Eu instalei o samba / squid assim, para acesso ao active directory :
1o. - Instale o SAMBA 3.0.x - incluir --with-winbind
2o. - configure o smb.conf
[global]
workgroup = MMCBWS
os level = 2
unix extensions = yes
map to guest = no
debug level = 1
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
wins server = 172.30.32.15
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
netbios name = proxycat
realm = mmcb.intranet
password server = 172.30.32.15, 172.30.32.95
encrypt passwords = yes
server string = proxycat - Samba Server
allow trusted domains = no
idmap backend = idmap_rid:MMCBWS=10000-20000
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind nested groups = Yes
winbind separator = \\
...
3o. Compilar o SQUID com :
./configure ...(apenas a parte que interessa )
--enable-auth="basic,digest,ntlm" \
--enable-basic-auth-helpers="PAM SMB NCSA" \
--enable-ntlm-auth-helpers="SMB no_check fakeauth" \
--enable-digest-auth-helpers=password \
--with-samba-sources=/usr/programas/samba-3.0.20b \
--enable-ntlm-fail-open \
--enable-external-acl-helpers="ip_user unix_group ldap_group wbinfo_group" \
...
4o. Startar o winbind ( /usr/local/samba/sbin/winbindd )e incluir o servidor
freebsd na rede windows
( veja - net join ou net rpc )
5o. Verifique se o servidor está no dominio
wbinfo -t
checking the trust secret via RPC calls succeeded
( se der a mensagem acima, beleza )
wbinfo -g ## deve trazer a lista de grupos do AD
Se não funcionar, retorne a ponto 3.
6o. Configurar o squid.conf assim : ( apenas as partes que interessa )
###
auth_param ntlm program /usr/local/samba/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
# auth_param ntlm realm Autenticacao de acesso a internet
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/samba/bin/ntlm_auth
--helper-protocol=squid-2.5-basic
auth_param basic children 25
auth_param basic realm Autenticacao de acesso a internet
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
...
...
#********************** AUTENTICACAO DE USUARIOS *************************
# Verificar grupo do usuario
external_acl_type NT_global_group concurrency=35 %LOGIN
/usr/local/squid/libexec/wbinfo_group.pl
# Verificar gredenciais do usuario
acl Internet proxy_auth REQUIRED
# -------------Grupo Infra-Estrutura de Sistemas--------------------
acl InfraEstrutura external NT_global_group GG_CAT_Sistemas_Infra
http_access allow rede_mmcb Internet InfraEstrutura
# -------------Grupo Diretores--------------------------------------
acl Diretores external NT_global_group Internet_Diretores
http_access allow rede_mmcb Internet Diretores
###--------fim squid.conf-------------------------###
Coloque o squid no ar e teste.
Qualquer dúvida, entre em contato.
Sérgio Ferreira
WGO Telecom
-----Mensagem original-----
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome
de Márcio Luciano Donada
Enviada em: quinta-feira, 13 de abril de 2006 17:22
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] RES: Squid + squid_ldap_auth
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Sérgio José Ferreira wrote:
> Se estiver usando autenticação NTLM, não vai pedir senha mesmo.
>
> Quando o IE recebe a solicitação de senha ele envia os dados do
> usuário que está logado na máquina.
>
> Para pedir senha apenas autenticação "BASIC"
>
> Sérgio Ferreira WGO Telecom
>
>
Eu criei um grupo no ldap chamado Internet e gostaria de vincular ai
usuários que poderam ter acesso à Internet e ao mesmo tempo associar o
endereço IP do cara no Ldap. Alguém poderia me dar uma pista de como
fazer o filtro, já consultei alguns materiais e mesmo assim ainda
autentica qualquer usuário da base, a regra ficou assim:
auth_param basic program /usr/lib/squid/squid_ldap_group -B
"cn=Internet,ou=Grupos,dc=auroraalimentos,dc=com,dc=br" -b
"ou=Grupos,dc=auroraalimentos,dc=com,dc=br" -f "(memberUid=%u)" -D
"cn=suporte,dc=auroraalimentos,dc=com,dc=br" -w adaasdafadsfasdf -h
121.1.16.245
Alguma dica?
Obrigado,
- --
Atenciosamente,
Márcio Luciano Donada
T.I. Aurora Alimentos - Chapecó(SC)
Cooperativa Central Oeste Catarinense
Telefones (49)33213161 ou (49)33213182
mdonada at auroraalimentos dot com dot br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (FreeBSD)
iD8DBQFEPrLfyJq2hZEymxcRAgnOAJ9BeqeVOIQS6UHy6YpNe41VDeL1JQCcDwc8
iI3bGolaA0JmDWpdgTIfpIQ=
=Jx1Q
-----END PGP SIGNATURE-----
_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
