui eu vou abordar a congurao do Squid no CentOS 7 autenticando no AD ou Samba


4, e vamos instalar o lightsquid um gerador de relatrios show de bola.

Prepare o seu sistema com o seguinte script


http://wiki.douglasqsantos.com.br/doku.php/connicialcentos7_en para que no falte nenhum pacote
ou congurao.

1. Endereo Ip do Proxy: 192.168.1.40


2. Endereo Ip do AD PDC ou Samba 4: 192.168.1.50
3. Domnio utilizado: douglasqsantos.com.br
4. Habilitar o dns do Windows a fazer atualizaes seguras e no seguras, pois vamos inserir o
centos no domnio.

Grupos que precisam ser criados no AD, no esquea de inserir os usurios nos grupos ;)

1. ti-admin
2. matriz-diretoria
3. matriz-gerencia
4. matriz-administracao
5. matriz-logistica

Vamos fazer um update dos repositrios e vamos fazer um upgrade do sistema

yum check-update && yum update -y

Agora vamos instalar os pacotes do samba, vamos instalar tambm o squid

yum install samba samba-client samba-common samba-winbind samba-winbind-


clients squid -y

Agora vamos inserir o samba o winbind e o squid na incializao do sistema

systemctl enable smb.service


systemctl enable nmb.service
systemctl enable winbind.service
systemctl enable squid.service

Vamos agora fazer um backup do arquivo /etc/resolv.conf

cp -Rfa /etc/resolv.conf{,.bkp}

Agora vamos ajustar o arquivo /etc/resolv.conf

vim /etc/resolv.conf
#Domnio e Ip do servidor AD

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

search douglasqsantos.com.br
nameserver 192.168.1.50

Agora vamos testar se o servidor ad esta respondendo corretamente

nslookup douglasqsantos.com.br
Server: 192.168.1.50
Address: 192.168.1.50#53

Name: douglasqsantos.com.br
Address: 192.168.1.50

Agora vamos atualizar o relgio do sistema no AD ou Samba 4

ntpdate -u 192.168.1.50

Agora vamos fazer backup do arquivo de congurao do cliente kerberos

cp -Rfa /etc/krb5.conf{,.bkp}

Agora vamos congurar o arquivo /etc/krb5.conf

vim /etc/krb5.conf
[libdefaults]
default_realm = DOUGLASQSANTOS.COM.BR
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
DOUGLASQSANTOS.COM.BR = {
kdc = 192.168.1.50
admin_server = 192.168.1.50:749
default_server = 192.168.1.50
}
[domain_realm]

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 3/24 Squid autenticando no AD utilizando o CentOS 7

.douglasqsantos.com.br=DOUGLASQSANTOS.COM.BR
douglasqsantos.com.br=DOUGLASQSANTOS.COM.BR
[login]
krb4_convert = true
krb4_get_tickets = false
[kdc]
profile = /etc/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[logging]
default = file:/var/log/krb5libs.log
kdc = file:/var/log/krb5kdc.log
admin_server = file:/var/log/kadmind.log

Agora vamos acertar o arquivo /etc/security/limits.conf para no car mostrando erro no samba

vim /etc/security/limits.conf
[...]
#colocar no final do arquivo
root hard nofile 131072
root soft nofile 65536
mioutente hard nofile 32768
mioutente soft nofile 16384

Agora vamos fazer um backup do arquivo de congurao do samba

cp -Rfa /etc/samba/smb.conf{,.bkp}

Agora vamos a congurao do samba deixe o arquivo como no exemplo

vim /etc/samba/smb.conf
[global]
workgroup = DOUGLASQSANTOS
realm = DOUGLASQSANTOS.COM.BR
netbios name = CENTOS7
server string = Proxy Server
security = ADS
auth methods = winbind
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
printcap name = cups
disable spoolss = Yes
local master = No
domain master = No
winbind cache time = 15
DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/
Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

winbind enum users = Yes


winbind enum groups = Yes
winbind use default domain = Yes
idmap config * : range = 10000-15000
idmap config * : backend = tdb
idmap uid = 10000-15000
idmap gid = 10000-15000
template shell = /bin/bash
template homedir = /home/%U

Vamos fazer um backup do arquivo /etc/nsswitch.conf

cp /etc/nsswitch.conf{,.bkp}

Agora temos que acertar o arquivo /etc/nsswitch.conf que controla aonde vai ser consultado usurios
e senhas deixe o arquivo como abaixo.

vim /etc/nsswitch.conf
[...]
passwd: files winbind
shadow: files sss
group: files winbind

Agora vamos reiniciar o smb e o nmb para eles pegarem a nova congurao

systemctl restart nmb.service


systemctl restart smb.service

Agora temos que inserir a maquina no domnio AD

net ads join douglasqsantos.com.br -U administrator


Enter administrator's password: senha
Using short domain name -- DOUGLASQSANTOS
Joined 'CENTOS7' to realm 'douglasqsantos.com.br'

Caso precise retirar a maquina do domnio da forma correta (Excluindo as ligaes dela no AD),
podemos fazer da seguinte forma

net ads leave douglasqsantos.com.br -U Administrator


Enter Administrator's password:
Deleted account for 'CENTOS' in realm 'DOUGLASQSANTOS.COM.BR '

Agora temos que reiniciar os servios novamente

systemctl restart nmb.service


systemctl restart smb.service
systemctl restart winbind.service

Agora j podemos testar a conexo do samba com o AD

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 5/24 Squid autenticando no AD utilizando o CentOS 7

wbinfo -t
checking the trust secret for domain DOUGLASQSANTOS via RPC calls succeeded

Agora vamos checar os grupos que temos no domnio.

wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
allowed rodc password replication group
denied rodc password replication group
read-only domain controllers
enterprise read-only domain controllers
dnsadmins
dnsupdateproxy
ti-admin
matriz-diretoria
matriz-gerencia
matriz-administracao
matriz-logistica

Agora vamos chegar os usurios do domnio

wbinfo -u
administrator
guest
krbtgt
douglas.santos
hillary

Reinicie o servidor para ele carregar todas as novas conguraes

reboot

Agora vamos parar o squid

systemctl stop squid.service

Vamos fazer um backup do arquivo de congurao do /etc/squid3/squid.conf

cp -Rfa /etc/squid/squid.conf{,.bkp}

Agora vamos a congurao do squid

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

vim /etc/squid/squid.conf
#Porta padro do proxy
http_port 3128

#Endereco de E-mail do administrador do proxy


cache_mgr suporte@douglasqsantos.com.br

#Nao faz cache de dados de formularios html,em de resultados de programas


cgi
#hierarchy_stoplist cgi-bin ?

#Cria uma access control list, baseando-se na url e utilizando exp.


regulares nesta situacao
#foi criado uma exp. regular para cgi e ?.
acl QUERY urlpath_regex cgi-bin \?

#Nao faz cache da acl QUERY


cache deny QUERY

#Define o tamonho maximo de um objeto para seu armazenamento no cache local


maximum_object_size 4096 KB

#Define o tamanho minimo de um objeto para seu armazenamento no cache local


minimum_object_size 0 KB

#Define o tamanho maximo de um objeto para seu armazenamento no cache de


memoria
maximum_object_size_in_memory 64 KB

#Definicao da quantidade de memoria ram a ser alocada para cache


cache_mem 60 MB

#Para nao bloquear downloads


quick_abort_min -1 KB

# Resolve um problema com conexes persistentes que ocorre com certos


servidores,
# e que provoca delays em nosso cache.
detect_broken_pconn on

# Provoca um ganho de performance ao usar conexes Pipeline (requisies em


paralelo)
pipeline_prefetch on

#Para cache de fqdn


fqdncache_size 1024

# Add any of your own refresh_pattern entries above these.


refresh_pattern ^ftp: 1440 20% 10080

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 7/24 Squid autenticando no AD utilizando o CentOS 7

refresh_pattern ^gopher: 1440 0% 1440


refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Definicao da porcentagem do uso do cache que fara o squid descartar os


arquivos mais antigos
cache_swap_low 90
cache_swap_high 95

#Logs
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#Define a localizacao do cache de disco, tamanho, qtd de diretorios pai, e


por fim a qtd de dir filhos
cache_dir aufs /var/spool/squid 100 16 256

#Controle do arquivo de Log


logfile_rotate 10

#Arquivo que contem os nomes de maquinas


hosts_file /etc/hosts

#Maquinas que nao precisaram de autenticacao


acl liberados src "/etc/squid/regras/liberados"
http_access allow liberados

#liberar o acesso ao site da caixa que est com problemas


acl caixa dstdomain caixa.gov.br
always_direct allow caixa
cache deny caixa

#MACS que esto liberados.


acl macliberado arp "/etc/squid/regras/mac_liberado"
http_access allow macliberado

### ACL Padroes


acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

acl Safe_ports port 777 # multiling http


acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1080
acl Safe_ports port 1863
acl Safe_ports port 8443 # https
acl Safe_ports port 5222 # gTalk
acl Safe_ports port 5223 # gTalk
acl Safe_ports port 47057 # torrent

acl purge method PURGE


acl CONNECT method CONNECT

http_access allow manager localhost


http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Limita conexeos HTTP


acl connect_abertas maxconn 8

#sites que no sero feito cache geralmente bancos


acl NOCACHE url_regex "/etc/squid/regras/direto" \?
no_cache deny NOCACHE

#### Autenticao no Windows 2008/2012/Samba 4 via WINBIND


auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-
ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-
basic
auth_param basic children 5
auth_param basic realm Squid proxy server
auth_param basic credentialsttl 2 hours
#Note que abaixo o meu sistema 64 ento as minhas libs esto em /usr/lib64
caso esteja utilizando sistema 32 troque para /usr/lib
external_acl_type ad_group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl

#---------------------------------------------------------------------------
--------#
# Nome ACL TIPO Nome Grupo AD
#
#---------------------------------------------------------------------------
--------#
acl ti-admin external ad_group ti-admin
acl matriz-diretoria external ad_group matriz-diretoria

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 9/24 Squid autenticando no AD utilizando o CentOS 7

acl matriz-gerencia external ad_group matriz-gerencia


acl matriz-administracao external ad_group matriz-
administracao
acl matriz-logistica external ad_group matriz-logistica

# Whitelists / Blacklists
acl downloads urlpath_regex -i "/etc/squid/regras/downloads"
acl sites-liberados url_regex -i "/etc/squid/regras/sites_liberados"
acl sites-proibidos url_regex -i "/etc/squid/regras/sites_proibidos"
acl sites-bloqueados url_regex -i "/etc/squid/regras/sites_bloqueados"
acl sites-gerencia url_regex -i "/etc/squid/regras/sites_gerencia"
acl sites-administracao url_regex -i
"/etc/squid/regras/sites_administracao"
acl sites-logistica url_regex -i "/etc/squid/regras/sites_logistica"

#Bloquear determinados usurios autenticados


acl usu_bloqueados proxy_auth "/etc/squid/regras/usu_bloqueados"

#Controle de acesso por horrio aqui, vamos liberar o acesso no horrio do


almoo
#aqui os usurio vo poder acessar alguns sites diferenciados entre as 12:00
at as 13:00
acl almoco time MTWHFAS 12:00-13:00

#Agora vamos criar uma regra para garantir que os usurios que vo acessar
no almoo esto autenticados
acl autenticados proxy_auth REQUIRED

#Agora vamos criar uma lista de sites que eles vo poder acessar no horrio
do almoo
acl sites-almoco url_regex -i "/etc/squid/regras/sites_almoco"

# Permissoes de Acesso
http_access allow ti-admin
http_access allow sites-liberados
http_access deny sites-proibidos
http_access allow matriz-diretoria
#Aqui vamos cruzar as acls para garantir que os usurios que vo acessar os
sites no almoo estejam autenticados
http_access allow almoco autenticados sites-almoco
http_access deny sites-bloqueados
http_access deny downloads
http_access deny usu_bloqueados
http_access allow matriz-administracao sites-administracao
http_access allow matriz-logistica sites-logistica
#Acesso ao site da caixa
#http_access allow caixa matriz-administracao
#http_access allow caixa matriz-diretoria
http_access deny all
http_reply_access allow all
icp_access allow all

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

miss_access allow all


visible_hostname proxy.douglasqsantos.com.br
error_directory /usr/share/squid/errors/pt-br
#cache_effective_group squid
cache_effective_user squid
coredump_dir /var/spool/squid

Galera o site da caixa j uma merda de natureza, e o maldito ainda tava dando uns paus quando o
squid vai acessar, analisando os pacotes percebi que o dns demora pra retornar uma requisio
vlida para o squid por isso a demora pra navegar, a maneira que eu resolvi foi adicionando os
endereos da caixa no /etc/hosts da da seguinte forma

vim /etc/hosts
[...]
200.201.161.106 www.caixa.gov.br www.caixa.gov.br
200.201.162.210 www1.caixa.gov.br www1.caixa.gov.br

Com isso o site da caixa vai retornar mais rapido par ao squid. ;)

Agora vamos criar o diretrio para armazenar as regras do squid

mkdir -p /etc/squid/regras

Arquivo com os ips que no precisaram de autenticao e no tero bloqueio

vim /etc/squid/regras/liberados
#Arquivo que contem os ips que no vo passar por autenticao e no tero
bloqueio
192.168.1.1
192.168.1.100

Arquivo com os macs que no precisaram de autenticao e no tero bloqueio

vim /etc/squid/regras/mac_liberado
#MACS que no precisaram de autenticao e no tero bloqueio.
01:01:01:01:01:01

Arquivo com os sites que no vamos fazer cache

vim /etc/squid/regras/direto
#Sites que no vamos fazer cache
bradesco
itau
caixa.gov
hsbc
squid-cache

Arquivo com os sites que vo poder ser acessados no horrio do almoo das 12:00 as 13:00

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 11/24 Squid autenticando no AD utilizando o CentOS 7

vim /etc/squid/regras/sites_almoco
#Sites que vo poder ser acessados no horrio de almoo
facebook
gmail

Arquivo com as extenses bloqueadas ou seja as extenses que os usurios no vo poder baixar

vim /etc/squid/regras/downloads
#Arquivo com as extenses que os usurios no vo poder baixar
\.ace$
\.af$
\.afx$
\.asf$
\.asx$
\.avi$
\.bat$
\.cmd$
\.com$
\.cpt$
\.divx$
\.dms$
\.dot$
\.dvi$
\.ez$
\.gl$
\.hqx$
\.kar$
\.lha$
\.lzh$
\.mov$
\.movie$
\.mp2$
\.mp3$
\.mpe$
\.mpeg$
\.mpg$
\.mpga$
\.pif$
\.qt$
\.ra$
\.rm$
\.rpm$
\.scr$
\.spm$
\.vbf$
\.vob$
\.vqf$
\.wav$
\.wk$
\.wma$
\.wmv$
DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/
Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

\.wpm$
\.wrd$
\.wvx$
\.wz$

Arquivo com os sites que vo estar liberados para todos os usurios autenticados

vim /etc/squid/regras/sites_liberados
#sites que vo estar liberados para todos os usurios autenticados
squid-cache
site_da_empresa

Arquivo com os sites que esto proibidos para todos os usurios

vim /etc/squid/regras/sites_proibidos
#Sites que vo estar proibidos para todos os usurios
041vip
4shared
abusado
acervoamador
acompanhante
amador
amante
anal
aninha
anus
arquivonet
arquivosex
arrebitadas
arrombadas
baixaki
bangbus
batepapo
bizarro
boceta
boneca
bronha
bruninha
buceta
bunda
buttman
cabaret
calcinhas
camerasex
caralho
caricia
carlinha
chantily
checkip.dyndns.org
chupar
http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16
2017/03/12 06:16 13/24 Squid autenticando no AD utilizando o CentOS 7

classisex
climax
clitoris
cocota
curitibasexo
curitibastarnight
cwbvip
cybersex
delicia
deliciosas
delirius
deliriusonline
easyquarto
ebuddy
ejacula
erotic
erotismo
estupro
foda
foder
fuck
furacao
galinhas
gang-bang
gangbang
gata
gatinhas
gay
getmyip.co.uk
getmyip.org
gostosa
gostoso
homosexual
hustler
idealcompany
juggworld
lolita
malicia
marcinha
megaupload
molhadinhas
morango.ig
ninfeta
ninfetinha
orgia
orkut
parperfeito
partypoker
penis
penthouse
pica

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

pinto
playboy
porno
private
pubshop
pussy
puta
putinha
redtube
revistabrazil
sandrinha
secretas
sedutoras
sensual
sex
sexlive
sexo
sexxxyvideo
sexy
sexyclube
shemale
swing
talk
teen
trafficconverter.biz
transa
travestis
tufos
vagina
virgen
youtube
zipmail
zoofilia

Arquivo que vai conter os sites bloqueados somente a diretoria pode acessar esses sites

vim /etc/squid/regras/sites_bloqueados
#Sites que esto bloqueados para todos os usurios menos a diretoria
208.80.152.2
4shared
adorocinema
afterhour
altoagito
altosagitos
amazon
americanas
aoe
aondenamoro
apolar
atleticoparanaense

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 15/24 Squid autenticando no AD utilizando o CentOS 7

atleticopr
atoouefeito
atrativa
atrativagames
aumentonatural
baixaki
batepapo
blog
blogdocebolinha
blogspot
blowjob
bluebell
bondedorole
brasilviagem
caiobafm
caixabranca
caixapreta
caixapretta
cartasdeamor
cartoon
chantily
cineplayers
cocemsuacasa
collider
comercioeletronico
corinthians
corinthians
coritiba
corpoperfeito
cowboysdoasfalto
coxa
coxanautas
declaracaodeamor
ebuddy
facearfacebook
films
filmschoolrejects
fimdostempos
flogao
forumpcs
furacao
furiajovem
fusion
futebol
galinhas
games
globo.com
gonzagaaluguel
gravatar
guiademulher
guruweb

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

gvt
hartmannimoveis
humortadela
icq
idolos
ig
imoveiscuritiba
imoveisportoseguro
imperioalviverde
investeloto
jovemnerd
jovempanfm
jpfm
jtavaresimoveis
judao
last.fm
latinoreview
lojadojardim
marisa
meebo
meebo.com
megaupload
mercadolivre
metal-archives
meucarronovo
morehate
morte
mtv
music
myspace
namoro
nokia
ofuxico
orkut
padrereginaldomanzotti
palmeiras
parperfeito
pindavale
pontofrio
portal3.casasoft
portalnoivas
powerscrap
radio
rapidshare
samsung
shop
shopfacil
shopfacil
shopinvest
shoppingtotal

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 17/24 Squid autenticando no AD utilizando o CentOS 7

siemens
socarrao
sonico
sony
superdownload
talk
televisao
teologia
teologica
tim
timmusicstore
tirinhas
tribal
twitter
upload.wikipedia.org
videolar
violencia
virtua
vivo
vocoxa
webmotors
webnoivas
wikia
wikimedia
wikipedia.com.br
wikipedia.org
yahoo
youtube
zipmail

Sites que a gerencia vai ter acesso

vim /etc/squid/regras/sites_gerencia
#Sites que o grupo de gerencia vai ter acesso
terra
uol
google
gerencia.siteempresa
bradesco
itau
caixa.gov
hsbc
.gov

Sites que a administrao vai ter acesso

vim /etc/squid/regras/sites_administracao
#Sites que o grupo adminstracao vai ter acesso
adm.siteempresa
bradesco
itau

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

hsbc
caixa.gov

Sites que a logstica vai ter acesso

vim /etc/squid/regras/sites_logistica
#Sites que o grupo logistica vai ter acesso
logistica.siteempresa

Bloquear determinados usurios autenticados

vim /etc/squid/regras/usu_bloqueados
#Usurios que vo ser bloquados no proxy
jose.silva

Agora crie os grupos e usurios no AD

Vamos consultar os nossos usurios do Ad

wbinfo -u
DEBIAN\nobody
DEBIAN\douglas
administrator
guest
krbtgt
douglas.santos
hillary

Agora crie os grupos e usurios no AD, caso ainda no tenha feito isso

wbinfo -g
winrmremotewmiusers__
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
allowed rodc password replication group
denied rodc password replication group
read-only domain controllers
enterprise read-only domain controllers
cloneable domain controllers
dnsadmins
dnsupdateproxy

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 19/24 Squid autenticando no AD utilizando o CentOS 7

ti-admin
matriz-diretoria
matriz-gerencia
matriz-administracao
matriz-logistica

Agora vamos consultar o grupo ti-admin para conferir os usurios que fazem parte deste grupo.

wbinfo --group-info=ti-admin
ti-admin:x:10000:douglas.santos

Como pode ser notado ns temos o usurio Douglas no grupo ti-admin

Agora vamos consultar informaes sobre o nosso usurio douglas

wbinfo --user-groups=douglas.santos
10001
10000

O nosso usurio pertence a dois grupos do domnio o grupo 10001 e o 10000 vamos descobrir quem
so estes grupos.

Vamos consultar primeiro o grupo 10000

wbinfo --gid-info=10000
ti-admin:x:10000:douglas.santos

Como pode ser notado o grupo 10000 o grupo ti-admin agora vamos consultar o grupo 10001

wbinfo --gid-info=10001
domain users:x:10001:

Como pode ser notado o grupo 10001 o grupo domain users ou seja os usurios de domnio.

Agora temos que criar os diretrios para o squid armazenar o cache

squid -z

Agora podemos iniciar ele

systemctl start squid.service

OBS: NO ESQUECA DE CRIAR OS GRUPOS NO AD ou Samba 4 E COLOCAR OS USURIOS


NOS GRUPOS

Para testar a autenticao com o AD pode ser efetuado com o seguinte comando

wbinfo -a usuario%senha
plaintext password authentication succeeded #-> sada com sucesso
challenge/response password authentication succeeded #-> sada com sucesso

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

Agora um teste com uma sada de erro

wbinfo -a usuario%senhaerrada
plaintext password authentication failed #-> sada com erro
Could not authenticate user usuario%senhaerrada with plaintext password #->
sada com erro
challenge/response password authentication failed #-> sada com erro
error code was NT_STATUS_NO_LOGON_SERVERS (0xc000005e) #-> sada com erro
error messsage was: No logon servers #-> sada com erro
Could not authenticate user usuario with challenge/response #-> sada com
erro

Podemos testar a autenticao do Squid com o AD da seguinte forma

ntlm_auth --help-protocol=squid-2.5-basic --domain=dominio --


username=usuario --password=senha
NT_STATUS_OK: Success (0x0) #-> sada com sucesso

Agora um teste com sada de erro

ntlm_auth --help-protocol=squid-2.5-basic --domain=dominio --


username=usuario --password=senhaerrada
NT_STATUS_IO_TIMEOUT: NT_STATUS_IO_TIMEOUT (0xc00000b5) #-> sada de erro

Instalao e Congurao do lightsquid

Podemos ver um demo do lightsquid em


http://lightsquid.sourceforge.net/demo18/index.cgi?year=2009&month=08

Agora vamos fazer um update dos repositrios e um upgrade do sistema

yum check-update && yum update -y

Agora vamos instalar as dependncias dele

yum install perl-GD perl-CGI httpd -y

Agora vamos obter o lightsquid

cd /var/www/html/
wget -c
http://wiki.douglasqsantos.com.br/Downloads/monitoring/lightsquid-1.8.tgz

Agora vamos desempacotar ele

tar -xzvf lightsquid-1.8.tgz

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 21/24 Squid autenticando no AD utilizando o CentOS 7

Agora vamos remover o tgz

rm -rf lightsquid-1.8.tgz

Agora vamos renomear o nosso diretrio do lightsquid

mv lightsquid-1.8 lightsquid

Agora vamos acertar as permisses dos arquivos

cd lightsquid
chmod +x *.cgi
chmod +x *.pl

Agora vamos mudar o dono do diretrio

chown -R apache:apache /var/www/html/lightsquid

Agora vamos ajustar o arquivo do apache

vim /etc/httpd/conf/httpd.conf
[...]
#Insira as linhas abaixo no final do arquivo
<Directory "/var/www/html/lightsquid">
DirectoryIndex index.cgi
Options ExecCGI Indexes MultiViews SymLinksIfOwnerMatch
AddHandler cgi-script .cgi
Require all granted
</Directory>
[...]

Agora vamos ajustar o idioma do lightsquid

vim /var/www/html/lightsquid/lightsquid.cfg
[...]
$lang ="pt_br";

Agora vamos testar o lightsquid

perl /var/www/html/lightsquid/check-setup.pl
LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL

LogPath : /var/log/squid
reportpath: /var/www/html/lightsquid/report
Lang : /var/www/html/lightsquid/lang/pt_br
Template : /var/www/html/lightsquid/tpl/base
Ip2Name : /var/www/html/lightsquid/ip2name/ip2name.simple

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

all check passed, now try access to cgi part in browse

Agora vamos inserir o apache na inicializao do sistema

systemctl enable httpd.service

Agora vamos iniciar o apache

systemctl start httpd.service

Agora vamos gerar os nossos relatrios

/var/www/html/lightsquid/lightparser.pl

Agora j podemos acessar o nosso relatrio em http://ip_servidor/lightsquid/

Umas das opes interessantes que eu acho desse cara que podemos congurar grupos para os
usurios, com isso podemos mandar consultar quais grupos acessaram o que e quais usurios
pertences a eles.

Vamos acessar o diretrio do lightsquid

cd /var/www/html/lightsquid

Agora vamos fazer uma copia do group.cfg

cp group.cfg.src group.cfg

Agora vamos editar o nosso arquivo

vim group.cfg
douglas.santos 01 ti-admin
anderson.angelote 01 ti-admin
hillary 02 matriz-logistica
nerso 02 matriz-logistica

Aqui temos na primeira coluna o nome do usurio poderia ser o endereo ip do cliente, na segunda
coluna o nmero do grupo e a terceira coluna o nome do grupo

Agora para que aparea a identicao dos grupos precisamos gerar novamente o nosso relatrio.

/var/www/html/lightsquid/lightparser.pl

Outra opo bacana que temos fazer o mapeamento para nomes completos por exemplo o nome
douglas.santos vamos mapear para Douglas Quintiliano dos Santos, o arquivo que precisamos editar
o seguinte

vim /var/www/html/lightsquid/realname.cfg
douglas.santos Douglas Quintiliano dos Santos

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16


2017/03/12 06:16 23/24 Squid autenticando no AD utilizando o CentOS 7

192.168.1.3 Nerso da Silva

Aqui podemos mapear tanto nomes de usurios como endereo ip com isso no relatrio podemos no
lembrar na hora quem utilizar o ip 192.168.1.3 mais pelo nome bem mais fcil de cobrar um
determinado usurio, aps efetuar a modicao precisamos gerar o relatrio novamente

/var/www/html/lightsquid/lightparser.pl

Agora vamos criar um agendamento no cron para gerar automaticamente o nosso relatrio:

crontab -e
[...]
*/20 * * * * /var/www/html/lightsquid/lightparser.pl today

Agora vamos criar um virtualhost para o lightsquid

vim /etc/httpd/conf.d/lightsquid.conf
<VirtualHost *:80>
ServerName lightsquid.douglasqsantos.com.br
ServerAlias lightsquid.douglasqsantos.com.br
DocumentRoot "/var/www/html/lightsquid"

#Controle de acesso ao lightsquid


<Directory "/var/www/html/lightsquid">
DirectoryIndex index.cgi
Options ExecCGI Indexes MultiViews SymLinksIfOwnerMatch
AddHandler cgi-script .cgi
AllowOverride All

#Autenticao do lightsquid
AuthUserFile /etc/httpd/access/lightsquid-htpasswd
AuthName "LightSquid"
AuthType Basic
require valid-user
</Directory>

#Configurao dos logs do apache


ErrorLog /var/log/httpd/lightsquid.douglasqsantos.com.br-error.log
CustomLog /var/log/httpd/lightsquid.douglasqsantos.com.br-access.log common

#Retirando a assinatura do Apache


ServerSignature Off

#Nivel de alertas de info nos logs


LogLevel info
</VirtualHost>

Agora vamos criar o diretrio que vai conter o arquivo de controle dos usurios que podem acessar o
lightsquid

DQS CONSULTORIA E TREINAMENTOS - http://wiki.douglasqsantos.com.br/


Last
update:
squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br
2016/12/23
22:19

mkdir /etc/httpd/access/

Agora vamos gerar o usurio e a senha, aqui eu vou cadastrar o usurio lightsquid

htpasswd -s -c /etc/httpd/access/lightsquid-htpasswd lightsquid


New password:
Re-type new password:
Adding password for user lightsquid

Agora vamos reiniciar o apache

systemctl restart httpd.service

Agora j podemos acessar http://lightsquid.douglasqsantos.com.br ou http://ip_servidor

Referncias
1. http://wiki.squid-cache.org/
2. http://wiki.squid-cache.org/CongExamples/
3. http://wiki.squid-cache.org/CongExamples/Authenticate/WindowsActiveDirectory
4. http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#ads-
member
5. http://www.squid-cache.org/Doc/cong/
6. http://wiki.squid-cache.org/SquidFaq
7. http://www2.savant.com.br/index.php/artigos/tutoriais/34
8. http://wiki.squid-cache.org/SquidFaq/SquidAcl
9. http://lightsquid.sourceforge.net/Installs.html
10. http://lightsquid.sourceforge.net/Index2.html
11. http://httpd.apache.org/docs/2.4/mod/core.html#options

From:
http://wiki.douglasqsantos.com.br/ - DQS CONSULTORIA E TREINAMENTOS

Permanent link:
http://wiki.douglasqsantos.com.br/doku.php/squid_autenticando_no_ad_ou_samba4_utilizando_centos_7_pt_br

Last update: 2016/12/23 22:19

http://wiki.douglasqsantos.com.br/ Printed on 2017/03/12 06:16