Squid autenticado no Active Directory com Winbind



Documentos relacionados
FreeBSD Proxy squid autenticado com o Actvie Directory por ntlm auth. Informações relevantes antes de dar início a este artigo

Sistema Operacional Unidade 13 Servidor Samba. QI ESCOLAS E FACULDADES Curso Técnico em Informática

Servidor proxy - Squid PROFESSOR : RENATO WILLIAM

Redes de Computadores

Linux Network Servers

Instalação de um Cliente Linux em um domínio de rede Microsoft Windows NT4

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Depois que instalamos o Squid vamos renomear o arquivo de configuração para criarmos um do zero.

Squid Plus com AD, redirector, controle de banda e relatórios

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Configure seu Linux pela Web! Instalação à partir de um.tar.gz. Autor: Carlos Eduardo Ribeiro de Melo <eduardo at unisulma.edu.br> Data: 05/10/2004

Como instalar o Active Directory no Windows Server 2003

Relatório SQUID e SAMBA. Instalação e Configuração de Servidores de Rede

Instalação do OnSite

Configurando o Servidor de Impressão Primário

Após salvar, execute o comando testparm e ele deverá exibir a mensagem Server role: ROLE_DOMAIN_PDC".

Linux Network Servers

PASSO A PASSO PARA VISUALIZAR NA INTERNET O DVR STAND ALONE ECOTRONIC

TECINBASE.COM.BR. Migrando Active Directory windows 2003 to 2008

Aloque 1024 MB de RAM para a VM. Crie um novo disco virtual. Figura 03. Figura 04.

Configuração do Servidor DHCP no Windows Server 2003

Passo a Passo da instalação da VPN

Guia de instalação para ambiente de Desenvolvimento LINUX

- Wireless e NTP - 272

Configurando um Servidor de Arquivos SAMBA. Prof. Armando Martins de Souza

Arquivo smb.conf comentado

Resolução de Problemas de Rede. Disciplina: Suporte Remoto Prof. Etelvira Leite

Se o seu computador utiliza o sistema operacional Windows Vista antes de iniciar a instalação, verifique a seguinte configuração:

Squid autenticando em Windows 2003 com msnt_auth

ESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon

Procedimento para instalação do OMNE-Smartweb em Raio-X

Tutorial de Active Directory Parte 3

Na tela dele, clique no sinal de + ao lado do nome do seu computador, para expandi-lo. A seguir, expanda também o item "Sites da web".

CSAU Guia: Manual do CSAU 10.0 como implementar e utilizar.

Active Directory - Criação de seu primeiro domínio Windows 2003

Tutorial 02 Promovendo o Windows 2000/2003 Server a um Controlador de Domínio

Configurando um servidor DHCP

Conexão rápida entre dois computadores em uma plataforma Linux

Projeto Integrador Projeto de Redes de Computadores

5/7/2010. Apresentação. Web Proxy. Proxies: Visão Geral. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux

UM PBX GENUINAMENTE BRASILEIRO

Manual de Instalação de SQL Server (2005, 2008, 2012).

Manual de Instalação do UTM Zeus

Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site.

Passo 1: Abra seu navegador e digite Passo 2: Na tela que surgir, clique em Get Started.

UM PBX GENUINAMENTE BRASILEIRO MANUAL DE INSTALAÇÃO COM IMAGEM ISO

3. No painel da direita, dê um clique com o botão direito do mouse em qualquer espaço livre (área em branco).

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

CRIANDO BANCOS DE DADOS NO SQL SERVER 2008 R2 COM O SQL SERVER MANAGEMENT STUDIO

Manual de Administração

Instalação e Configuração Iptables ( Firewall)

Instalação e Configuração do AD DS no Windows Server 2012 R2 INSTALAÇÃO DO SERVIÇOS DE DOMÍNIO DO ACTIVE DIRECTORY (AD DS)

Roteiro para Configuração de Acesso Internet GESAC

Introdução ao Tableau Server 7.0

GUIA DE CONFIGURAÇÃO AUTENTICAÇÃO TRANSPARENTE DO PROXY COM O ACTIVE DIRECTORY

Instalação do PHP no Linux

Mandriva Business Server 2 - Especificações e recursos

MANUAL DE INSTALAÇÃO

Procedimento para configuração de Redirecionamento de Portas

IPTABLES. Helder Nunes

Aula 06 Servidor de Arquivos e Impressora (SaMBa)

Instalação Apache + MySQL + PHPMyAdmin CentOS

Script de Configuração dos (Webmail /Outlook Express)

Manual de Instalação do Agente Citsmart

O que um Servidor Samba faz?

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.

TUTORIAL: MANTENDO O BANCO DE DADOS DE SEU SITE DENTRO DO DOMÍNIO DA USP USANDO O SSH!

Procedimentos para Reinstalação do Sisloc

Tutorial configurando o dhcp no ubuntu ou debian.

Implementando e Gerenciando Diretivas de Grupo

Tutorial Servidor Proxy com Squid baseado em Linux Acadêmicos : Felipe Zottis e Cleber Pivetta. Servidor Proxy

MANUAL DO ANIMAIL Terti Software

Procedimentos para configuração de Filters

Melhor do que driblar os vírus de pendrive, é não pegá-los! Mas como fazer isto?

Operador de Computador. Informática Básica

Utilizando Active Directory para autenticação e OpenLDAP para dados dos usuários

ESTRUTUTA DE REDE DE ACESSO!

Instalando o Debian em modo texto

1. Introdução. 2. Conteúdo da embalagem

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

INSTALAÇÃO PRINTERTUX Tutorial

CONHECIMENTOS ESPECÍFICOS TÉCNICO DE LABORATÓRIO / ÁREA INFORMÁTICA

Configurando DNS Server. Prof. Armando Martins de Souza

TUTORIAL DE INSTALAÇÃO APACHE PHP POSTGRESQL 8.2

COORDENAÇÃO DE TECNOLOGIA (COTEC) JUNHO/2010

Manual comandos Básicos para instalar e desinstalar Firebird em Sistema operacional Linux

No Fedora, instalamos os pacotes "mysql" e "mysql-server", usando o yum:

Sistema de Instalação e Criação da Estrutura do Banco de Dados MANUAL DO INSTALADOR. Julho/2007. Ministério da saúde

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Compartilhando arquivos com o samba

Instalando servidor Apache com MySQL e as linguagens ColdFusion e PHP. XAMPP (xampp-win installer.exe), veja aqui.

Parte 2: Micro com Windows XP Pro e Servidor IIS

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

AS CONSULTORIA & TREINAMENTOS. Pacote VIP. Linux Básico Linux Intermediário Samba 4 Firewall pfsense

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Omega Tecnologia Manual Omega Hosting

Manual de Instalação e Configuração do SQL Express

Transcrição:

1 de 5 4/2/2007 14:40 Squid autenticado no Active Directory com Winbind Autor: Anderson Leite <asleite at velonet.net> Data: 30/08/2006 Introdução Este é um artigo bem resumido, entrando em detalhes somente das configurações específicas dos softwares aqui tratados. Cenário do artigo: Rede com PDC Windows 2003 Standard; Linux box (Debian Sarge) atuando como gateway, rodando SQUID + iptables. Pré-requisitos: Samba 3.x SQUID 2.5.x Winbind Estou presumindo que você já tem conhecimentos com ferramentas de edição de texto numa Linux box (no meu caso específico vi), conhecimento de Squid, Samba e iptables. Preparação do ambiente Instalar os pacotes necessários: # apt-get install samba winbind krb5-clients krb5-user libpam-ccreds libpam-ldap nss-updatedb libnss-db libnss-mdns libnss-dev libnss3 Edição de parâmetros: Adicionar uma entrada no /etc/hosts para o servidor do Active Directory: <IP do servidor AD> SERVIDOR Configurar o Samba, alterando/adicionando os parâmetros: workgroup = GRUPO password server = SERVIDOR realm = DOMINIO.LOCAL.AD

2 de 5 4/2/2007 14:40 security = ADS netbios name = nomenetbios # Definições do winbind bind interfaces only = yes winbind separator = / winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes log file = /var/log/samba/log.%m log level = 2 max log size = 1000 Isso é o básico que precisamos no nosso Samba, após isto vamos alterar o arquivo /etc/nsswitch.conf para que possamos pegar a lista de usuários utilizando winbind. Altere as linhas passwd e group. De: passwd: group: compat compat Para: passwd: group: compat winbind compat winbind Após isto estamos quase prontos para começar, reinicie o Samba e o winbind. Adicionando o servidor no domínio Vamos agora pegar um ticket para adicionar o servidor no domínio com o comando: # kinit <usuário administrador do domínio>@dominio.local.ad Em seguida vamos adicionar o nosso servidor Samba ao domínio com o comando: # net ads join CARTAFRICA -U<usuário administrador>%'<senha>' OBS: Se em algum momento neste passo, receber uma mensagem de erro parecida com esta: [2006/06/26 10:01:07, 0] libads/kerberos.c:get_service_ticket(337) get_service_ticket: kerberos_kinit_password SERVER$@DOMINIO.LOCAL.AD@DOMINIO.LOCAL.AD failed: Clock skew too great

3 de 5 4/2/2007 14:40 Verifique a data e hora do sistema Linux e do servidor AD. Para testar se correu realmente tudo bem, utilize: # net ads testjoin # net ads info Vamos agora setar o usuário e a senha que o winbind irá utilizar para realizar as pesquisas, com o comando: # wbinfo --set-auth-user=<usuário administrador>%'<senha>' Reinicie o winbind, após isto vamos realizar os testes. Tudo já deverá estar funcional, para testar, utilize os comandos: wbinfo -u (Lista os usuários); wbinfo -t (Testa se o secret está ok); wbinfo -g (Lista os grupos); getent group (Lista os grupos); getent passwd (Lista os usuários). OBS: O winbind demora aproximadamente 20 segundos para se inicializar completamente, se nesse meio tempo receber mensagens de que não é possível pegar a lista de usuários ou checar o secret, não se desespere (ainda), aguarde um pouco e tente novamente. Configuração do SQUID Vamos remover as linhas que permitem o proxy transparente (caso já utilizasse o sistema desta forma), comente as linhas: #httpd_accel_host virtual #httpd_accel_port 80 #httpd_accel_with_proxy on Insira também um bloco de configuração como este: auth_param basic realm "Acesso a internet - Sua Empresa" # Autenticação básica HTTP auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off # Insira isto se você precisar que os usuários estejam contidos em grupos external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl

4 de 5 4/2/2007 14:40 OBS: Em algumas páginas que encontrei, se dizia para utilizar os helpers localizados em /usr/lib/squid (wb_ntlmauth), porém este helper não funciona com o SAMBA 3.x, utilize-o somente se você estiver usando SAMBA 2.x. OBS 2: Não consegui fazer funcionar corretamente utilizando o seguinte helper: auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp Se quiser tentar, esteja à vontade, caso consiga fazê-lo funcionar corretamente, por favor me informe para que a solução seja adicionada a este documento, obviamente seus créditos serão mantidos :) Após isto, insira as ACL's de acesso: acl restrictedusers external nt_group <Grupo Restrito> acl unrestrictedusers external nt_group <Grupo Liberado> OBS: Algumas páginas de documentação que encontrei falavam de usar a tag NT_global_group, porém com o release do SQUID que estou utilizando neste momento (2.5.STABLE14), esta TAG não funciona. Após inserir as ACL's, faça o trabalho sujo com o http_access: http_access allow unrestrictedusers http_access deny restrictedusers No meu caso específico o cliente só desejava liberar ou negar o acesso a determinadas pessoas, mas muito mais pode ser feito, incluindo restrições por horário, por tipo de acesso e o que mais sua imaginação de Bastard Operator From Hell permitir, é igual a Neston: existem mil maneiras de preparar, invente a sua! Após isto, se desejar, insira uma linha no seu script de firewall, para não permitir que ninguém navegue por fora do proxy: /sbin/iptables -A INPUT -p tcp --dport 80 -j DROP Um outro ponto importante é permitir que o usuário do Squid possa ler o diretório onde fica o socket do winbind, isso pode ser feito com o comando: # chgrp proxy /var/run/samba/winbindd_privileged Após a execução do comando, reinicie o winbind. Dica: não tente mudar as permissões do diretório, se elas estiverem diferente de 750 o winbind simplesmente não sobe. Considerações finais Depois disto é só configurar o navegador dos usuários para utilizar proxy, ou se quiser deixar tudo mais bonito ainda, utilizar um script de configuração automática via DHCP (que não será coberto no escopo deste artigo).

5 de 5 4/2/2007 14:40 Alguma documentação sobre isto pode ser encontrada em: http://www.slackware-brasil.com.br/.../artigo_completo.php?aid=3549 http://www.isaserver.org/.../configuring-dhcp-dns-automatic-discovery.html http://archives.neohapsis.com/archives/openbsd/2002-08/1507.html http://www.grape-info.com/doc/win2000srv/internet-gw/wpad/index.html É isto pessoal, espero que este artigo ajude a vocês a terem algumas noites mais tranqüilas de sono, diferentes das minhas antes de conseguir fazer essa coisa funcionar :) http://www.vivaolinux.com.br/artigos/verartigo.php?codigo=5346 Voltar para o site

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback