Solu\u00e7\u00e3o r\u00e1pida e pratica para quem utiliza Squid e quer integrar ele com a autentica\u00e7\u00e3o do Windows. J\u00e1 estou levando em considera\u00e7\u00e3o de que vai haver redund\u00e2ncia, tanto na autentica\u00e7\u00e3o, como no servi\u00e7o de proxy.<\/p>\n
Pr\u00e9-requisitos:
\n– Dom\u00ednio Windows AD com 2 servidores. Servidor 1 – IP 10.0.0.10, FQDN AD01.DOMINIO.LOCAL. Servidor 2\u00a0– IP 10.0.0.11, FQDN AD02.DOMINIO.LOCAL\u00a0;
\n– Dois servidores para o Squid j\u00e1 com a instala\u00e7\u00e3o b\u00e1sica do Debian 8.5 de 64bits. Servidor 1 – IP 10.0.0.20, FQDN PROXY01.DOMINIO.LOCAL. Servidor 1 – IP 10.0.0.21, FQDN PROXY02.DOMINIO.LOCAL. ( ambiente em que a solu\u00e7\u00e3o foi testada );
\n– Conta administrativa no AD ( ex: adm.tonev );
\n– Conhecimentos de AD, DHCP, DNS, DNS reverso, HTTP, cria\u00e7\u00e3o de GPOs, administra\u00e7\u00e3o Windows, administra\u00e7\u00e3o Linux;<\/p>\n
1 – Instale os pacotes b\u00e1sicos necess\u00e1rios:
\napt-get install squid3 telnet tcpdump ntpdate samba winbind vim telnet tcpdump mc xz-utils rsync<\/p>\n
2 – Em cada servidor Squid ajuste o arquivo \/etc\/hosts com o IP da maquina local e o IP dos ADs:
\nNo servidor proxy01.dominio.local:
\n10.0.0.20 \u00a0 proxy01.dominio.local \u00a0 proxy01
\n10.0.0.10 \u00a0\u00a0ad01.dominio.local \u00a0 ad01
\n10.0.0.11 \u00a0 ad02.dominio.local \u00a0 ad02<\/p>\n
No servidor proxy02.dominio.local:
\n10.0.0.21 \u00a0 proxy02.dominio.local \u00a0 proxy02
\n10.0.0.10 \u00a0\u00a0ad01.dominio.local \u00a0 ad01
\n10.0.0.11 \u00a0 ad02.dominio.local \u00a0 ad02<\/p>\n
3 – Em cada servidor Squid ajuste o arquivo \/etc\/samba\/smb.conf para o conte\u00fado abaixo:
\n[global]
\nunix charset = ISO-8859-1
\nworkgroup = DOMINIO
\nnetbios name =\u00a0proxy01 ( altere na segunda maquina para refletir o nome dela )
\nserver string =\u00a0proxy01\u00a0( altere na segunda maquina para refletir o nome dela )
\nlog level = 5
\nload printers = no
\nlog file = \/var\/log\/samba\/log.%m
\nmax log size = 500
\nrealm =\u00a0DOMINIO.LOCAL
\nsecurity = ads
\nauth methods = winbind
\npassword server =\u00a010.0.0.10, 10.0.0.11
\nwinbind separator = +
\nencrypt passwords = yes
\nprintcap name = cups
\nwinbind cache time = 15
\nwinbind enum users = yes
\nwinbind enum groups = yes
\nwinbind use default domain = yes
\nidmap uid = 10000-20000
\nidmap gid = 10000-20000
\nsocket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
\nlocal master = no
\nos level = 233
\ndomain master = no
\npreferred master = no
\ndomain logons = no
\ndns proxy = no
\nldap ssl = no
\nprinting = cups
\ndisable spoolss = yes
\nshow add printer wizard = no
\ntemplate shell = \/bin\/bash
\ntemplate homedir = \/home\/%U<\/p>\n
4 – No AD crie o registro de DNS e DNS Reverso para o proxy01 e proxy02 e aguarde o tempo necess\u00e1rio para replica\u00e7\u00e3o e refresh do DNS;<\/p>\n
5 – Insira as maquinas Squid no dom\u00ednio do AD. Tem que ser feito localmente nas maquinas
\nnet ads join -U adm.tonev<\/p>\n
6 – Reinicie os servi\u00e7os do samba e winbind
\n\/etc\/init.d\/samba restart ; \/etc\/init.d\/winbind restart<\/p>\n
7- Teste a comunica\u00e7\u00e3o das maquinas proxy com o dom\u00ednio Windows:
\nwbinfo -t<\/p>\n
Tem que retornar “checking the trust secret for domain DOMINIO\u00a0via RPC calls succeeded”<\/p>\n
8 – Teste a autentica\u00e7\u00e3o no dom\u00ednio Windows:
\nwbinfo -a adm.tonev<\/p>\n
Depois de solicita a senha duas vezes, deve retornar as linhas abaixo:<\/p>\n
plaintext password authentication succeeded
\nchallenge\/response password authentication succeeded<\/p>\n
9 –\u00a0Alterar o chmod do \/usr\/bin\/ntlm_auth para que o autenticador rode como root. O \u00fanico problema \u00e9 que sempre que o pacote do samba for atualizado ser\u00e1 necess\u00e1rio reexecutar o comando para que a autentica\u00e7\u00e3o n\u00e3o pare:
\nchmod 6755 \/usr\/bin\/ntlm_auth<\/p>\n
10 – Ajuste a configura\u00e7\u00e3o do squid \u00a0( \/etc\/squid3\/squid.conf ) com o conte\u00fado abaixo:
\nauth_param ntlm program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-ntlmssp –domain=DOMINIO
\nauth_param ntlm children 512
\nacl WINDOWS_AUTH proxy_auth REQUIRED
\nacl SSL_ports port 80 443\u00a01025-65535
\nacl Safe_ports port 21 70 80 210 280 443 488 591 777 \u00a01025-65535
\nacl CONNECT method CONNECT
\nhttp_access deny !Safe_ports
\nhttp_access deny CONNECT !SSL_ports
\nhttp_access allow localhost manager
\nhttp_access deny manager
\nhttp_access allow localhost
\nhttp_access allow WINDOWS_AUTH
\nhttp_access deny all
\nhttp_port 3128
\ncache_mem 3072 MB
\nmaximum_object_size_in_memory 512 KB
\nminimum_object_size 2 KB
\nmaximum_object_size 512 KB
\noffline_mode off
\ncache_swap_low 90
\ncache_swap_high 95
\nrefresh_pattern ^ftp: 1440 20% 10080
\nrefresh_pattern ^gopher: 1440 0% 1440
\nrefresh_pattern -i (\/cgi-bin\/|\\?) 0 0% 0
\nrefresh_pattern . 0 20% 4320
\ndns_v4_first on
\ncache_mgr admin@dominio.local
\nlogfile_rotate 2
\nforwarded_for on
\nhttpd_suppress_version_string on
\nuri_whitespace strip
\nfqdncache_size 8192
\nipcache_size 8192<\/p>\n
11 – Ajuste o \/etc\/sysctl.conf para os parametros abaixo:
\nfs.file-max = 1048576
\nnet.ipv4.tcp_syncookies = 1
\nnet.ipv4.neigh.default.gc_interval = 15
\nnet.ipv4.neigh.default.gc_thresh1 = 4096
\nnet.ipv4.neigh.default.gc_thresh2 = 8192
\nnet.ipv4.neigh.default.gc_thresh3 = 16384
\nnet.core.netdev_max_backlog = 2048
\nnet.ipv4.tcp_fin_timeout = 20
\nnet.ipv4.tcp_tw_recycle = 1
\nnet.ipv4.tcp_tw_reuse = 1
\nnet.ipv4.tcp_syn_retries = 3
\nnet.ipv4.tcp_synack_retries = 3
\nnet.core.somaxconn = 49152
\nnet.core.rmem_max = 5242880
\nnet.core.wmem_max = 5242880
\nnet.ipv4.netfilter.ip_conntrack_max = 262144<\/p>\n
12 – Crie um arquivo com o nome wpad.dat com o conte\u00fado abaixo e o coloque em um servidor web que todas as maquinas cliente possam acessar.
\nfunction FindProxyForURL(url, host) {
\nreturn “PROXY proxy01.dominio.local:3128;PROXY proxy02.dominio.local:3128”;
\n}<\/p>\n
13 – Ajuste a configura\u00e7\u00e3o do DHCP da rede para incluir a op\u00e7\u00e3o 252 e informar a localiza\u00e7\u00e3o do arquivo wpad.dat<\/p>\n
14 – Crie uma GPO for\u00e7ada para o dom\u00ednio AD e especifique que os browsers devem usar autoconfigura\u00e7\u00e3o e especifique o caminho do wpad.dat. Opcionalmente pode travar a op\u00e7\u00e3o de usu\u00e1rio poder alterar a configura\u00e7\u00e3o de proxy. O Internet Explorer e o Chrome usam a mesma configura\u00e7\u00e3o ( a do IE ), para o Mozilla \u00e9 necess\u00e1rio baixar o modelo administrativo (\u00a0aqui o link do download<\/a>\u00a0)<\/p>\n Aten\u00e7\u00e3o: nessa configura\u00e7\u00e3o do Squid as maquinas cliente somente poder\u00e3o navegar se conseguirem se autenticar via NTLM. Isso vale somente para maquinas que fazem parte do dom\u00ednio Windows. Maquinas que n\u00e3o fazem parte ser\u00e3o bloqueadas automaticamente e n\u00e3o vai aparecer nenhuma tela solicitando login\/senha. Para que isso aconte\u00e7a \u00e9 necess\u00e1rio especificar mais tipos de autentica\u00e7\u00e3o. O pr\u00f3ximo post\u00e1 ser\u00e1 sobre como implementar autentica\u00e7\u00e3o via RADIUS.<\/span><\/strong><\/p>\n Aten\u00e7\u00e3o [2]: Se a carga de autentica\u00e7\u00e3o for muito grande, pode ser que o Squid pare de atender as conex\u00f5es dos clientes. Agende um “squid3 -k reconfigure” no crontab para rodar a cada 5 minutos. Assim os processos do ntlm_auth ser\u00e3o reciclados e mantidos somente os necessarios. Ainda preciso reproduzir o bug para poder relatar.<\/span><\/strong><\/p>\n Pronto. Reinicie o squid e aproveite.<\/p>\n","protected":false},"excerpt":{"rendered":" Solu\u00e7\u00e3o r\u00e1pida e pratica para quem utiliza Squid e quer integrar ele com a autentica\u00e7\u00e3o do Windows. J\u00e1 estou levando em considera\u00e7\u00e3o de que vai haver redund\u00e2ncia, tanto na autentica\u00e7\u00e3o, como no servi\u00e7o de proxy….<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-73","post","type-post","status-publish","format-standard","hentry","category-rede"],"_links":{"self":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/73","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=73"}],"version-history":[{"count":14,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/73\/revisions"}],"predecessor-version":[{"id":88,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/73\/revisions\/88"}],"wp:attachment":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=73"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=73"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=73"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}