BFW Firewall & Router

[philip.obrien]

Olá

depois de inúmeros teste(sem sucesso), naum sei mais o que fazer para o squid autenticar no AD, algum que utiliza o squid dessa forma poderia me dar uma ajuda?

Tela de conf. do squid:




Conf do IE




com essas configuraçes, quando eu tento acessar um site, me pede um usuario e uma senha, informo um user e uma senha do dominio, mais naum acessa, ele continua me pedindo usuario e senha...

Alguem poderia me ajudar?

Obrigado

Philip Obrien

[Claudio]

Mas não é só isso,

Você precisa ir lá nesse Controlador de Dominio Primário e criar um arquivo dentro de uma pasta de compartilhamento especial.

Quem você der direito para ler esse arquivo, poderá navegar. Os usuários que você não der direito de ler esse arquivo não poderão navegar.

Tem detalhes sobre isso no primeiro tópico desse forum, onde estão as instruções de instalação.

[philip.obrien]

sim, eu fiz isso, mais tb não funciono, fiz exatamente como estava no tutorial, criei o arquivo, copiei ele pro netlogon, e dei a permissão para o usuário(permissão NTFS)...

Claudio poderia explicar como funciona esse processo... pois naum consigo entender como o Linux, vai ter acesso ao meu servidor de domínio sendo que so tem acesso a essa pasta “netlogon”, computadores membros do domínio... ou poderia Tb ser possível se eu informasse ao BFW um usuário e uma senha do domínio para ele fazer logon no servidor de domínio e ter acesso a pasta...

Já procurei em outros sites, mais existe muito pouca informação sobre esse assunto...

Obrigado pela atenção...

Philip Obrien

[Claudio]

ser possível se eu informasse ao BFW um usuário e uma senha do domínio para ele fazer logon no servidor de domínio e ter acesso a pasta...

Ele VAI fazer isso. É exatamente assim que a coisa funciona.
Mas o squid não precisa de uma conta para ele, o arquivo será lido com o nome de usuário e senha que o cliente informar no browser.

Quando alguem tenta se autenticar, o squid pega o userid e senha fornecidos e utiliza esses dados para tentar ler esse arquivo no servidor windows. Se o windows deixar, é porque a conta do usuário é válida.

Acesse a página "Configurações administrativas" e veja se você configurou corretamente o campo "Dominio" com o mesmo nome do dominio da sua rede windows.

[Marcos do Vale]

Vc leu TODO este post:
viewtopic.php?t=59852

[philip.obrien]

Vc leu TODO este post:
viewtopic.php?t=59852

Sim, fiz tudo exatamento como esta lá...

Acesse a página "Configurações administrativas" e veja se você configurou corretamente o campo "Dominio" com o mesmo nome do dominio da sua rede windows.

Sim claudio, esta certo...

Eu refiz todo a configuração aqui, ate reinstalei o BFW, mais ainda não deu certo....

Alguém já testo esse função de autenticação com domínio?
Eu preciso configurar no IE o proxy para navegar?
Quando configuro no IE o proxy, ele me pede um usuario e uma senha, quando tento acessar algum site, é normal acontecer isso?

Obrigado pela atenção!

Philip Obrien

[Marcos do Vale]

Sim, fiz tudo exatamento como esta lá...

Acho que não ... olha só

Onde: NOME é o domínio do PDC e 192.168.5.24 é o IP do mesmo.

serverdom é o nome do seu DOMÍNIO ou do seu SERVIDOR???

Alguém já testo esse função de autenticação com domínio?

Eu testei num Fedora Core 3 rodadno SaMBa.

Eu preciso configurar no IE o proxy para navegar?

Básico

Quando configuro no IE o proxy, ele me pede um usuario e uma senha, quando tento acessar algum site, é normal acontecer isso

?
É exatamente assim que funciona.

PS

Quantidade máxima de conexões por usuário=1

Vc prentende algo em especial com esta sua alteração?

[philip.obrien]

Ok Marcos Obrigado pela atenção...

realmente serverdom é o nome do servidor de dominio, naum o nome do dominio...

Vc prentende algo em especial com esta sua alteração?

Naum, na verdade, estava 0, intao no desespero de nada que fazia funcionava, me veio a ideia estupida que poderia ter alguma coisa haver com a mal funcionamento.... rsrsrsrsr

amanha pela manha vo testar e posto se funciono...

mais uma vez obrigado pela atenção...

Philip Obrien

[philip.obrien]

Olá

Fiz a alteração que estava incorreto no BFW, porem ainda não funciono...

Eu testei num Fedora Core 3 rodadno SaMBa.

Administradores de rede que possuem em suas configurações de proxy, autenticação via samba devem atentar muito para este detalhe pois se houver a tag "guest ok = yes" na seção global do seu arquivo smb.conf, certamente se não passaram pelo mesmo problema que eu, um dia ouvirão o mesmo boato, de que a autenticação da internet (proxy) não adianta de nada.

Estava pensando sobre esses comentários...

Para fazer funcionar o Samba vc teve que usar essa tag: "guest ok = yes", que permite que usuários não autenticados(visitantes) tenha acesso ao computador...
porem, no domínio do Windows 2003 server, isso não funciona, pois só tem acesso aos arquivos do domínio se realmente for um usuário do domínio...

Tem lógica o meu raciocínio?
Pode ter algo haver com o na não funcionamento em minha rede?
O que mais eu poderia postar aqui para ajudar a solucionar o meu problema?

Obrigado pela atenção...

Philip Obrien

[Helder]

Eu também estou testando ele com autenticação no domínio...
criei o arquivo no NETLOGON com a palavra "allow" sem aspas
dentro do mesmo... e não funcionou

Dei as permissões de leitura... tenho certeza disso...

- Servidor é Windows 2003 Standard
- BFW 2.30
- Squid 2.6.STABLE6-20061219 a

... a única regra que esta habilitada é a lista negra... com o site da uol.com.br dentro...

E eu tenho uma dúvida básica... autenticando no domínio não será solicitado nenhum pedido de usuário e senha para os usuários não é mesmo?? Pois eu não criei nenhum usuário e senha...

Eu achei foi estranho... que depois que fiz todas as configurações... e loguei novamente na máquina (e até reiniciei o BFW) ... ele não abre site nenhum... fica só abrindo, abrindo, abrindo... e nunca termina...

Se alguém tiver alguma dica fico agradecido...

[Helder]

Esqueci de falar pessoal... não configurei o proxy nas máquinas de teste ... será esse o problema??
Usando autenticação no domínio, devo configurar o servidor proxy com o IP e Porta nos clientes??

Valeu...

Um abraço para todos...

[Helder]

Acho que entendi pessoal... tenho que configurar o Proxy nos navegadores...
Mas ele pede usuário e senha... e eu queria é que ele não pedisse usuário e senha para quem
tivesse permissão de leitura no proxyauth que esta no NETLOGON...

Qual a vantagem de autenticar no domínio e assim mesmo pedir usuário e senha na hora de navegar?
Pelo menos aqui onde a rede é pequena... não tenho essa necessidade...

Vou continuar quebrando a cabeça aqui... se alguém tiver uma dica agradeço...

Bye

[Helder]

Oi pessoal... eu novamente

Bom... estive analisando as configurações e vi que a minha real necessidade é que usuários autenticados no domínio não sejam solicitados usuário e nem senha... e que não seja preciso fazer a configuração de endereço de proxy e porta nos clientes... e então cheguei a conclusão que eu preciso disso aqui:

Autenticação com proxy transparente
viewtopic.php?t=59658

Squid + proxy transparente + autentificação
http://vivaolinux.com.br/artigos/verArt ... 2&pagina=1

... e lendo outro artigo cheguei no NatACL ou o NoCatAuth
http://www.hostname.org/proxy_auth/
http://nocat.net/

... e li novamente com bastante atenção os artigos aqui do site (desculpem a minha afobação)... e vi que o Brazilfw ainda não suporta essas características...

Mas tudo bem... eu aprendi muita coisa... e vou continuar matutando aqui...

Obrigado pela atenção... abraços...

Hélder

[philip.obrien]

Olá Helder

aqui pra mim acontece a mesma coisa, quando tento acessar a internet pede um usuario e senha, porem, digito um user e uma senha do dominio e volta a pedir o usuario e senha novamente...

naum consigo acessar nenhum site....

Voce conseguil? quando pede o usuario e senha, ele autentico e vc conseguil navegar?

amanha vou dar uma olhada nos links que vc posto... Obrigado

Aguardo retorno

Philip Obrien

[Marcos do Vale]

Bom... estive analisando as configurações e vi que a minha real necessidade é que usuários autenticados no domínio não sejam solicitados usuário e nem senha

Isto é autenticação NTLM ... está nas pendências: Autenticar direto sem pedir senha

[thiagomt]

Afinal de contas, alguém conseguiu autenticação pelo domínio?

Eu também não consegui.... meu domínio está em win2003


Tem como debugar? Saber se o squid está "achando" o arquivo?

Tenho pouco conhecimento em Linux e gostaria de uma ajuda.

No squid.conf tem a seguinte linha:
auth_param basic program /usr/local/bin/smb_auth -W DOMINIO

Eu gostaria de executar o smb_auth pelo putty.
Executando ./smb_auth -W DOMINIO nao dá nada...

Assim poderia saber se está tudo ok..

Abraços!

[Marcos do Vale]

Tem como debugar? Saber se o squid está "achando" o arquivo?

Código: Selecionar todos

internet# ./smbclient //ip_do_pdc/netlogon -I ip_do_pdc -d 0 -E -W DOMÍNIO -c "get proxyauth -"
Can't load /usr/local/samba/lib/smb.conf - run testparm to debug it
load_client_codepage: filename /usr/local/samba/lib/codepages/codepage.850 does not exist.
load_unicode_map: filename /usr/local/samba/lib/codepages/unicode_map.850 does not exist.
load_unicode_map: filename /usr/local/samba/lib/codepages/unicode_map.ISO8859-1 does not exist.
Password:
Anonymous login successful
allow
internet#

Quando pedir senha tecle ENTER

[philip.obrien]

Afinal de contas, alguém conseguiu autenticação pelo domínio?

Olá, eu ainda naum obtive sucesso...

Código: Selecionar todos

internet# ./smbclient //ip_do_pdc/netlogon -I ip_do_pdc -d 0 -E -W DOMÍNIO -c "get proxyauth -"
Can't load /usr/local/samba/lib/smb.conf - run testparm to debug it
load_client_codepage: filename /usr/local/samba/lib/codepages/codepage.850 does not exist.
load_unicode_map: filename /usr/local/samba/lib/codepages/unicode_map.850 does not exist.
load_unicode_map: filename /usr/local/samba/lib/codepages/unicode_map.ISO8859-1 does not exist.
Password:
Anonymous login successful
allow
internet#

Marcos, cara que serve esse código e como aplicar ele?


OBS: se alguém conseguiu autenticar no dominio(Windows 2003), favor postar aqui...

Obrigado

Philip Obrien

[Marcos do Vale]

Repetindo:

Código: Selecionar todos

/usr/local/squid/libexec/smbclient //ip_do_pdc/netlogon -I ip_do_pdc_de_novo -d 0 -E -W DOMÍNIO -c "get proxyauth -"

Executando este comando no console do BFW podemos testar se o BFW está acessando aquele arquivo proxyauth lá no compartilhamento netlogon do servidor com o ip_do_pdc.

PS - Testado hoje a tarde num cliente com Fedora Core 3, Samba 3.0 e BFW 2.30 c/ Squid 1.1

[philip.obrien]

PS - Testado hoje a tarde num cliente com Fedora Core 3, Samba 3.0 e BFW 2.30 c/ Squid 1.1

Marcos, vc testo com o Windows 2003 Server, pois no samba permite conexão de usuários visitantes...

porem no domínio do 2003 Server, só permite acesso a qual quer computador de domínio, se vc for membro do domínio...

OBS: estou viajando, quando chegar testo o seu código...

Obrigado

Philip Obrien

[thiagomt]

porem no domínio do 2003 Server, só permite acesso a qual quer computador de domínio, se vc for membro do domínio...

Uso win2k3, dei permissão total a Todos e mesmo assim não conseguiu ler o arquivo.

O retorno é sempre esse:

Anonymous login successful
tree connect failed: NT_STATUS_ACCESS_DENIED

Parece que consegue acessar o domíno mas não o arquivo.
Caso alguém tenha conseguido com o windows 2003, conte para nós...

[Marcos do Vale]

Citação:
PS - Testado hoje a tarde num cliente com Fedora Core 3, Samba 3.0 e BFW 2.30 c/ Squid 1.1

Marcos, vc testo com o Windows 2003 Server

???

porem no domínio do 2003 Server, só permite acesso a qual quer computador de domínio, se vc for membro do domínio...

Daí eu não sei. Num NT4 tb funcionou ... bom, quem sabe vcs perguntam pro Uncle Bill ?

[manauara]

mas, se o computador não fizer parte do dominio e tentar acessar um compartilhamento ele pedirá login e senha.

[thiagomt]

Anonymous login successful

No teste que estamos fazendo, o login é anônimo e está sendo aceito.

O problema está no acesso ao arquivo...

[manauara]

mas esse anônimo é q? usuário cadastrado, administrador?

[Marcos do Vale]

Configurando o PDC

Para controlar o acesso por usuários e grupos, o Squid lê o arquivo \netlogon\proxyauth em um dos controladores de domínio previamente informado. Se a leitura desse arquivo retorna um "allow", então o acesso é liberado. Caso contrário, negado.
Crie um arquivo chamado proxyauth (e não proxyauth.txt!) no compartilhamento NETLOGON de seu PDC (dê preferência ao primário). Esse arquivo deve conter unicamente a palavra "allow" (sem as aspas) e dê permissão de leitura para os grupos e usuários que deseja permitir acesso. Simples, não?

Creio que seja possível simular isto numa máquina rodando um Win Xp.
É só criar um compartilhamento com o nome de netlogon contendo o arquivo proxyauth. A permissão para acesso ao compartilhamento não deve possuir restrições, já ao arquivo somente os usuários (acho melhor um criar um grupo e neste grupo incluir os usuários) que tem permissão.

[vynyciusct]

Bom aqui tb estou tendo o mesmo problema , porem qto ao aceso negado eu resolvi habilitando o usuario convidado no ad , com isso nao aparece mais nt_access_denied e sim o allow , mas mesmo assim qdo vou navegar coloco usuario e senha ele volta a tela pedindo usuario e senha

[thiagomt]

Consegui fazer com que o ./smbclient leia o arquivo e retorne allow, ativando a conta "Convidado" no AD (que vem inativca por default) e dando as permissões necessárias na pasta e compartilhamento.

Mas o principal, que é fazer o ./smb_auth funcionar, eu não consigo. Retorna sempre ERR.

[vynyciusct]

Bom , retomando os teste , depois de ter habilitado o convidado no ad eu obtive allow no retorno do comando acima , mas ainda assim obtive err no smb_auth porem so quando colocava o usuario e senha corretos,quando colocava um usuario qualquer com uma senha qualquer ele nagegava normalmente, acho que isso aconteceu pq o usuario convidado estava habilitado , entao desabilitei o convidado e ai voltou ao normal negando tudo de novo.Parece que ele nao esta conseguindo acessar a base do banco de usuarios do windows (ad), sera que problema nao esta no modulo smb_auth , por que no windows 2000 ele funcionou normalmente parece que so nao funciona no 2003 , sera que nao teria que usar o msnt???

[vynyciusct]

ou em alguma diretiva de segurança do windows ????

[Henrique]

e no arquivo /etc/hosts voce colocou ip do primeiro dominio ??? Acho que ele nao esta resolvendo a chamada??

[Marcos do Vale]

e no arquivo /etc/hosts voce colocou ip do primeiro dominio ??? Acho que ele nao esta resolvendo a chamada??

É por isto que está no webadmin do Squid o campo:

Informações do PDC: Nome IP

[vynyciusct]

Ta tudo configurado certinho , mesmo pq com o usuario convidado ativado funcionou normalmente , tanto o retorno do arquivo proxyauth , qto a autenticacao , o curioso eh que quando coloca um usuario valido ele da erro , mas quando coloca um usuario que nao existe com qualquer senha ele vai perfeito , so pra tirar qualquer duvida antes de efetuar os testes eu ja tinha editado o arquivo host e na linha do squid de autenticaçao eu coloquei o ip do server com a opçao :
-W dominio -U ipserver
mas so funciono com usuarios que nao existem qdo o convidado esta habilitado , qdo desabilitado nao funciona de jeito nenhum , eu acho que pode ser alguma restriçao da politica de segurança do 2003 ou o modulo que nao esta dando suporte o smb_auth , nao sei se for trocado por msnt. So uma sugestao, se nao for possivel vamos tentar com o smb_auth .

[thiagomt]

Alguém já conseguiu a proeza de autenticar pelo windows 2003 server?

[vynyciusct]

Eu Consegui!!!!!!!!!

Este problema acontece porque recentemente a Microsoft alterou seu protocolo e incluiu nele algumas melhorias no que diz respeito a segurança. A versão atualizada é chamada CIFS, que suporta algumas características não suportadas pelo SMBFS. Devido a conhecidos problemas de segurança muitos servidores Windows 2003 são configurados para recusar acesso à clientes usando SMBFS.
Há uma maneira de desativar esta opção no Windows 2003, mas não sei até que ponto isto poderia ser interessante. Acesse "Administrative Tools" -> "Domain Controller Security Settings" -> "Local Policies" -> "Security Options". Localize a entrada "Microsoft network server: Digitally sign communications (always)", desative-a e execute o gpupdate.

E Pronto funciona!!!!!!!!!!!!!!!!!!

[mroberto]

Olá Helder

aqui pra mim acontece a mesma coisa, quando tento acessar a internet pede um usuario e senha, porem, digito um user e uma senha do dominio e volta a pedir o usuario e senha novamente...

naum consigo acessar nenhum site....

Voce conseguil? quando pede o usuario e senha, ele autentico e vc conseguil navegar?

amanha vou dar uma olhada nos links que vc posto... Obrigado

Aguardo retorno

Tive o mesmo problema eu criei os usuario no squid e deu certo, autentica usando a senha do Dominio rsrsr funcionou.

Philip Obrien

[Ratimam]

to nessa, também não conseguir fazer autenticar como deveria.

config do squid = ok
arquivo proxyauth = ok
config i.e = ok
police sujerida = ok "desativa"

ainda não consegui fazer funcionar...

vejamos isso...

--- SMB_AUTH ---

This authentication is the most powerful. It is able to authenticate Users and Group of an NT domain.
It has some bad profiles... such as:

1) It use an .sh wrapper for authentication
2) It use nmblookup (samba) program to ask for auth.

Use it, only if you need to authenticate group, or you need to do a PDC centralized configuration (after we explain why).

so, let`s start:


1) Install samba and squid :-)
2) Configure samba to make the proxy "see" domains and domains controllers you need.
3) Configure our NT PDC and BDC :

+ create a file called "proxyauth" in the NETLOGON share of the controllers.
+ put the word "allow" into that file
+ using the Domain Controller assign read permission to the file for users and group you need.
+ if you want to access multiple domain, put file and permission in all the domain controllers.

4) Configure Squid :

+ put these lines into squid.conf

authenticate_program /home/squid/libexec/squid/smb_auth -W DOMAINAME
authenticate_children 5
authenticate_ttl 1 hour
authenticate_ip_ttl 60 seconds

Note that some of these rows already are default squid configuration.

5) edit $SQUIDPREFIX/libexec/squid/smb_auth.sh for correct configuration, such as SAMBAPREFIX variable


6) Test Configuration:

launc:

$SQUIDPREFIX/libexec/squid/smb_auth -W DOMAINAME -d

put user name and password

it will appear:

user password
Domain name: DOMAINAME
Pass-through authentication: no
Query address options:
Domain controller IP address: IP.ADD.RRE.SS
Domain controller NETBIOS name: PDC
Contents of //PDC/NETLOGON/proxyauth: allow
OK

NAturally if it fail we receive an ERR instead of OK :-)


7) Write correct ACLs in squid.conf such as:

acl federico proxy_auth REQUIRED
http_access allow federico



8) Start SQUID!!!!!


AGUARDO EM QUANTO TESTO TAMBÉM... BOA SORTE!!!

[Ratimam]

galera estou terminando um projeto de integração de aplicações e contas em uma intranet...
e no começo achei que seria impossivel ligar.

windows 2003 > active directory >users ( egroupware, openfire, squid )

egw = integrado ( metodo LDAP ADS ) próprio para consultas no ldap do AD
openfire = integrado ( metodo LDAP ADS ) mesmo sistema do egw, integrado!!!

ambos os programas tinham um recurso para usar active directory do windows server 2003 - ADS

no squid atual o modulo é o smb auth, posso estar errado, alias até queria. mais esse não vai autenticar no AD do 2003.

pode se compilar o msnt auth, mais se o mesmo não entender que o AD é do 2003 também será um problema. " realmente a atualizações em cima disso "

a uma grande confusão sobre alguns intens... por ex..

active directory = WINDOWS"ADS" E LINUX"SAMBA"
ldap = é um protocolo e não um banco de dados, opera sobre o tcp ip e depende as veses dos dns para resolver algumas consultas de diretorios. = WINDOWS E LINUX
essa dependencia dos dns quando usa-se ADS do 2003 pode resultar em problemas para maquina fora do dominio, ou até mesmo dispositivos sem credencial de consulta.


para poder afirmar se é possivel essa integração com o AD do windows 2003 sp2 EE vou terminar mais um material e voltarei a postar.

segue o material que começei a ler.
veja que no inicio a uma explicação sobre versões do squid compativeis ou não.

http://www.papercut.com/kb/Main/Configu ... eDirectory

até...

[thiagomt]

A integração linux + win23k AD é perfeitamente possível. Trabalhosa, mas possível.

Tenho uma rede windows com Domain Control windows 2003 e AD controlando usuários.
Montei um servidor LAMP rodando Debian Etch, dei join no domínio e compartilho a pasta do Apache com a rede Windows.
Na minha máquina windows, clico com o botão direito em uma pasta do compartilhamento e dou permissões de acesso aos usuários e grupos do meu AD.

Ficou show de bola! A solução é Samba + Winbind + ACL

Mas a situação muda completamente de figura quando se trata do BFW. Não "queremos" instalar um servidor Samba e Winbind para fazer o lance funcionar.
Precisamos fazer funcionar com as ferramentas que temos disponíveis e próprias para o BFW.

[Ratimam]

entendi, mais não entendi...

o cenário que estou descrevendo como protocolos, aplicativos e versões são relacionada ao nosso forum
brazilfw + squid proxy + win2k3 sp2 AD.

concordo em relação em termos que usar as ferramentas que temos, e torno a dizer que será dificil integrar usando a versão atual no squid
que está compilado com o smb auth, módulo de consulta de serviço de diretório SAMBA e não Windows.

no post acima eu deixei um link explicando alguns procedimentos que vou tentar hoje anoite, pelo que lí por cima
a consulta é feita pelo kerberos, mesmo protocolo utilizado para autenticação dos users do AD.

a idéia de uma integração dessas é a utilização da estrutura ldap já existente, sem a necessidade de modificações na estrutura e somente no proxy.

existe outras formas de alcançar isso. como criar um servidor radius integrado no AD e no proxy. também serve de solução para hotspot e usuário com tempo de expiração da conta.

lembrando que o radius não a mesma segurança do AD.

anoite torno a postar...

Thankss