Squid autenticado no AD.
Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. *Greyson Farias da Silva* Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODFhttp://pt.wikipedia.org/wiki/OpenDocument . http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Eu já tive esse tipo de problema e resolvi assim: http://www.vivaolinux.com.br/dica/Como-fazer-o-Windows-7-autenticar-no-Squid-usando-NTLM_AUTH Em 7 de junho de 2013 10:30, Greyson Farias greysonsi...@gmail.comescreveu: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. *Greyson Farias da Silva* Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODFhttp://pt.wikipedia.org/wiki/OpenDocument . http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0 -- *Geowany Galdino Alves* *Assistente em Tecnologia da Informação - NTI/UFAC* *Acadêmico em Licenciatura Plena - HISTÓRIA/UFAC***
Re: Squid autenticado no AD.
Concordo, mas isso não é viável para mim, pois quero aproveitar as credenciais já concedidas pelo usuário no logon. Afinal, essa é a função do AD, logon único. Estou utilizando NTlmv2, vou tentar rebaixar para Ntlm, ví alguns erros de time out no log. -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info On Fri, 2013-06-07 at 10:30 -0400, Greyson Farias wrote: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. Greyson Farias da Silva Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODF. http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370617305.17153.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Ok, essa modificação na chave do registro faz com o que o Windows 7 utilize ntlm em vez de ntlmv2 que é o padrão dele. O squid aceita ntlmv2, mas no meu caso me parece que estou tendo erros por conta de time out, vou rebaixar a autenticação para ntlm no squid e no AD para ver se resolve. -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info On Fri, 2013-06-07 at 10:43 -0400, Geowany Alves wrote: Eu já tive esse tipo de problema e resolvi assim: http://www.vivaolinux.com.br/dica/Como-fazer-o-Windows-7-autenticar-no-Squid-usando-NTLM_AUTH Em 7 de junho de 2013 10:30, Greyson Farias greysonsi...@gmail.com escreveu: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. Greyson Farias da Silva Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODF. http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt| pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
squid autenticado no AD + WPAD
Caros, A alguns dias atraz levantei uma questão na lista a respeito de redirecionar de forma automagica os clientes para um proxy autenticado, seguindo a orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha estrutura é a seguinte: Tenho um servidor de domínio windows 2008 com AD Squid autetica no AD via NTLM de forma que o login dos usuários é passado no monento do login nas estações. O que acontece e que em virtude de serem clientes com várias filiais e os funcionários transitarem entre essas filiais, inviabiliza que se marque o proxy no navegador, foi entao que entrou a solução do WPAD, crie o redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o script do WPAD no servidor do proxy, marquei nas opções do navegador detectar automaticamente as configurações, nas estações windows XP funcionou sem problema algum mas nas estações com windows 7 nao funcionou nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na lista ja implementou algo parecido ou ja teve esse problema que possa me dar uma dica de como resolver. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: squid autenticado no AD + WPAD
Vamos ao que eu me lembro e ao que tenho aqui. Voce configura o DNS para um subdominio wpad.seudominio.com.br onde rodará um http server, no root desse http voce deixa um arquivo chamado wpad.dat (com chmod/chown para que todos possam ler tal arquivo) com mais ou menos o seguinte conteúdo : /* Arquivo de autoconfiguração de proxy para qualquer */ /* navegator que suporte essa opção, codigo fonte em */ /* javascript padrao do W3C */ function FindProxyForURL(url, host) { if (shExpMatch(host, 127.0.0.1)) { return DIRECT; } if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; } /* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */ return PROXY 192.168.1.254:3128; DIRECT ; } Tanto Mozilla como o IE funcionam implementado desse jeito. Com respeito a autenticação, depende exclusivamente do squid. Se voce percebeu que a autoconfiguração do navegador tá funcionando então desencana de mexer nisso e concentre-se apenas no squid+ad. O AD2008 por padrão não confia em máquinas que não fizeram um join no seu dominio, assim talvez voce tenha de acrescentar um host no AD na mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além disso, tenha atenção ao Wizard de segurança do W2008, onde há uma seção desse wizard que questiona se há em sua rede máquinas anteriores a windows xp, se voce responder Não, o Server configurará a sí próprio para não manter laços com Win9x, NT e tambem...Linuxes. Como vê tem muitas possibilidades, eu apenas estou conjecturando o que pode estar havendo no seu caso. []'s e sucesso. Em 19 de abril de 2010 09:21, Leandro Moreira lean...@leandromoreira.eti.br escreveu: Caros, A alguns dias atraz levantei uma questão na lista a respeito de redirecionar de forma automagica os clientes para um proxy autenticado, seguindo a orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha estrutura é a seguinte: Tenho um servidor de domínio windows 2008 com AD Squid autetica no AD via NTLM de forma que o login dos usuários é passado no monento do login nas estações. O que acontece e que em virtude de serem clientes com várias filiais e os funcionários transitarem entre essas filiais, inviabiliza que se marque o proxy no navegador, foi entao que entrou a solução do WPAD, crie o redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o script do WPAD no servidor do proxy, marquei nas opções do navegador detectar automaticamente as configurações, nas estações windows XP funcionou sem problema algum mas nas estações com windows 7 nao funcionou nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na lista ja implementou algo parecido ou ja teve esse problema que possa me dar uma dica de como resolver. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/z2vdc83aa2f1004190727z172a95aaib94ece659b638...@mail.gmail.com
Re: squid autenticado no AD + WPAD
Hamacker, Voce poderia me dizer como encontro esse wizard de segurança que voce citou?, como relação a autenticação so ta dando problema com o windows7, XP, e próprio 2008 o redirecionamento com o WPAD funciona normalmente. Me parece que o comando de sautenticação do w7 e que é diferente: # 2008 [2010/04/19 14:38:10, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(745) Got user=[lmoreira] domain=[LEALTECH] workstation=[LEALBR01] len1=24 len2=222 # W7 [2010/04/19 07:27:31, 3] utils/ntlm_auth.c:winbind_pw_check(545) Login for user [lealtech]\[lmorei...@[vm-w7] failed due to [Invalid parameter] Essas informações eu extrai do cache log do squid, estou entendendo que o windows 7 usa um conjunto diferente de parâmetros para realizar a autenticação, de forma que ou se altera no windows 7 ou na configuração do squid, de qualquer forma, fiz um snapshot do servidor (maquina virtual) estou passando pra versão de testing uma vez que o samba anterior a versão 3.4 tem alguns problemas de integração com o windows 7, e o samba faz a ponte entre o linux e o AD. Att. Leandro Moreira. Em 19 de abril de 2010 11:27, hamacker sirhamac...@gmail.com escreveu: Vamos ao que eu me lembro e ao que tenho aqui. Voce configura o DNS para um subdominio wpad.seudominio.com.br onde rodará um http server, no root desse http voce deixa um arquivo chamado wpad.dat (com chmod/chown para que todos possam ler tal arquivo) com mais ou menos o seguinte conteúdo : /* Arquivo de autoconfiguração de proxy para qualquer */ /* navegator que suporte essa opção, codigo fonte em */ /* javascript padrao do W3C */ function FindProxyForURL(url, host) { if (shExpMatch(host, 127.0.0.1)) { return DIRECT; } if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; } /* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */ return PROXY 192.168.1.254:3128; DIRECT ; } Tanto Mozilla como o IE funcionam implementado desse jeito. Com respeito a autenticação, depende exclusivamente do squid. Se voce percebeu que a autoconfiguração do navegador tá funcionando então desencana de mexer nisso e concentre-se apenas no squid+ad. O AD2008 por padrão não confia em máquinas que não fizeram um join no seu dominio, assim talvez voce tenha de acrescentar um host no AD na mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além disso, tenha atenção ao Wizard de segurança do W2008, onde há uma seção desse wizard que questiona se há em sua rede máquinas anteriores a windows xp, se voce responder Não, o Server configurará a sí próprio para não manter laços com Win9x, NT e tambem...Linuxes. Como vê tem muitas possibilidades, eu apenas estou conjecturando o que pode estar havendo no seu caso. []'s e sucesso. Em 19 de abril de 2010 09:21, Leandro Moreira lean...@leandromoreira.eti.br escreveu: Caros, A alguns dias atraz levantei uma questão na lista a respeito de redirecionar de forma automagica os clientes para um proxy autenticado, seguindo a orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha estrutura é a seguinte: Tenho um servidor de domínio windows 2008 com AD Squid autetica no AD via NTLM de forma que o login dos usuários é passado no monento do login nas estações. O que acontece e que em virtude de serem clientes com várias filiais e os funcionários transitarem entre essas filiais, inviabiliza que se marque o proxy no navegador, foi entao que entrou a solução do WPAD, crie o redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o script do WPAD no servidor do proxy, marquei nas opções do navegador detectar automaticamente as configurações, nas estações windows XP funcionou sem problema algum mas nas estações com windows 7 nao funcionou nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na lista ja implementou algo parecido ou ja teve esse problema que possa me dar uma dica de como resolver. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: squid autenticado no AD + WPAD
Pô, aí já é suporte de Windows, vou ter que cobrar :) Em ferramentas administrativas voce o encontra com o nome de Assistente de Configuração de Segurança. Mas se voce nunca usou este wizard, então ele não vai te resolver o problema e executa-lo sem orientação perita poderá lhe criar mais problemas do que soluções. []'s Em 19 de abril de 2010 14:54, Leandro Moreira lean...@leandromoreira.eti.br escreveu: Hamacker, Voce poderia me dizer como encontro esse wizard de segurança que voce citou?, como relação a autenticação so ta dando problema com o windows7, XP, e próprio 2008 o redirecionamento com o WPAD funciona normalmente. Me parece que o comando de sautenticação do w7 e que é diferente: # 2008 [2010/04/19 14:38:10, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(745) Got user=[lmoreira] domain=[LEALTECH] workstation=[LEALBR01] len1=24 len2=222 # W7 [2010/04/19 07:27:31, 3] utils/ntlm_auth.c:winbind_pw_check(545) Login for user [lealtech]\[lmorei...@[vm-w7] failed due to [Invalid parameter] Essas informações eu extrai do cache log do squid, estou entendendo que o windows 7 usa um conjunto diferente de parâmetros para realizar a autenticação, de forma que ou se altera no windows 7 ou na configuração do squid, de qualquer forma, fiz um snapshot do servidor (maquina virtual) estou passando pra versão de testing uma vez que o samba anterior a versão 3.4 tem alguns problemas de integração com o windows 7, e o samba faz a ponte entre o linux e o AD. Att. Leandro Moreira. Em 19 de abril de 2010 11:27, hamacker sirhamac...@gmail.com escreveu: Vamos ao que eu me lembro e ao que tenho aqui. Voce configura o DNS para um subdominio wpad.seudominio.com.br onde rodará um http server, no root desse http voce deixa um arquivo chamado wpad.dat (com chmod/chown para que todos possam ler tal arquivo) com mais ou menos o seguinte conteúdo : /* Arquivo de autoconfiguração de proxy para qualquer */ /* navegator que suporte essa opção, codigo fonte em */ /* javascript padrao do W3C */ function FindProxyForURL(url, host) { if (shExpMatch(host, 127.0.0.1)) { return DIRECT; } if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; } /* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */ return PROXY 192.168.1.254:3128; DIRECT ; } Tanto Mozilla como o IE funcionam implementado desse jeito. Com respeito a autenticação, depende exclusivamente do squid. Se voce percebeu que a autoconfiguração do navegador tá funcionando então desencana de mexer nisso e concentre-se apenas no squid+ad. O AD2008 por padrão não confia em máquinas que não fizeram um join no seu dominio, assim talvez voce tenha de acrescentar um host no AD na mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além disso, tenha atenção ao Wizard de segurança do W2008, onde há uma seção desse wizard que questiona se há em sua rede máquinas anteriores a windows xp, se voce responder Não, o Server configurará a sí próprio para não manter laços com Win9x, NT e tambem...Linuxes. Como vê tem muitas possibilidades, eu apenas estou conjecturando o que pode estar havendo no seu caso. []'s e sucesso. Em 19 de abril de 2010 09:21, Leandro Moreira lean...@leandromoreira.eti.br escreveu: Caros, A alguns dias atraz levantei uma questão na lista a respeito de redirecionar de forma automagica os clientes para um proxy autenticado, seguindo a orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha estrutura é a seguinte: Tenho um servidor de domínio windows 2008 com AD Squid autetica no AD via NTLM de forma que o login dos usuários é passado no monento do login nas estações. O que acontece e que em virtude de serem clientes com várias filiais e os funcionários transitarem entre essas filiais, inviabiliza que se marque o proxy no navegador, foi entao que entrou a solução do WPAD, crie o redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o script do WPAD no servidor do proxy, marquei nas opções do navegador detectar automaticamente as configurações, nas estações windows XP funcionou sem problema algum mas nas estações com windows 7 nao funcionou nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na lista ja implementou algo parecido ou ja teve esse problema que possa me dar uma dica de como resolver. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: