Squid autenticado no AD.
Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. *Greyson Farias da Silva* Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODFhttp://pt.wikipedia.org/wiki/OpenDocument . http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Eu já tive esse tipo de problema e resolvi assim: http://www.vivaolinux.com.br/dica/Como-fazer-o-Windows-7-autenticar-no-Squid-usando-NTLM_AUTH Em 7 de junho de 2013 10:30, Greyson Farias greysonsi...@gmail.comescreveu: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. *Greyson Farias da Silva* Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODFhttp://pt.wikipedia.org/wiki/OpenDocument . http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0 -- *Geowany Galdino Alves* *Assistente em Tecnologia da Informação - NTI/UFAC* *Acadêmico em Licenciatura Plena - HISTÓRIA/UFAC***
Re: Squid autenticado no AD.
Concordo, mas isso não é viável para mim, pois quero aproveitar as credenciais já concedidas pelo usuário no logon. Afinal, essa é a função do AD, logon único. Estou utilizando NTlmv2, vou tentar rebaixar para Ntlm, ví alguns erros de time out no log. -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info On Fri, 2013-06-07 at 10:30 -0400, Greyson Farias wrote: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. Greyson Farias da Silva Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODF. http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt|pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370617305.17153.1.camel@Windows-NT4.0
Re: Squid autenticado no AD.
Ok, essa modificação na chave do registro faz com o que o Windows 7 utilize ntlm em vez de ntlmv2 que é o padrão dele. O squid aceita ntlmv2, mas no meu caso me parece que estou tendo erros por conta de time out, vou rebaixar a autenticação para ntlm no squid e no AD para ver se resolve. -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info On Fri, 2013-06-07 at 10:43 -0400, Geowany Alves wrote: Eu já tive esse tipo de problema e resolvi assim: http://www.vivaolinux.com.br/dica/Como-fazer-o-Windows-7-autenticar-no-Squid-usando-NTLM_AUTH Em 7 de junho de 2013 10:30, Greyson Farias greysonsi...@gmail.com escreveu: Eu nunca tive sucesso usando autenticação por ntlm. Eu uso sempre ldap_auth para que sempre apareça a tela solicitando autenticação. Inclusive isso resolve o problema para estações fora do domínio. Greyson Farias da Silva Técnico em Operação de redes - CREA/AC 9329TD Eu prefiro receber documentos em ODF. http://about.me/greysonfarias 2013/6/7 Adiel de Lima Ribeiro adiel.netad...@gmail.com Pessoal, bom dia. Tenho o Squid autenticado no AD, tudo funciona normalmente, mas alguns sites simplemente ficam pedindo senha toda hora e não funcionam, para máquinas fora do domínio, não adianta entrar com credenciais, fica pedindo senha toda hora, alguém tem uma luz? Obrigado. squid.conf: auth_param ntlm program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 100 auth_param ntlm keep_alive on client_persistent_connections on server_persistent_connections on auth_param basic program /usr/local/bin/ntlm_auth RUMOTECNOLOGIA/RS01 --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic casesensitive off auth_param basic realm Usuario e senha auth_param basic credentialsttl 4 hours acl users proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 acl Safe_ports port 8084 acl Safe_ports port 8085 acl Safe_ports port 8080 acl Safe_ports port 5222 acl Safe_ports port 2510 acl CONNECT method CONNECT acl naoautenticados dstdom_regex -i /usr/local/squid/naoautenticados http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow naoautenticados http_access deny !users http_access allow users http_access deny all http_port 192.168.254.121:3128 cache_mem 512 MB cache_dir aufs /var/squid/cache/squid 512 10 20 maximum_object_size 4 MB maximum_object_size_in_memory 2 MB coredump_dir /var/squid/cache/squid visible_hostname Microsoft-Windows-NT-Server-4.0 cache_mgr adiel.ribe...@rumosolucoes.com httpd_suppress_version_string on refresh_pattern -i \.(gif|png|jpg|jpeg|ico|tiff|bmp)$ 10080 50% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.(doc|pdf|docx|xls|xlsx|txt|ppt| pptx)$ 10080 90% 43200 override-expire ignore-no-store ignore-private refresh_pattern -i \.index.(html|htm)$ 1440 50% 10080 refresh_pattern -i \.(html|htm|css|js)$ 1440 50% 10080 refresh_pattern (/cgi-bin/|\?) 1440 50% 4320 -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1370615196.13923.1.camel@Windows-NT4.0
squid autenticado no AD + WPAD
Caros, A alguns dias atraz levantei uma questão na lista a respeito de redirecionar de forma automagica os clientes para um proxy autenticado, seguindo a orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha estrutura é a seguinte: Tenho um servidor de domínio windows 2008 com AD Squid autetica no AD via NTLM de forma que o login dos usuários é passado no monento do login nas estações. O que acontece e que em virtude de serem clientes com várias filiais e os funcionários transitarem entre essas filiais, inviabiliza que se marque o proxy no navegador, foi entao que entrou a solução do WPAD, crie o redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o script do WPAD no servidor do proxy, marquei nas opções do navegador detectar automaticamente as configurações, nas estações windows XP funcionou sem problema algum mas nas estações com windows 7 nao funcionou nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na lista ja implementou algo parecido ou ja teve esse problema que possa me dar uma dica de como resolver. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: squid autenticado no AD + WPAD
Vamos ao que eu me lembro e ao que tenho aqui.
Voce configura o DNS para um subdominio wpad.seudominio.com.br onde
rodará um http server, no root desse http voce deixa um arquivo
chamado wpad.dat (com chmod/chown para que todos possam ler tal
arquivo) com mais ou menos o seguinte conteúdo :
/* Arquivo de autoconfiguração de proxy para qualquer */
/* navegator que suporte essa opção, codigo fonte em */
/* javascript padrao do W3C */
function FindProxyForURL(url, host) {
if (shExpMatch(host, 127.0.0.1)) { return DIRECT; }
if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; }
/* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */
return PROXY 192.168.1.254:3128; DIRECT ;
}
Tanto Mozilla como o IE funcionam implementado desse jeito.
Com respeito a autenticação, depende exclusivamente do squid. Se voce
percebeu que a autoconfiguração do navegador tá funcionando então
desencana de mexer nisso e concentre-se apenas no squid+ad.
O AD2008 por padrão não confia em máquinas que não fizeram um join no
seu dominio, assim talvez voce tenha de acrescentar um host no AD na
mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além
disso, tenha atenção ao Wizard de segurança do W2008, onde há uma
seção desse wizard que questiona se há em sua rede máquinas anteriores
a windows xp, se voce responder Não, o Server configurará a sí
próprio para não manter laços com Win9x, NT e tambem...Linuxes.
Como vê tem muitas possibilidades, eu apenas estou conjecturando o que
pode estar havendo no seu caso.
[]'s e sucesso.
Em 19 de abril de 2010 09:21, Leandro Moreira
lean...@leandromoreira.eti.br escreveu:
Caros,
A alguns dias atraz levantei uma questão na lista a respeito de redirecionar
de forma automagica os clientes para um proxy autenticado, seguindo a
orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha
estrutura é a seguinte:
Tenho um servidor de domínio windows 2008 com AD
Squid autetica no AD via NTLM de forma que o login dos usuários é passado no
monento do login nas estações.
O que acontece e que em virtude de serem clientes com várias filiais e os
funcionários transitarem entre essas filiais, inviabiliza que se marque o
proxy no navegador, foi entao que entrou a solução do WPAD, crie o
redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele), crie o
script do WPAD no servidor do proxy, marquei nas opções do navegador
detectar automaticamente as configurações, nas estações windows XP
funcionou sem problema algum mas nas estações com windows 7 nao funcionou
nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem na
lista ja implementou algo parecido ou ja teve esse problema que possa me dar
uma dica de como resolver.
Att.
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/z2vdc83aa2f1004190727z172a95aaib94ece659b638...@mail.gmail.com
Re: squid autenticado no AD + WPAD
Hamacker,
Voce poderia me dizer como encontro esse wizard de segurança que voce
citou?, como relação a autenticação so ta dando problema com o windows7,
XP, e próprio 2008 o redirecionamento com o WPAD funciona normalmente. Me
parece que o comando de sautenticação do w7 e que é diferente:
# 2008
[2010/04/19 14:38:10, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(745)
Got user=[lmoreira] domain=[LEALTECH] workstation=[LEALBR01] len1=24
len2=222
# W7
[2010/04/19 07:27:31, 3] utils/ntlm_auth.c:winbind_pw_check(545)
Login for user [lealtech]\[lmorei...@[vm-w7] failed due to [Invalid
parameter]
Essas informações eu extrai do cache log do squid, estou entendendo que o
windows 7 usa um conjunto diferente de parâmetros para realizar a
autenticação, de forma que ou se altera no windows 7 ou na configuração do
squid, de qualquer forma, fiz um snapshot do servidor (maquina virtual)
estou passando pra versão de testing uma vez que o samba anterior a versão
3.4 tem alguns problemas de integração com o windows 7, e o samba faz a
ponte entre o linux e o AD.
Att.
Leandro Moreira.
Em 19 de abril de 2010 11:27, hamacker sirhamac...@gmail.com escreveu:
Vamos ao que eu me lembro e ao que tenho aqui.
Voce configura o DNS para um subdominio wpad.seudominio.com.br onde
rodará um http server, no root desse http voce deixa um arquivo
chamado wpad.dat (com chmod/chown para que todos possam ler tal
arquivo) com mais ou menos o seguinte conteúdo :
/* Arquivo de autoconfiguração de proxy para qualquer */
/* navegator que suporte essa opção, codigo fonte em */
/* javascript padrao do W3C */
function FindProxyForURL(url, host) {
if (shExpMatch(host, 127.0.0.1)) { return DIRECT; }
if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; }
/* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */
return PROXY 192.168.1.254:3128; DIRECT ;
}
Tanto Mozilla como o IE funcionam implementado desse jeito.
Com respeito a autenticação, depende exclusivamente do squid. Se voce
percebeu que a autoconfiguração do navegador tá funcionando então
desencana de mexer nisso e concentre-se apenas no squid+ad.
O AD2008 por padrão não confia em máquinas que não fizeram um join no
seu dominio, assim talvez voce tenha de acrescentar um host no AD na
mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além
disso, tenha atenção ao Wizard de segurança do W2008, onde há uma
seção desse wizard que questiona se há em sua rede máquinas anteriores
a windows xp, se voce responder Não, o Server configurará a sí
próprio para não manter laços com Win9x, NT e tambem...Linuxes.
Como vê tem muitas possibilidades, eu apenas estou conjecturando o que
pode estar havendo no seu caso.
[]'s e sucesso.
Em 19 de abril de 2010 09:21, Leandro Moreira
lean...@leandromoreira.eti.br escreveu:
Caros,
A alguns dias atraz levantei uma questão na lista a respeito de
redirecionar
de forma automagica os clientes para um proxy autenticado, seguindo a
orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha
estrutura é a seguinte:
Tenho um servidor de domínio windows 2008 com AD
Squid autetica no AD via NTLM de forma que o login dos usuários é passado
no
monento do login nas estações.
O que acontece e que em virtude de serem clientes com várias filiais e os
funcionários transitarem entre essas filiais, inviabiliza que se marque o
proxy no navegador, foi entao que entrou a solução do WPAD, crie o
redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele),
crie o
script do WPAD no servidor do proxy, marquei nas opções do navegador
detectar automaticamente as configurações, nas estações windows XP
funcionou sem problema algum mas nas estações com windows 7 nao funcionou
nem de forma alguma ele fica pedindo usuário e senha no navegador. Alguem
na
lista ja implementou algo parecido ou ja teve esse problema que possa me
dar
uma dica de como resolver.
Att.
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
Re: squid autenticado no AD + WPAD
Pô, aí já é suporte de Windows, vou ter que cobrar :)
Em ferramentas administrativas voce o encontra com o nome de
Assistente de Configuração de Segurança.
Mas se voce nunca usou este wizard, então ele não vai te resolver o
problema e executa-lo sem orientação perita poderá lhe criar mais
problemas do que soluções.
[]'s
Em 19 de abril de 2010 14:54, Leandro Moreira
lean...@leandromoreira.eti.br escreveu:
Hamacker,
Voce poderia me dizer como encontro esse wizard de segurança que voce
citou?, como relação a autenticação so ta dando problema com o windows7,
XP, e próprio 2008 o redirecionamento com o WPAD funciona normalmente. Me
parece que o comando de sautenticação do w7 e que é diferente:
# 2008
[2010/04/19 14:38:10, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(745)
Got user=[lmoreira] domain=[LEALTECH] workstation=[LEALBR01] len1=24
len2=222
# W7
[2010/04/19 07:27:31, 3] utils/ntlm_auth.c:winbind_pw_check(545)
Login for user [lealtech]\[lmorei...@[vm-w7] failed due to [Invalid
parameter]
Essas informações eu extrai do cache log do squid, estou entendendo que o
windows 7 usa um conjunto diferente de parâmetros para realizar a
autenticação, de forma que ou se altera no windows 7 ou na configuração do
squid, de qualquer forma, fiz um snapshot do servidor (maquina virtual)
estou passando pra versão de testing uma vez que o samba anterior a versão
3.4 tem alguns problemas de integração com o windows 7, e o samba faz a
ponte entre o linux e o AD.
Att.
Leandro Moreira.
Em 19 de abril de 2010 11:27, hamacker sirhamac...@gmail.com escreveu:
Vamos ao que eu me lembro e ao que tenho aqui.
Voce configura o DNS para um subdominio wpad.seudominio.com.br onde
rodará um http server, no root desse http voce deixa um arquivo
chamado wpad.dat (com chmod/chown para que todos possam ler tal
arquivo) com mais ou menos o seguinte conteúdo :
/* Arquivo de autoconfiguração de proxy para qualquer */
/* navegator que suporte essa opção, codigo fonte em */
/* javascript padrao do W3C */
function FindProxyForURL(url, host) {
if (shExpMatch(host, 127.0.0.1)) { return DIRECT; }
if (isInNet(host, 192.168.1.0, 255.255.255.0)) { return DIRECT; }
/* RESTANTE USA O PROXY DE NAVEGACAO E NA FALTA DELE O ACESSO DIRETO */
return PROXY 192.168.1.254:3128; DIRECT ;
}
Tanto Mozilla como o IE funcionam implementado desse jeito.
Com respeito a autenticação, depende exclusivamente do squid. Se voce
percebeu que a autoconfiguração do navegador tá funcionando então
desencana de mexer nisso e concentre-se apenas no squid+ad.
O AD2008 por padrão não confia em máquinas que não fizeram um join no
seu dominio, assim talvez voce tenha de acrescentar um host no AD na
mão e dizer que esse host é um pré-windows2000 ou coisa parecida. Além
disso, tenha atenção ao Wizard de segurança do W2008, onde há uma
seção desse wizard que questiona se há em sua rede máquinas anteriores
a windows xp, se voce responder Não, o Server configurará a sí
próprio para não manter laços com Win9x, NT e tambem...Linuxes.
Como vê tem muitas possibilidades, eu apenas estou conjecturando o que
pode estar havendo no seu caso.
[]'s e sucesso.
Em 19 de abril de 2010 09:21, Leandro Moreira
lean...@leandromoreira.eti.br escreveu:
Caros,
A alguns dias atraz levantei uma questão na lista a respeito de
redirecionar
de forma automagica os clientes para um proxy autenticado, seguindo a
orientação dos posts da lista fui estudar e implemnetar o WPAD, a minha
estrutura é a seguinte:
Tenho um servidor de domínio windows 2008 com AD
Squid autetica no AD via NTLM de forma que o login dos usuários é
passado no
monento do login nas estações.
O que acontece e que em virtude de serem clientes com várias filiais e
os
funcionários transitarem entre essas filiais, inviabiliza que se marque
o
proxy no navegador, foi entao que entrou a solução do WPAD, crie o
redirecionamento prar o WPAD no servidor 2008 (pois o DNS roda nele),
crie o
script do WPAD no servidor do proxy, marquei nas opções do navegador
detectar automaticamente as configurações, nas estações windows XP
funcionou sem problema algum mas nas estações com windows 7 nao
funcionou
nem de forma alguma ele fica pedindo usuário e senha no navegador.
Alguem na
lista ja implementou algo parecido ou ja teve esse problema que possa me
dar
uma dica de como resolver.
Att.
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
