Me guiei por este tutorial : http://174.123.53.162/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory/
voce precisa de kerberos, winbind, samba e squid funcionando em conjunto. O principal problema chama-se DNS, os nomes de hosts precisam ser encontrados entre si. Tive uns tropeços no artigo, mas dá para se virar. O problema de eu voltar a usar o wpad (mesmo usando a autoconfiguracao que há nos navegadores) é que vou precisar montar webserver, e sinceramente não estava a fim. O resultado final do squid com ntlm é muito bom. Aqueles que estao usando windows quando navegam nenhum popup de autenticacao é mostrado, no entanto aparece nos logs os nomes deles. Aqueles que não estão no dominio ou o navegador não é compativel com ntlm (ie e firefox são) recebem uma janela de popup normal de autenticação. Pesquisando um pouco mais no Google, noto que não sou o único com este problema. Assim tenho que fazer a escolha de Sofia : - Navegagar por proxy transparente (que fizem ser mais rápido, mas nunca ví) - Autenticacao por NTLM, onde os usuários (maioria windows) não precisam bater senha. Triste, não ? []'s Em 13 de maio de 2010 14:45, Allison Vollmann <[email protected]> escreveu: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Em 13/5/2010 14:22, hamacker escreveu: >> Ref : Alguem ai conseguiu usar squid3+proxy >> transparente+squid3+autenticacao por ntlm ? >> Olá pessoal, >> >> Estou instalando um servidor, fiz um script com iptables onde alem de >> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy >> transparente). >> Tambem configurei o squid3 de acordo com a instrucao : >> http_port 192.168.1.24:3128 transparent >> >> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows >> não precisam de popup de autenticacao. >> Mas ninguem navega ! >> Se eu remover "transparent" da instrucao no squid3.conf : >> http_port 192.168.1.24:3128 ***transparent*** >> >> Daí tudo funciona numa boa. >> >> Olhando os logs eu consigo isso : >> >> $ tail -f /var/log/squid3/cache.log >> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not >> applicable on transparently intercepted requests. >> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not >> applicable on transparently intercepted requests. >> (...) >> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not >> applicable on transparently intercepted requests. >> >> Será mesmo que proxy transparente com autenticacao NTLM realmente não >> podem funcionar juntos ? >> >> > > Olá, > > Será que o caso é do NTLM mesmo? Com essas configurações se você > tentar autenticar no proxy manualmente ele navega? > > Pelas mensagens de log ele não aceita autenticação na conexão em proxy > transparente, eu recomendaria configurar um http_port separado para o > proxy transparente e fazer os redirecionamentos pelo firewall. > > Outra coisa, as estações que estão acessando por NTLM estão com as > configurações de proxy ativas? ele pode estar passando as informações > de logon para o proxy transparente, o que poderia ser o problema > também, neste caso seria interessante utilizar WPAD para setar as > configurações automaticamente e ativar essa opção no navegador. > > Só uma dúvida, nunca usei NTLM e pelo que li é complicado pois não > existem muitas aplicações que suportam, você conseguiu adaptar isso a > sua estrutura (algo que seja diferente de IE/Exchange)? Pretendo > futuramente atualizar a estrutura para squid3 também e colocar NTLM/WPAD > > A[]'s > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.9 (MingW32) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ > > iEYEARECAAYFAkvsOq0ACgkQ7OAY7mv8BhlRagCgtdPqjoQqFZ0kzw3BLWb12Os4 > zdEAoIljj9dqSMOtHe0SbsUAEvaT1nCn > =Xrd8 > -----END PGP SIGNATURE----- > > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: http://lists.debian.org/[email protected] > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
