Re: [FUG-BR] Compilando com um patch não oficial (mas no jeitão BSD :)

2005-11-18 Por tôpico Tiago Cruz 
On Fri, 2005-11-18 at 06:20 -0300, Celso Viana wrote:

 Até onde eu sei não é possível autenticação com proxy
 transparente.. ou já é possível isso?

Pessoal,

andei pesquisando sobre isso e achei uns links que talvez interesses a
vocês, porém, minha interpretação não foi muito boa... gostaria que
vocês interpretassem isso:

===
Authentication in accelerator mode [1]

Authentication is by default disabled in acceleartor mode in Squid-2.X
due to conflicts with transparent interception. To enable this feature,
at the top of acl.c add the following line:

#define AUTH_ON_ACCELERATION 1

Then make install.

This feature is somewhat hidden because

  * It hasn't been fully thought over yet. There are issues in
caching when combined with authentication, and more so when
there is also authentication to the backend servers..
  * It easilly collides with transparent proxying, and many people
simply refuses to read warnings that a feature cannot be used in
a transparent proxy and try so anyhow.

The whole concept of acceleration in Squid is currently being reworked
for the Squid-3.0 release to fix this and a number of other issues.

===

Lembrando que ativamos o proxy transparente com essas linhas:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

E tenho umas linhas nos logs assim:
aclAuthenticated: authentication not applicable on accelerated requests.

Lendo o ReleaseNotes[2] do Squid 3.0 Beta, achei isso:

===

Cleanup of the relation between accelerated request and transparently
intercepted request. The two are now handled separately from each other.
This fixes two issues: 
  * Transparently intercepted requests is no longer under the
restrictions of accelerated requests in peering relations etc..
  * No risk of confusion in authentication. Authentication is now
allowed for accelerated requests but not transparently
intercepted requests.

* Accelerator mode cleaned up, using the design from the rproxy
development branch 
  * The httpd_accel_* directives is now gone, replaced by
http(s)_port options and cache_peer based request forwarding.
  * The http(s)_port options has a list of new options for
controlling the type and mode of port created with respect to 
  * transparent proxying
  * plain acceleration
  * host header based acceleration
  * normal proxying (default)
  * To enforce a reasonable level of security in accelerators,
accelerated requests are denied to go direct unless forced by
always_direct.
===

Bom, pelo o que eu entendi... não vale a pena compilar esse beta doido
(que não tem no ports ainda) porque vai continuar não funcionando...
será que é isso mesmo? :^)


[1] http://www.squid-cache.org/Doc/FAQ/FAQ-23.html#ss23.6
[2]
http://www.squid-cache.org/Versions/v3/3.0/squid-3.0-PRE3-20051030-RELEASENOTES.html

Abraços

-- 
Tiago Cruz
http://linuxrapido.org
Linux User #282636

The box said: Requires MS Windows or better, so I installed Linux


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Re: [FUG-BR] Compilando com um patch não oficial (mas no jeitão BSD :)

2005-11-17 Por tôpico Tiago Cruz 
Rainer e Giovanni,

Obrigado pelas dicas passadas! Ontem eu perdi meu dia inteiro tentado
resolver este problema e não consegui... suas dicas foram muito
valiosas, eu não sabia que era necessário, por exemplo, o
openldap-server eu pensei que o client era suficiente.

Eu tenho os seguintes pacotes atualmente:

auth_ldap-1.6.0_4   Apache module to authenticate against an LDAP 
nss_ldap-1.239  RFC 2307 NSS module
openldap-client-2.2.29 Open source LDAP client implementation
openldap-server-2.2.29 Open source LDAP server implementation
pam_ldap-1.8.0  A pam module for authenticating with LDAP
pear-DB_ldap-1.1.0  PEAR DB compliant interface to LDAP servers

Será que vale a pena atualizar para o OpenLDAP para o 2.3?

Bom, eu tentei primeiro o método de criar meu próprio patch do Giovanni,
que não deu certo. Tentei o patch pronto do Rainer, e também não deu
certo :-(

Em ambos os casos, a compilação para logo no início com o mesmo erro
(Unable to link to LDAP library.), e eu sinceramente não sei mais o que
fazer será que vocês passaram por isso e podem me ajudar? Muito
agradecido!

Segue o make, meus pacotes e o config.log para ajudar vocês a me
ajudarem :^)


[EMAIL PROTECTED]: squidguard]# make
===   squidGuard-1.2.0_1 depends on shared library: db3.3 - found
===  Configuring for squidGuard-1.2.0_1
checking for gcc... cc
checking for C compiler default output file name... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether cc accepts -g... yes
checking for cc option to accept ANSI C... none needed
checking how to run the C preprocessor... cc -E
checking whether make sets $(MAKE)... yes
checking for a BSD-compatible install... /usr/bin/install -c -o root -g
wheel
checking for bison... bison -y
checking for flex... flex
checking for yywrap in -lfl... yes
checking lex output file root... lex.yy
checking whether yytext is a pointer... yes
checking for lynx... false
checking for perl... /usr/bin/perl
checking for egrep... grep -E
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking for unistd.h... (cached) yes
checking db.h usability... yes
checking db.h presence... yes
checking for db.h... yes
checking regex.h usability... yes
checking regex.h presence... yes
checking for regex.h... yes
checking for ldap_init in -lldap... yes

Unable to link to LDAP library.

===

[EMAIL PROTECTED]: squidguard]# ls /var/db/pkg
apache-2.0.55/ expat-1.95.8_3/libgpg-error-1.1/
pear-Console_Getopt-1.2/   popt-1.7/
auth_ldap-1.6.0_4/ fontconfig-2.2.3,1/libiconv-1.9.2_1/
pear-DB-1.7.6,1/   portaudit-0.5.10/
autoconf-2.59_2/   freebsd-update-1.6_1/  libltdl-1.5.20/
pear-DB_ldap-1.1.0/portupgrade-20041226_7/
bash-3.0.16_1/ freetype2-2.1.10_1/libtool-1.3.5_2/
pear-PEAR-1.4.4/   python-2.4.2/
bison-1.75_2,1/gettext-0.14.5/libtool-1.5.20/
pear-XML_RPC-1.4.3/ruby-1.8.3/
bsdiff-4.2/glib-1.2.10_11/links-2.1.p17,1/
perl-5.8.7/ruby18-bdb1-0.2.2/
cscope-15.5_1/ gmake-3.80_2/  m4-1.4.4/
php4-4.4.1_2/  samba-3.0.20b,1/
cups-base-1.1.23.0_5/  gnutls-1.0.24_1/   nss_ldap-1.239/
php4-pcre-4.4.1_2/ squid-2.5.12/
cvsup-without-gui-16.1h_2/ grc-1.0.6/
openldap-client-2.2.29/php4-pear-4.4.1_1/ sudo-1.6.8.9/
cyrus-sasl-2.1.21_1/   gtk-1.2.10_13/
openldap-server-2.2.29/php4-xml-4.4.1_2/  tiff-3.7.4/
db3-3.3.11_2,1/help2man-1.36.2/   p5-gettext-1.03/
pkgconfig-0.17.2/  vim-6.3.85/
db42-4.2.52_4/ jpeg-6b_3/ pam_ldap-1.8.0/
pkgdb.db   wget-1.10.2/
db43-4.3.29/   libgcrypt-1.2.2/
pear-Archive_Tar-1.3.1/png-1.2.8_2/
xorg-libraries-6.8.2/

===

[EMAIL PROTECTED]: squidguard]#
cat /usr/ports/www/squidguard/work/squidGuard-1.2.0/config.log
This file contains any messages produced by compilers while
running configure, to aid debugging if configure makes a mistake.

It was created by configure, which was
generated by GNU Autoconf 2.59.  Invocation command line was

  $ ./configure --with-db-inc=/usr/local/include/db3
--with-db-lib=/usr/local/lib
--with-sg-config=/usr/local/etc/squid/squidGuard.conf
--with-sg-dbhome=/var/db/squidGuard --with-sg-logdir=/var/log
--exec-prefix=/usr/local

## - ##
## Platform. ##
##

Re: [FUG-BR] Compilando com um patch não oficial (mas no jeitão BSD :)

2005-11-17 Por tôpico Tiago Cruz 
On Thu, 2005-11-17 at 13:54 -0200, Rainer Alves wrote:

 Oi Tiago,

Olá Rainer, valeu de novo pelo help!


 Usando o patch que eu te mandei, faça:
 [EMAIL PROTECTED] /usr/ports/www/squidguard]# export 
 CPPFLAGS=-I/usr/local/include
 e em seguida o 'make' (apague o files/patch-ab antes).

Caraca velho... que sufoco! Bom, pelo menos agora isso está documentado
na NET, porque eu pelo menos não achei algo parecido para FreeBSD!

Graças a Deus a compilação deu certo, e depois de me estranhar um pouco
com o SquidGuard consegui colocar o danado para funcionar, usando e
editando o cgi que vem de exemplo no mesmo, logicamente compilando o
apache antes :)

Fica ae registrado para quem tiver este problema! 

---

Agora me diga uma coisa: Porque você usa o SquidGuard ao invés do
DansGuardian? Este ultimo está bem mais atualizado, e me parece ser
superior também no quesito bloqueio de MIME Type (e não apenas extensão)
[1] ???

Eu estou usando o SquidGuard porque foi o que parece ter integração com
LDAP (AD do Windows).

E mesmo assim, a autenticação continua sem funcionar com o proxy
transparente... e também eu pensei que depois deste trabalho todo, ele
pegaria o logon do windows, e não aquela janela do navegador de novo...
será que tem jeito?

Valeus

[1] Como proteger seus usuários deles mesmos:
http://br-linux.org/tutoriais/003552.html


___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br