Explicação sobre o cenário: Proxy Squid Autenticado, Domain Controller MS e Estações MS

[danistation]

Pessoal,

Tenho o seguinte cenário:

Estações Windows (XP ou 7) e todos fazem autenticação no controlador de domínio Microsoft (2000 ou 2003 ou 2008 com Active Directory) para acessar pastas compartilhadas, impressoras, etc.

Atualmente tenho DHCP, Iptables e Squid em uma mesma máquina, onde tudo está trabalhando corretamente com proxy transparente.

Tenho lido sobre como integrar o Squid com o Domain Controller (AD, por enquanto), obrigando autenticação para que a navegação (ou suas regras) seja permitida.

Ainda não fiz nenhum teste, mas antemão gostaria de saber o seguinte:

- com essa integração feita, mesmo o usuário se logando corretamente em sua estação, sempre que ele abrir uma nova janela de browser, o squid sempre irá solicitar autenticação mesmo ele já tendo se autenticado pelo winlogon?

- se a situação acima for sim, é possível fazer com que isso aconteça apenas para usuários que não pertençam ao domínio (visitantes, por exemplo)?

- fazendo essa integração, ainda mantenho o proxy transparente?

- com essa integração, posso criar ACLs no Squid baseadas em usuários ou grupos que já foram criados no AD?

Minhas dúvidas são apenas sobre como essa integração funcionaria na prática. Tenho material sobre como implementar e acredito que consigo fazer a implementação sozinho, mas gostaria de entender melhor como o sistema irá se comportar após essa integração.

Obrigado,

[andrecaleiros]

- com essa integração feita, mesmo o usuário se logando corretamente em sua estação, sempre que ele abrir uma nova janela de browser, o squid sempre irá solicitar autenticação mesmo ele já tendo se autenticado pelo winlogon?
Nao. Ira autenticar automaticamente.

- se a situação acima for sim, é possível fazer com que isso aconteça apenas para usuários que não pertençam ao domínio (visitantes, por exemplo)?
O visitante no caso devera colocar seu proxy no navegador para navegar. Sugiro que instale um roteador wifi soh para visitantes ou seja, uma rede liberada soh para eles.

- fazendo essa integração, ainda mantenho o proxy transparente?
Nao. Tera que retirar o proxy transparente.

- com essa integração, posso criar ACLs no Squid baseadas em usuários ou grupos que já foram criados no AD?
Sim.

[danistation]

Obrigado! Estou mais motivado ainda para seguir com essa proposta!

[deolindo]

Amigo, tenho os passos para a compilação do squid para autenticaçãao no AD; escreva-me.
[email protected]
Abraços.

[danistation]

Amigo, tenho os passos para a compilação do squid para autenticaçãao no AD; escreva-me.
[email protected]
Abraços.

Treinatux.. Deolindo... Humm. vc é irmão do lucas?

Foi meu instrutor recentemente!

[danistation]

Faz tempo que nao tinha tempo (?). Não importa!

Consegui fazer este cenário funcionar! E funciona bem.

Estou usando processo de autenticação ntlm do squid para interagir com o AD.

Agora tenho novas dúvidas, como:

- Não sei se o AD 2003 já usa LDAP, mas, independente a isso, o que é melhor: fazer o squid autenticar usando o NTLM ou LDAP? Tem vantagem/desvantagem?

- Tenho algumas máquinas na LAN que são servidores de aplicação (apache e outra IIS, para testes de aplicações WEB / intranet). Estou com dificuldades ao utlizar o arquivo wpad.dat e configurações automaticas de detecção de proxy dos browsers. Alguns funcionam muito bem, outros nem que a vaca tussa. Mais ainda, browsers IE, FF e GC, em versões idênticas. Se no script eu forço qualquer acesso a utilizar o proxy, a detecção automatica funciona normal. Mas quando tendo fazer condições para realizar o bypass de endereços locais (para acessar diretamente, sem proxy, os servidores citados ) é que tenho esse problema da detecção automática funcionar em algumas maquinas e em outras não. Não consegui identificar em qual porta esse serviço trabalha para culpar firewall das estações.

Enfim, vou sentar na frente do server segunda-feira, e listar os pequenos problemas que identifiquei e especifico melhor!

Grande abraço a todos!

[deolindo]

Pois é... sou irmão do Lucas sim. Estamos em um projeto Treinatux Interativa e ministramos cursos em parceria oficial com a LPI agora.
Cara, eu uso o ntlm também. Funciona muito bem, mesmo eu tendo o ldap também no mesmo servidor. Felizmente, não sou eu quem controlo o AD, então, eu sei que ele tem LDAP, mas a autenticação do squid é pelo ntlm.
Se te interessar, tenho uma boa solução de squid com script sarg e uma outra ferramenta que faz um front-end para os logs serem exibidos e filtrados em tempo real para acompanhamento. Estou à disposição. Esses scripts de detecção automática nem sempre funcionam mesmo, e quando funcioname, são mesmo só alguns browsers que acompanham. O que te aconselho a fazer, é homologar navegadores e versões para seguir em frente, e não fazer como os loucos que adotam todos os navegadores ao mesmo tempo. hehe;
Grande abraço e se precisar, sabe como me achar. vlw

[robsonsbrasil]

Eu já fiz essa imprementação no fedora, onde o usuario logava na estação e automaticamente o squid pegava a sessão, sem a necessidade de logar novamente ao abrir o browser.

Pessoal,

Tenho o seguinte cenário:

Estações Windows (XP ou 7) e todos fazem autenticação no controlador de domínio Microsoft (2000 ou 2003 ou 2008 com Active Directory) para acessar pastas compartilhadas, impressoras, etc.

Atualmente tenho DHCP, Iptables e Squid em uma mesma máquina, onde tudo está trabalhando corretamente com proxy transparente.

Tenho lido sobre como integrar o Squid com o Domain Controller (AD, por enquanto), obrigando autenticação para que a navegação (ou suas regras) seja permitida.

Ainda não fiz nenhum teste, mas antemão gostaria de saber o seguinte:

- com essa integração feita, mesmo o usuário se logando corretamente em sua estação, sempre que ele abrir uma nova janela de browser, o squid sempre irá solicitar autenticação mesmo ele já tendo se autenticado pelo winlogon?

- se a situação acima for sim, é possível fazer com que isso aconteça apenas para usuários que não pertençam ao domínio (visitantes, por exemplo)?

- fazendo essa integração, ainda mantenho o proxy transparente?

- com essa integração, posso criar ACLs no Squid baseadas em usuários ou grupos que já foram criados no AD?

Minhas dúvidas são apenas sobre como essa integração funcionaria na prática. Tenho material sobre como implementar e acredito que consigo fazer a implementação sozinho, mas gostaria de entender melhor como o sistema irá se comportar após essa integração.

Obrigado,