Problemas Squid Autenticado

[adminegg]

E ae pessoal q sempre salva minha vida...heheheheh
tudo ok?

seguinte pessoal...to com um grande pequeno problema aqui...
meu squid autenticado esta pedindo usuario e senha, porem após eu digitar ele da como a pagina nao pode ser exibida
e no access.log da o seguinte erro:
1149512998.182 1 192.168.0.82 TCP_DENIED/407 1665 GET http://www.google.com.br/ - NONE/- text/html

segue abaixo meu squid.conf para conferencia

http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 100 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_replacement_policy lru
memory_replacement_policy lru

auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/users
auth_param basic children 20
auth_param basic realm Netserver By:Egg
auth_param basic credentialsttl 8 hours
auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl block url_regex -i "/etc/squid/listas/block"
acl unblocl url_regex -i "/etc/squid/listas/unblock"
acl ext url_regex -i "/etc/squid/listas/ext"
acl total proxy_auth "/etc/squid/listas/auto"
acl nototal proxy_auth "/etc/squid/listas/noauto"

#lembrando q no arquivo auto fica todos os users com permissao total, e no noauto com permissao limitada...fiz um script com a ajuda de um tutorial aki do underlinux para fazer isso...mas eu ja fiz o squid autenticado sem esse esquema de usuarios, e deu a mesma coisa...


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow total
http_access allow nototal !block ext
http_access allow unblock
http_access deny all

http_reply_access allow all
icp_access allow all
visible_hostname Netserver By:Egg


ALGUEM POR FAVOR ME AJUDE...
estou usando o FC4, com squid 2.5

grato desde ja

[adminegg]

...

[slackrio]

Cara ve este meu conf e ve o que pode retirar pra vc colocar no seu pra ver se funciona

lembrando que o meu tem um arquivo chamado proibidos onde contem as paginas que nao tem permissao de acesso aqui na rede ...
tb tenho um pasta com os usuarios cadastrado no squid para autenticação.

vc pode ate mesmo alterar esta conf para sua nescessidade e verifica se roda bem , obs nao esqueça de fazer backup do seu ok


http_port 3128
visible_hostname Servidor Squid

# Criando o Cache

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /usr/local/squid/var/cache 2048 16 256
cache_access_log /usr/local/squid/var/logs/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
error_directory /usr/local/squid/share/errors/Portuguese

# Autenticando Usuario
auth_param basic program /usr/bin/ncsa_auth /usr/local/squid/etc/passwd
auth_param basic children 5
auth_param basic realm Digite o Login para Navegar
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Regras ACL
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 110 # e-mail pop3
acl Safe_ports port 25 # e-mail smtp
acl purge method PURGE
acl CONNECT method CONNECT

#squidclamav
redirect_program /usr/local/squidclamav/bin/squidclamav
redirect_children 10
redirector_access deny localhost

acl senha proxy_auth "/usr/local/squid/etc/passwd"

http_access allow manager localhost
http_access allow senha
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl proibidos dstdom_regex "/usr/local/squid/etc/proibidos"
http_access deny proibidos
acl redelocal src 192.168.0.0/24
cache_mgr [email protected]
cache_effective_user squid
cache_effective_group squid

[slackrio]

Uma coisa que reparei na sua conf e que vc esta rodando o squid como transparente ou seja tera problemas em trabalhar com autenticação ... tenta tirar ele como proxy transparente e testa tb valew ... repare que na conf que le mandei nao ta como transparente ...


abraço

[netosdr]

Olá amigo,

01) Crie um regra para permitir o acesso da rede local (acl rede_local src 192.168.0.0/255.255.255.0);

02) Permita o acesso da rede local antes de negar todos:
http_access allow rede_local
...
http_acesss deny all

03) Verifique as permissões dos arquivos que vc faz referência:
/etc/squid/*
/etc/squid/listas/*

Espero ter ajudado.

Abraço,

[adminegg]

valeu pessoal...vou dar uma olhada aqui...e fazer alguns testes...

soh gostaria de saber se alguem ja pegou algum problema com o audit no fc5...
coloquei num servidor aqui pra fazer testes da versao...
mas to tentando fazer um squid autenticado, porem toda vez q um usuario tenta logar da um erro de audit no server...
se alguem ja passou por isso...help-me...hehehe

abracao pessoal...

t+

[fabricio_]

valeu pessoal...vou dar uma olhada aqui...e fazer alguns testes...

soh gostaria de saber se alguem ja pegou algum problema com o audit no fc5...
coloquei num servidor aqui pra fazer testes da versao...
mas to tentando fazer um squid autenticado, porem toda vez q um usuario tenta logar da um erro de audit no server...
se alguem ja passou por isso...help-me...hehehe

abracao pessoal...

t+

desabilita o selinux !
i hate selinux >=(

outra coisa , a autenticação funciona na mão ??
ta paracendo que o cara nao tah conseguindo se autenticar , pois a linha de log devia ter o nome do usuario ...

[adminegg]

cara é estranho...
o erro 407 q da...pelo q pesquisei é qndo o squid ta pedindo usuario e senha pro navegador...
realmente é estranho...
ele pede user e senha...
digito..
e da q a pagina nao pode ser exibida...
erro tcp/denied 407

[fabricio_]

407 Proxy Authentication Required

pergunto de novo , vc testou a autenticação na mão ??
via console mesmo eu estou dizendo ...

[adminegg]

hehe...
cara...é a primeira vez q estou fazendo um squid autenticado...
testar no console usando o squidclient?
./squidclient -u "usuario" -h "pagina"

isso?
ou como?

agradeço a ajuda...

[netosdr]

egg,

quando vc abre o navegador ele pede a senha pra navegar certo.
Vc digita o usuario e senha e ele dá logo denied ou pede 3 vezes a autenticacao?

[adminegg]

da logo denied...
soh pede uma vez e da denied

[fabricio_]

hehe...
cara...é a primeira vez q estou fazendo um squid autenticado...
testar no console usando o squidclient?
./squidclient -u "usuario" -h "pagina"

isso?
ou como?

agradeço a ajuda...

assim :

Código :

auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/users

o que eu fiz foi criiar um arquivo com usuarios e senhas ( com o htpasswd ) ( no caso o seu jah foi criado certo ? ) e depois testei com a autenticação do squid ! tente fazer o mesmo ai

Código :

 
[root@localhost squid]# htpasswd -c teste_squid fabricio
New password:
Re-type new password:
Adding password for user fabricio
[root@localhost squid]# /usr/lib/squid/ncsa_auth /etc/squid/teste_squid
fabricio teste123
OK
fabricio teste321
ERR Wrong password
 
[root@localhost squid]#

[adminegg]

fiz o seguinte

htpasswd -c /etc/squid/teste tiago
digitei a senha (123)
confirmei a senha (123)

dai digitei
/usr/lib/squid/ncsa_auth /etc/squid/teste

nao aparece nada...

e se eu digito
/usr/lib/squid/ncsa_auth /etc/squid/teste tiago
aparece
Usage: Ncsa_auth <passwordfile>

:cry:

[fabricio_]

na hora que "nao aparece nada" vc digita usuario e senha
e o htpasswd -c cria um arquivo novo , vc tem que usar o que vc jah tem !
vc criou ele como ?

[adminegg]

certo...agora saquei...hehehe

apareceu OK aki tbm...
tiago 123
OK

[artur.aragao]

egg,

quando vc abre o navegador ele pede a senha pra navegar certo.
Vc digita o usuario e senha e ele d&#225; logo denied ou pede 3 vezes a autenticacao?

Estamos passando por um problema semelhante, onde em nosso caso, a tentativa de autentica&#231;&#227;o &#233; realizada 3 vezes sem sucesso, resultando no erro de nega&#231;&#227;o (TCP DENIED 407).

Sabem o que pode estar ocorrendo?

J&#225; desabilitei o SELinux tamb&#233;m. Mas continua dando o mesmo problema.

Podem me ajudar? As regras que utilizamos s&#227;o as mesmas que funcionavam em um Fedora Core 3. O server atual &#233; um Fedora Core 5.

[netosdr]

Artur,

Passei por problema semelhante uma vez.
Verifiquei as permissões do arquivo de passwords que o squid lê e a sequência das regras com a flag proxy_auth (quando ocorreu comigo eu estava usando REQUIRED em todas as flags proxy_auth)

Exemplo
acl diretoria proxy_auth fulano ciclano
acl autenticacao proxy_auth REQUIRED
acl bloqueados url_regex -i "/etc/squid/bloq.txt"
..
http_access allow diretoria
http_access deny bloqueados
http_access allow autenticacao
http_access deny all

Espero ter ajudado.

Um abraço!

[adminegg]

egg,

quando vc abre o navegador ele pede a senha pra navegar certo.
Vc digita o usuario e senha e ele dá logo denied ou pede 3 vezes a autenticacao?

Estamos passando por um problema semelhante, onde em nosso caso, a tentativa de autenticação é realizada 3 vezes sem sucesso, resultando no erro de negação (TCP DENIED 407).

Sabem o que pode estar ocorrendo?

Já desabilitei o SELinux também. Mas continua dando o mesmo problema.

Podem me ajudar? As regras que utilizamos são as mesmas que funcionavam em um Fedora Core 3. O server atual é um Fedora Core 5.

Artur...
comigo era só ordem das regras...tenta dar uma verificada nisso...
verifique tambem a permissao de leitura dos arquivos...

Abracao...t+

[artur.aragao]

Artur,

Passei por problema semelhante uma vez.
Verifiquei as permiss&#245;es do arquivo de passwords que o squid l&#234; e a sequ&#234;ncia das regras com a flag proxy_auth (quando ocorreu comigo eu estava usando REQUIRED em todas as flags proxy_auth)

Exemplo
acl diretoria proxy_auth fulano ciclano
acl autenticacao proxy_auth REQUIRED
acl bloqueados url_regex -i "/etc/squid/bloq.txt"
..
http_access allow diretoria
http_access deny bloqueados
http_access allow autenticacao
http_access deny all

Espero ter ajudado.

Um abra&#231;o!

OK!!! Mas n&#227;o ficou muito claro. Este exemplo que Voc&#202; colocou &#233; o que era antes n&#227;o &#233;? E como est&#225; a regra atualmente?

Realmente n&#227;o consegui entender.