Squid Autenticado NTLM + Samba + AD com subdomínios

[wescleyr]

Caros colegas,
gostaria de poder contar com a contribuição dos Senhores. A alguns meses implementei o SQUID 3.1.20 com autenticação NTLM + SAMBA 3.6.6 + AD 2008R2 e filtro de conteúdo SuidGuard e na ocasião trabalhávamos apenas com um domínio no AD. Devido a necessidade, além dos computadores no domínio principal, agora precisaremos trabalhar também com um subdomínio continuando a autenticar no mesmo proxy. Aí que surgiu o grande problema ! Até onde pesquisei, não consegui achar solução para implementar esta autenticação do proxy lendo o Domínio e o Subdomínio simultaneamente.

Alguém já passou por este tipo de problema ??

Segue abaixo as configurações relacionadas ao dominio e subdominio que estão rodando em funcionamento no momento:
OBS: Só está funcionando o acesso para os usuários do dominio principal, que é o mesmo que o servidor proxy foi inserido. Se eu inserir o servidor no meu subdominio, só funciona os usuários do subdominio.

Código :

#### SQUID.CONF
 
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
#
#Pesquisa de Grupo no AD
external_acl_type ldap_group children=50 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=meudominio,dc=com,dc=br" -D "cn=proxy,ou=internet,dc=meudominio,dc=com,dc=br" -w "senha" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=internet,dc=meudominio,dc=com,dc=br))" -h 192.168.0.100
 
#### SMB.CONF
 
[global]
realm = MEUDOMINIO.COM.BR
workgroup = MEUDOMINIO
security = ADS
 
#### KDC.CONF
 
[realms]
MEUDOMINIO.COM.BR = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
SUBDOMINIO.MEUDOMINIO.COM.BR = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
 
#### KRB5.CONF
 
[libdefaults]
 
default_realm = MEUDOMINIO.COM.BR
dns_lookup_realm = no 
dns_lookup_kdc = no 
ticket_lifetime = 24h 
forwardable = yes

[magnorm]

Bom dia,
Não sei se pode ajudar.
Mas talvez possa utilizar o Docker para solucionar esse problema.

[wescleyr]

Boa tarde Magnorm, obrigado pelo retorno.
Dei uma lida sobre o Docker mas acredito que seja um pouco complexo para o que eu preciso.
Estou achando que solução do meu problema esteja mais na string de pesquisa do Ldap e talvez alguns ajustes na configuração dos arquivos do Samba, só não consegui achar ainda alguém que utilize a autenticação NTLM em ambiente com vários domínios.