Múltiplos autenticadores (schemes)

**Testogan** · 14-11-2013, 08:39

Pessoal,

Meio extenso, mas vou tentar explicar o meu problema. Vamos lá.

Objetivo: Autenticação no AD, para as máquinas do domínio de forma transparente. Para as máquinas fora do domínio, abrir popup de autenticação.

Minha rede:

- Máquinas integradas no AD -> Rodam WinXP;
- Máquinas não integradas no AD - > Rodam Win7 e Win8.

Implementei autenticação NTLM, e funciona normalmente para as máquinas do AD. Mas para as máquinas fora do AD, não funciona a autenticação via NTLM, pois rodam Win7 ou Win8. Para tentar sanar esse problema, sem ter que fazer o hack de registro para autenticação via NTLM do Win7, tentei implementar múltiplos autenticadores no SQUID, os chamados schemes.

O que pode ser visto, mais nesses links:

http://wiki.squid-cache.org/Features...ms_together.3F
http://www.squid-cache.org/Versions/...uth_param.html

Os autenticadores, que escolhi foram: NTLM e SQUID-LDAP.

Escolhi o NTLM para as máquinas no AD, e SQUID-LDAP para as fora do domínio. Criei um usuário "visitante", para que as máquinas fora do AD, se logar no domínio.

O squid.conf ficou assim:

# NTLM
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

# LDAP
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=empresa,dc=net" -D "cn=squid,ou=INTERNET,dc=empresa,dc=net" -w "senha" -f sAMAccountName=%s -h servidor.empresa.net
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

Dessa forma, as máquinas do AD, funcionam normalmente. Mas já as máquinas fora do AD, continuam não funcionando. Usei o wireshark, para capturar o tráfego da rede, e o browser está tentando autenticar somente via NTLM, ele não tenta utilizar o autenticador LDAP.

O que tentei fazer:

- Tentei inverter a ordem, colocando o LDAP antes do NTLM no squid.conf. Não funcionou;
- Tentei utilizar somente NTLM, funciona somente as máquinas do AD;
- Tentei utilizar somente LDAP, funciona as máquinas do AD e tb as que estão fora do AD, mas a autenticação não é transparente. Abre o popup de autenticação;

Alguém tem alguma dica, de como fazer funcionar esses múltiplos autenticadores?

Múltiplos autenticadores (schemes)

Ferramentas de Tópicos

Múltiplos autenticadores (schemes)