none
Proxy Transparent com squid e Windows Server 2008 RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Galera, sei que a minha dúvida envolve tambem software livre mas o mundo é assim. INTEGRAÇÃO. Preciso integrar squid com ad ds (server 2008). Beleza isso eu já estou conseguindo via squid_ldap_auth mas está sempre pedindo a tela de autenticação. Com o Server 2003 usavamos o ntlm e conseguiamos colocar o proxy transparente sem problema.

    Minha pergunta é: Alguém já conseguiu essa façanha de colocar o squid como transparente integrando com o AD do Server 2008? Já fiz alterações do registro do server 2008 e do windows 7 e nada.

    Meu ambiente: Sevidor CentOS 5.4 32 bits com Windows server 2008 r2 e maquinas clientes windows 7.

    Desde já agradeço a todos

    Peço que se alguem conseguiu me ajude. alexandre@servercold.com.br

    • Movido Richard Juhasz quarta-feira, 29 de dezembro de 2010 18:49 thread movida (De:Windows Server 2008)
    quinta-feira, 23 de dezembro de 2010 19:51
    |

Respostas

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Alexandre,

    Quando você trabalha com proxy transparente não existe um processo de autenticação, e por isso não é necessária a integração entre o squid e o AD.

    Eu tenho o squid rodando integrado ao AD 2008, porém o proxy é autenticado.

    Everson Santos Amancio MCITP Server Administrator Windows Server 2008 MCTS Windows Server 2008
    segunda-feira, 27 de dezembro de 2010 14:15
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Everson

     

    O proxy autenticado com o AD tambem já consegui mas estou tentando fazer funcionar o mesmo ambiente que

    tinhamos com Clientes windows XP e server 2008 onde configuramos o NTLM para que quando o usuário loga na maquina ele tambem autentica no ad e com isso consigo fazer a liberação pelo grupo e não pelo endereço de rede. entendeu?

    Obrigado pelo retorno.

    segunda-feira, 27 de dezembro de 2010 14:43
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Desculpe escrevi errado. O mesmo ambiente que quero aplicar é Windows Xp com server 2003. O meu ambiente atual é Windows 7 com Server 2008.

    segunda-feira, 27 de dezembro de 2010 14:45
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Alexandre,

    Liberação por grupos só é possível em proxy autenticado.

    A desvantagem do uso do proxy transparente é justamente não poder controlar o que os usuários acessam ou definir hierarquia de acesso.

    É possível trabalhar com proxy transparente e autenticado simultaneamente. Segue um link sobre squid autenticado e transparente. 

    http://www.vivaolinux.com.br/artigo/Squid-+-proxy-transparente-+-autentificacao-+-SSL/

    Everson Santos Amancio MCITP Server Administrator Windows Server 2008 MCTS Windows Server 2008
    segunda-feira, 27 de dezembro de 2010 14:53
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Everson

    Obrigado amigão pelo link. Darei uma estudada nele e verei se me atende.

     

    Um grande abreço. Se me atender posto aqui a solução.

     

    segunda-feira, 27 de dezembro de 2010 14:57
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Everson

    Esta solução nao me atende pois o meu proxy não faz a comunicação com a internet diretamente. Ele será apenas proxy. Não utilizarei iptables ou coisa parecida. Ele só terá o serviço do squid rodando.

    Mas mesmo assim obrigado.

     

    segunda-feira, 27 de dezembro de 2010 15:55
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    O Squid tem que ser o SQUID 2.7 STABLE8, e as seguintes policies tem que ser alterada.

    Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options

    Domain member: Digitally encrypt or sign secure channel data (always) – DISABLED
    Domain member: Digitally encrypt secure channel data (when possible) – DISABLED
    Domain member: Digitally sign secure channel data (when possible) – DISABLED
    Domain member: Require strong (Windows 2000 or later) session key – DISABLED
    Microsoft network client: Digitally sign communications (always) – DISABLED
    Microsoft network client: Digitally sign communications (if server agrees) – DISABLED
    Microsoft network server: Digitally sign communications (always) – DISABLED
    Microsoft network server: Digitally sign communications (if client agrees) – DISABLED
    Network security: LAN Manager authentication level - Send LM & NTLM - use NTLMv2 if negotiated

    "The problem is the autentificación NTLM of Windows7. It is necessary to create the following key in the registry to solve it (I'm using Squid Version 3.0.STABLE8 in Debian Lenny):

    1. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    If it doesn’t exist, create a DWORD value named LmCompatibilityLevel and set the value to 1 to use LM NTLM and NTLMv2 if is negociated, this is
    Also it works establishing the value to 0, and 3 though for more safety the value using 3 though with old operating systems it will not work on having used obligatorily NTLMv2.

    To follow the link for more information: http://technet.microsoft.com/es-es/magazine/2006.08.securitywatch(en-us).aspx"

    Source: http://www.nabble.com/Windows-7-beta-and-NTLM-td21377271.html

    Porém é como o Everson falou, você só vai trabalhar com usuários e não com grupos.

     

    Obrigado.

     

    Marlon

    segunda-feira, 3 de janeiro de 2011 14:40
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Marlon

    Muito obrigado pelo retorno. Farei o teste aqui e posto o resultado.

     

    terça-feira, 4 de janeiro de 2011 13:40
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Marlon

    Fiz os procedimentos que informou com o squid 2.6 stable26 consigo autenticar via NTLM mas a minha duvida é a seguinte. Como voce faria o controle de conteudo pelo usuário? Seria outro parametro no squid? Qual a diferenca entre o Squid 2.6 stable26 para o squid 2.7 stable8?

     

    terça-feira, 4 de janeiro de 2011 16:51
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Algumas bibliotecas apenas, mas se você conseguiu com o 2.6, maravilha.

     

    A questão de tratar por usuário é o seguinte:Quando você faz proxy transparente não da pra usar grupos do AD (ou pelo menos eu nunca vi funcionando .Então você fala que só usuário autenticados podem navegar e depois faz grupos no proprio squid.

     

    acl ntlm_users proxy_auth REQUIRED

    acl usersFull proxy_auth "/etc/squid/grupousersfull"
    http_access allow ntlm_users
    http_access deny all
     

     

    Algo Mais ou menos assim.

    Se ajudei favor marcar minha resposta como solução| Marlon de Paula |
    terça-feira, 4 de janeiro de 2011 18:03
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Maravilha.

    Eu já conseguir fazer com o Server 2003 + windows XP. Mas com o surgimento do 2008 e Win7 as coisas mudaram totalmente. Vou buscar essa solução que voce colocou ai.

    Valeu cara pelo apoio.

     

     

    • Sugerido como Resposta Souza Spot infor quarta-feira, 28 de agosto de 2013 18:28
    • Não Sugerido como Resposta Souza Spot infor quarta-feira, 28 de agosto de 2013 18:28
    terça-feira, 4 de janeiro de 2011 18:57
    |