Blog do Nerd » Configurando Squid e SquidGuard no Ubuntu (12

5/28/2018 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12

1/34

13/3/2014 Blog do Nerd Configurando Squid e SquidGuard no Ubuntu (12.04 LTS) com autenticao e regras por grupos do Active Directory (Windows 2008)

http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/ 1/34

SobreSuporte em TI

Internet Explorer 10 e Window s 7: Falhageral ao rodar sysprep

8 MESES ATRS

Tweetar

3

Configurando Squid eSquidGuard no Ubuntu(12.04LTS) com autenticao eregras por grupos do ActiveDirectory (Windows 2008)

por Nerdem Linux, Tutoriais 1

Compartilhar / Favoritos

J escrevi outros

tutoriais sobre

como autenticar o

Ubuntu no Active

Directory (AD)e como

configurar o Squidpara se

aproveitar dessa autenticao e

criar regras baseadas em grupos do AD. Recebi vrios pedidos sobre como integrar o

SquidGuard ao Squid autenticando no AD e criando regras por grupos. Este tutorial trata

justamente desta integrao.

A ideia aproveitar as credenciais dos usurios do AD, que j fizeram a autenticao noWindows e permitir que eles se autentiquem no Squid sem precisar digitar nenhuma

senha.

Alm disso os usurios sero includos em grupos do AD e as regras do Squid ser

configuradas para dar privilgios de acesso para estes grupos.

A sugesto aqui a criao de 3 grupos de acesso: Internet_Acesso_Completo,

Internet_Acesso_Padraoe Internet_Acesso_Bloqueado. Dessa forma o Squid gerencia

os privilgios de cada grupo e fornece o acesso de acordo com o grupo que o usurio

pertena. Uma vez implementada a soluo, a ideia que no seja necessrio modificar

regras no Squid, DansGuardian ou SquidClamAV, bastando somente incluir os usurios

55

Pesquisar...

Windows 7 Sysprep:Criao de umaimagem de instalaopersonalizada (322)O objetivo deste artigo

demonstrar como

gerar uma imagem

personalizada para

instalao em massa do

Windows 7. Aps

concluir todos os []

3 ANOS ATRS

Squid 3 (Ubuntu 10.04LTS) autenticando noActive Directory(Windows 2008) (234)Este artigo faz parte do

tutorial Proxy Squid no

Ubuntu com

autenticao NTLM noWindows 2008 e regras

baseadas em Grupos

do AD. A idia []

2 ANOS ATRS

Incio Sobre Contato Doao
http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2011/10/autenticacao-ubuntu-10-04-lts-no-active-directory-windows-2008/https://twitter.com/intent/tweet?original_referer=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&text=Blog%20do%20Nerd%20%C2%BB%20Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&tw_p=tweetbutton&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&via=blogdonerdhttp://twitter.com/search?q=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2Fhttp://-/?-http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/2010/08/criacao-de-uma-imagem-de-instalacao-personalizada-do-windows-7-sysprep/http://blogdonerd.com.br/doacao/http://blogdonerd.com.br/contato/http://blogdonerd.com.br/sobre/http://blogdonerd.com.br/http://twitter.com/blogdonerdhttp://feeds.feedburner.com/blogdonerdrsshttp://-/?-http://-/?-http://-/?-http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2010/08/criacao-de-uma-imagem-de-instalacao-personalizada-do-windows-7-sysprep/http://blogdonerd.com.br/2011/10/squid-3-ubuntu-10-04-lts-autenticando-no-active-directory-windows-2008/http://blogdonerd.com.br/2011/10/autenticacao-ubuntu-10-04-lts-no-active-directory-windows-2008/http://blogdonerd.com.br/category/tutoriais/http://blogdonerd.com.br/category/tutoriais/linux-tutoriais/http://blogdonerd.com.br/author/Nerd/http://www.addtoany.com/share_save#url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&description=J%C3%A1%20escrevi%20outros%20tutoriais%20sobre%20como%20autenticar%20o%20Ubuntu%20no%20Active%20Directory%20(AD)%C2%A0e%20como%20configurar%20o%20Squid%20para%20se%20aproveitar%20dessa%20autentica%C3%A7%C3%A3o%20e%20criar%20regras%20baseadas%20em%20grupos%20do%20AD.http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://twitter.com/search?q=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2Fhttps://twitter.com/intent/tweet?original_referer=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&text=Blog%20do%20Nerd%20%C2%BB%20Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&tw_p=tweetbutton&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&via=blogdonerdhttp://blogdonerd.com.br/2013/07/internet-explorer-10-e-windows-7-falha-geral-ao-rodar-sysprep/http://www.googleadservices.com/pagead/aclk?sa=L&ai=CoSEHB6khU8aGKK2-6gHr2YGgB-P5xbAEk4aFkF6VjcOyOBABIN2c5xtQxsyfvv7_____AWDNuK2PnAOgAZS6i_8DyAECqAMByAPBBKoE2QFP0LoUiNaICF6fqLnHX0CczXX0utZUyZ_1n1Ci1k87IJIwP8eLSQ0dgnPGkB4ySXp7k8w1bogo74qev-aYN82SLGSpHpa80IB3X9lVsbNXfGYGTYX0m9VSN5qBnEA6XKVOXanp_iIuh-OFPIqU9irtfL_sHmnRzpzkN1bYtxoWdJgBYNBWlwNXarfWi9GDBwexi5lCr6anlJztQhBoWzH2JXyfUgzpbAo3fcNr0Mvu8CjFunAt58Givt23fmqIQctqXXdH8NtYCP4VkHw_l4N6WWDtSCE-ynu-iAYBoAYCgAfUxXQ&num=1&cid=5GgiPgl7qPSQ7oL01Seli6FL&sig=AOD64_2dk7eHERCD86_whkbSepAqLsBBxA&client=ca-pub-8140222969664439&adurl=http://www.4linux.com.br/formacao-administrador-linux-in-cloud-ad1.html&nm=1http://blogdonerd.com.br/


2/34



no grupo de acesso desejado. Os privilgios dos grupos ficaro assim:

1. O grupo Internet_Acesso_Completono ser bloqueado pelo SquidGuard e poder

acessar qualquer URL.

2. Os usurios membros do grupo Internet_Acesso_Padraotero os acessos

restringidos pelas regras do Squid e todo seu acesso ser filtrado pelas regras do

SquidGuard.

3. Por fim o grupo Internet_Acesso_Bloqueadono ter acesso a nada, no podendo

navegar na Internet.

Tambm sero criadas um conjunto de arquivos que iro conter sitesproibidos,

permitidos mediante autenticao e permitidos sem necessidade de autenticao, alm

de computadoresliberados e proibidos de navegar utilizando o proxy.

Observao: Outro popular software de filtro de sites por categoria o DansGuardian.

Ele funciona muito bem e tem uma comunidade bastante ativa. Preferi utilizar o

SquidGuard pois da forma como o DansGuardian trabalha, todo o fluxo do proxy precisa

antes passar por ele para s depois ser encaminhado para o Squid tratar. Desta forma

todas as regras de liberao para grupos especficos deveriam ser realizados no

SquidGuard e a soluo acabaria ficando limitada. Acredito que com o SquidGuard a

flexibilidade seja maior.

Pr-RequisitosServidor Linux Ubuntu 12.04 LTS ou superior previamente instalado.

Servidor de DNS configurado (/etc/resolv.conf) e apontando para um servidor de

DNS do domnio Active Directory

Privilgios de administrador (root) no Linux instalado.

Domnio Active Directory (AD) baseado em Windows 2000, 2003 ou 2008 j instalado

e operando.

Credenciais com privilgios para criao de grupos no AD.

ResumoSo estes os passos que iremos seguir:

A. Autenticao Ubuntu 12.04 LTS no Active Directory (Windows 2008)

B. Instalao e Configurao do Squid 3

C. Instalao e Configurao do SquidGuard

D. Observaes e Dicas

TutorialVamos colocar a mo na massa.

A. Autenticao Ubuntu 12.04 LTS noActive Directory (Windows 2008)O servidor linux pode ter IP fixo ou DHCP. claro que para utilizao como servidor

Squid recomendvel a utilizao de IP fixo. Alm disso necessrio que o seu(s)

servidor(es) DNS esteja(m) corretamente configurado(s) no arquivo /etc/resolv.conf.

Recomendo atualizar seu Ubuntu, antes de comear, utilizando os comandos abaixo:

Reinicie o computador para que o novo kernel seja atualizado (se necessrio).

12

sudoapt-get updatesudoapt-get dist-upgrade

1 sudoreboot

Active DirectoryArquivo de Resposta arquivos

backup Boot de RedeCompartilhamento de

Arquivos drivers e-DOC

firewall GPO imagex

Java KB980436 LinuxMBOX Outlook Express Postfix

Proxy PXE redes

shorewall Squid sshSSL sysprep TLS

Ubuntu VMwareWAIK WDS

Windows

Windows 7Windows 2003

Windows 2008Windows XP WinPE

Tags

Utilizando o WinPE 3.0 parabackup e instalao do Windows7 (217)O WinPE (Windows Preinstallation

Environment) uma verso

reduzida do Windows destinada

especificamente para preparar

um computador para []

3 ANOS ATRS

OpenVPN ServidorUbuntu e Clientes
http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/2012/06/openvpn-servidor-ubuntu-e-clientes-windows-e-linux/http://blogdonerd.com.br/2010/08/utilizando-o-winpe-3-0-para-backup-e-instalacao-do-windows-7/http://blogdonerd.com.br/tag/winpe/http://blogdonerd.com.br/tag/windows-xp/http://blogdonerd.com.br/tag/windows-2008/http://blogdonerd.com.br/tag/windows-2003/http://blogdonerd.com.br/tag/windows-7/http://blogdonerd.com.br/tag/windows/http://blogdonerd.com.br/tag/wds/http://blogdonerd.com.br/tag/waik/http://blogdonerd.com.br/tag/vmware/http://blogdonerd.com.br/tag/ubuntu/http://blogdonerd.com.br/tag/tls/http://blogdonerd.com.br/tag/sysprep/http://blogdonerd.com.br/tag/ssl/http://blogdonerd.com.br/tag/ssh/http://blogdonerd.com.br/tag/squid/http://blogdonerd.com.br/tag/shorewall/http://blogdonerd.com.br/tag/redes/http://blogdonerd.com.br/tag/pxe/http://blogdonerd.com.br/tag/proxy/http://blogdonerd.com.br/tag/postfix/http://blogdonerd.com.br/tag/outlook-express/http://blogdonerd.com.br/tag/mbox/http://blogdonerd.com.br/tag/linux-tutoriais/http://blogdonerd.com.br/tag/kb980436/http://blogdonerd.com.br/tag/java/http://blogdonerd.com.br/tag/imagex/http://blogdonerd.com.br/tag/gpo/http://blogdonerd.com.br/tag/firewall/http://blogdonerd.com.br/tag/e-doc/http://blogdonerd.com.br/tag/drivers/http://blogdonerd.com.br/tag/compartilhamento-de-arquivos/http://blogdonerd.com.br/tag/boot-de-rede/http://blogdonerd.com.br/tag/backup/http://blogdonerd.com.br/tag/arquivos/http://blogdonerd.com.br/tag/arquivo-de-resposta/http://blogdonerd.com.br/tag/active-directory/


3/34



Instale os pacotes libkrb5-3, krb5-config, samba, winbind e ntp utilizando o comando

abaixo:

Pare os servios sambae winbind:

Limpe a pasta de cache do samba:

Configure o Kerberos alterando o contedo do arquivo/etc/krb5.confpelo apresentado

abaixo.

Lembre-se de substituir DOMINIO.COM.BR e dominio.com.br pelo nome FQDN de

seu domnio Active Directory nas linhas em destaque.

Edite o arquivo/etc/ntp.conf, comente todas as linhas iniciardas com server, mantendo

apenas uma apontando para seu domnio. Voc pode apontar para um servidor NTPde

sua rede ou outro qualquer de preferncia.

Reinicie o servio ntpe verifique se a data e hora esto corretos:

Configure o Samba/Winbind, editando o arquivo/etc/samba/smb.confe substituindo

seu contedo conforme abaixo.

Lembre-se de substituir HOSTNAME pelo nome de seu servidor linux e alterar

DOMINIO, DOMINIO.COM.BR e dominio.com.br para o FQDN de seu domnio nas

linhas em destaque.

1 sudoapt-get installlibkrb5-3 krb5-config samba winbind ntp

12

sudoservice smbd stopsudoservice winbind stop

1 sudorm-rf /var/lib/samba/*

0102030405

06070809101112131415161718192021

22232425

[libdefaults] default_realm = DOMINIO.COM.BR ticket_lifetime = 24000 dns_lookup_realm = false dns_lookup_kdc = false

[realms] DOMINIO.COM.BR = { kdc = dominio.com.br:88 admin_server = dominio.com.br:749 default_domain = dominio.com.br }[domain_realm] .dominio.com.br = DOMINIO.COM.BR dominio.com.br = DOMINIO.COM.BR[login] krb4_convert = true krb4_get_tickets = false

[logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log

1 server dominio.com.br

1

2

sudoservice ntp restart

date

0102030405

0607080910111213

[global] realm = DOMINIO.COM.BR workgroup = DOMINIO netbios name = HOSTNAME server string = %h server

security = ads allow trusted domains = no idmap config DOMINIO: default = yes idmap config DOMINIO: backend = rid idmap config DOMINIO: readonly= yes idmap config DOMINIO: range= 1000000-10000000 idmap alloc config: range = 1000000-10000000


4/34



Substitua o contedo do arquivo /etc/nsswitch.confpelo abaixo, para configurar o Linux

para considerar o winbindpara senhas e grupos.

Para que estas configuraes (nsswitch) tenham efeito, execute o comando ldconfig:

Ajuste o nome do host no arquivo/etc/hostsconforme abaixo, alterando nome-do-host

e dominio.com de acordo com o hostname de seu Linux e o FQDN de seu domnio:

Se o computador estiver utilizando DHCP, ajuste o nome do host para que seja

registrado automaticamente no DNS, incluindo ou alterando as linhas abaixo no arquivo/etc/dhcp/dhclient.conf. Lembre-se de alterar nome-do-host e dominio.com de acordo

com o hostname de seu Linux e o FQDN de seu domnio.

Adicione o Linux no dominio executando o comando abaixo. Substitua usurio pela sigla

de um usurio com privilgios para adicionar computadores no domnio.

Sua senha ser solicitada. O resultado da execuo ser algo semelhante ao abaixo:

141516171819202122232425

262728293031323334353637383940

idmap uid = 1000000-10000000 idmap gid = 1000000-10000000

template shell = /bin/bash template homedir = /home/%U winbind use default domain = yes winbind enum users= yes winbind enum groups= yes winbind nested groups= yes

load printers = no domain master = no

preferred master = no domain logons = no wins support = no wins proxy = no dns proxy = no password server = dominio.com.br#Compartilhamento Home[homes] comment = Compartilhamento Home browseable = no writable = yes readonly = no create mask = 0664 directory mask = 0775

0102030405060708091011

1213

passwd: compat winbindgroup: compat winbindshadow: compathosts: files dnsnetworks: filesprotocols: db filesservices: db filesethers: db filesrpc: db files

netgroup: nis

1 sudoldconfig

12

127.0.0.1 localhost127.0.0.1 nome-do-host.dominio.com nome-do-host

1234

send host-name "nome-do-host.dominio.com";request subnet-mask, broadcast-address, time-offset, routers,domain-name, domain-name-servers, host-name,netbios-name-servers, netbios-scope, interface-mtu;

1 sudonet ads join-U usuario

1234

Enter usuarios's password:Using short domain name -- DOMINIOJoined 'HOSTNAME'to realm 'dominio.com.br'DNS update failed!


5/34



No se preocupe com a mensagen DNS update failed!. Ela aparecer se o seu dominio

no estiver configurado para aceitar atualizaes de DNS no autenticadas.

Simplesmente ignore esta mensagem.

Inicie os servios sambae winbind:

Verifique se a resoluo de nomes esta funcionando corretamente. Caso no esteja

reveja os passos realizados acima.

Se tudo est funcionando corretamente, configure a autenticao do Linux, alterando os

arquivos aba ixo. Provavelmente o contedo j estar correto. Apenas certifique-se de

que est tudo OK e altere o que estiver diferente.

Alternativamente voc pode fazer estas configuraes de forma automtica executando o

comando abaixo e marcando as opes Unix authenticatione Winbind NT/Active

Directory authentication:

Contedo do arquivo/etc/pam.d/common-account:

Contedo do arquivo/etc/pam.d/common-auth:

Contedo do arquivo/etc/pam.d/common-session. Ser necessrio incluir a linha

destacada, conforme abaixo. Esta alterao ir criar a pasta home do usurio

automaticamente no primeiro logon.

Se voc quiser restringir o acesso via SSH para um grupo de usurios, crie um grupoglobal no AD e inclua os usurios permitidos a acessar o servidor Linux neste grupo, por

exemplo administradores_linux. Altere o arquivo/etc/ssh/sshd_confige inclua no final

do mesmo a seguinte linha:

O grupo admin opcional e permite o logon dos usurios locais que esto no grupo

admin. Por padro o primeiro usurio criado no Ubuntu no momento da instalao ter

este pr ivilgio.

Como boa prtica de segurana, evite que o root faa logon via ssh, atlerando a linha

abaixo no arquivo/etc/ssh/sshd_config:

Se desejar voc pode incluir a linha abaixo no arquivo /etc/sudoerspara permitir que os

usurios membros do grupo administradores_linuxpossam executar comandos com

privilgios de root.

12

sudoservice smbd startsudoservice winbind start

123

wbinfo uwbinfo gwbinfo i usuario

1 sudopam-auth-update

1234

account [success=2 new_authtok_reqd=donedefault=ignore] pam_uaccount [success=1 new_authtok_reqd=donedefault=ignore] pam_waccount requisite pam_deny.soaccount required pam_permit.so

1234

auth [success=2 default=ignore] pam_unix.so nullok_secureauth [success=1 default=ignore] pam_winbind.so krb5_auth krb5auth requisite pam_deny.soauth required pam_permit.so

123456

session [default=1] pam_permit.sosession requisite pam_deny.sosession required pam_permit.sosession required pam_unix.sosession required pam_mkhomedir.so skel=/etc/sksession optional pam_winbind.so

1 AllowGroups admin administradores_linux

1 PermitRootLogin no


6/34



Se tudo estiver correto voc ser capaz de fazer login no servidor utilizando as

credenciais de um usurio membro do grupo administradores_linux.

B. Instalao e Configurao do Squid 3

B1. Instalao do Squid 3Instale o Squid 3 executando o comando abaixo:

D permisso para o usurio proxy(que o usurio que roda o squid3) ler o contedo

da pasta/var/run/samba/winbindd_privileged, incluindo-o no grupo winbindd_priv:

Substitua o contedo do arquivo/etc/squid3/squid.confpelo mostrado abaixo. Ateno

para as linhas destacadas. Elas devem ser alteradas para refletir a realidade de seu

ambiente.

1 %administradores_linux ALL=(ALL) ALL

1 sudoapt-get installsquid3

1 usermod-a -G winbindd_priv proxy

001002003004005006007008009010011012013

014015016017018019020021022023024025026027028029

030031032033034035036037038039040041042043044

045046047048049050051052

# /etc/squid3/squid.conf##################################################### Portas (padro 3128)http_port 3128#Habilitar debug#debug_options 28,3#Configuraes de Cache# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais,cache_dir aufs /var/spool/squid38196 16 256# Tamanho da cache para obejtos

cache_mem 2 GB# Tamanho mximo dos objetos que sero salvos em discomaximum_object_size 131070 KB# Tamanho minimo dos objetos que sero salvos em discominimum_object_size 0 KB# Nmero de entradas na tabela de cache de converso de IP para FQDipcache_size 16384# Percentagem de cache baixa - padro 90ipcache_low 90# Percentagem de cache baixa - padro 95ipcache_high 95# manter memria alocada e no usada, para no precisar realocar qumemory_pools on# Nmero de entradas na tabela de cache de DNSfqdncache_size 16384# tamanho mximo dos objetos guardados na cache

maximum_object_size_in_memory 8 MB# Gerar resumo de cache - til somente quando existem squids parceidigest_generation off# Configuraes gerais# Como tratar o X-Forwared-For no cabealho HTTPforwarded_for off#logar parametros das URL'sstrip_query_terms on# Fora IE 5.5 ou anteior a buscar novas pginas do servido em casoie_refresh on#Detecta respostas quebradas de conexes persistnes e assuma que odetect_broken_pconn on#Tenta executar at 2 requisies em paralelo - Pode quebrar autentpipeline_prefetch off

# Continua baixando requisies abortadasquick_abort_min -1 KB# continua baixando requsies abortadas at o limite de 16KBquick_abort_max 16 KB# Quanto tempo manter cache de DNSpositive_dns_ttl 5 minute# Fechar conexes TCP imediatamentehalf_closed_clients off


7/34



053054055056057058059060061062063064

065066067068069070071072073074075076077078079

080081082083084085086087088089090091092093094095

096097098099100101102103104105106107108109110111112113114115116117118119120121122123124125126

127128129130131132133134

# timeout de leitura de dadosread_timeout 240 second# timeout de conexes persistentespconn_timeout 240 second# Email do administradorcache_mgr [email protected]# Host visvelvisible_hostname proxy-squid.dominio.com.br# Linguagem dos erroserror_directory /usr/share/squid3/errors/pt-br# Evita que sejam feitos coredumps.coredump_dir /var/spool/squid3

# Numero de arquivos de log rotacionados a guardar.logfile_rotate 120# Tempo para agaurdar o fechamento de conexoes durante encerramentshutdown_lifetime 1 second# palavras que ser tratadas diretamente por esse squid, ou seja, nhierarchy_stoplist cgi-bin ?# Dominio padro de busca#append_domain .dominio.com.br# Padro de refresh de cache para alguns sites# refresh_pattern [-i] regex min percent max [options]# -i : regular expressiona case-insensitive# regex: Expresso regular a buscar# min: tempo (em minutos) que um objeto ser considerado novo# percent: % da idade do objeto que considerado novo

# max: limite mximo que os objetos sem tempo de expirar explicitorefresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-irefresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-irefresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320# Logs#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Logaccess_log /var/log/squid3/access.log

# Log de cachecache_log /var/log/squid3/cache.log# pasta para arquivo de dumpcoredump_dir /var/spool/squid3# comportamente para espao em branco nas URLsuri_whitespace allow# Servidores de DNS a serem utilizados - Se no for especificado, o#dns_nameservers 192.168.0.1# Autenticao no Windows 2008auth_param ntlm program /usr/bin/ntlm_auth--helper-protocol=squid-auth_param ntlm children 30auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth--helper-protocol=squidauth_param basic children 5auth_param basic realm Proxy Squid - Digite suas credenciaisauth_param basic credentialsttl 5 hours# ACLs# acls de origem# rede loopbackacl localhost src 127.0.0.1/32# Rede localacl rede_local src 192.168.0.0/24# acls de destino#acl allDest dst 0.0.0.0/0.0.0.0#acl to_localhost dst 127.0.0.0/8

# portas segurasacl SSL_ports port 443acl SSL_ports port 8180acl SSL_ports port 8443# Demais servios


8/34



135136137138139140141142143144145146

147148149150151152153154155156157158159160161

162163164165166167168169170171172173174175176177

178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208

209210211212213214215216

acl Safe_ports port 80 # httpacl Safe_ports port 81 # httpacl Safe_ports port 20-21 # ftpacl Safe_ports port 70 # gopheracl Safe_ports port 443 563 # https, snewsacl Safe_ports port 210 # waisacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl Safe_ports port 901 # SWATacl Safe_ports port 8080 # http

acl Safe_ports port 8081 # httpacl Safe_ports port 8082 # httpacl Safe_ports port 8088 # httpacl Safe_ports port 8180 # httpacl Safe_ports port 3456 # receita federal - irpfacl Safe_ports port 3001 # diario oficial# acls default squidacl purge method PURGEacl CONNECT method CONNECTacl POST method POST# acl para obter grupos do ADexternal_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinf

# Grupos do ADacl acesso_completo external grupo_AD Internet_Acesso_Completoacl acesso_padrao external grupo_AD Internet_Acesso_Padraoacl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado# acls de segurana proteo do cacheacl manager proto cache_object# acl controlar sites (sites-proibidos)acl sites_proibidos dstdomain -i "/etc/squid3/acls/sites_proibidos"acl sites_liberados dstdomain -i "/etc/squid3/acls/sites_liberados"acl sites_liberados_sem_auth dstdomain -i "/etc/squid3/acls/sites_# acl controlar palavras de sexo, baixo calo, etcacl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proiacl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_libe

acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas"acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas"acl itunes_browser browser iTunes.*acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.*# acl controlar horrio de expediente#acl horario_allow url_regex -i "/etc/squid3/horario_allow"#acl fora_expediente time MTWHFA 20:01-23:59#acl fora_expediente2 time MTWHFA 00:00-05:59# Mensagem de erros personalizados para alguimas ACLsdeny_info ARQ_SITES_PROIBIDOS sites_proibidosdeny_info ARQ_SITES_PROIBIDOS sites_liberadosdeny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_authdeny_info ARQ_SITES_PROIBIDOS palavras_proibidasdeny_info ARQ_SITES_PROIBIDOS palavras_liberadasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadasdeny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueadodeny_info ARQ_PORTAS_PROIBIDAS Safe_portsdeny_info ARQ_PORTAS_PROIBIDAS SSL_ports# HTTP ACCESS# regras das acls de origem - libera os administradores#http_access allow adminshttp_access allow sites_liberados_sem_auth# Libera iTunes

http_access allow itunes_browser# Libera Microsoft Crypto APIhttp_access allow ms_cryptoapi_browser# regras das acls de controle (bloqueio e polticas de rede)http_access allow manager localhost


9/34



O arquivo acima apenas uma sugesto. Voc pode fazer as alteraes que julgar

necessrias. A parte importante a que controla a autenticao NTLM no dominio:

Outra parte importante a que configura a obteno dos grupos do AD e a aplicaodas regras associadas:

217218219220221222223224225226227228

229230231232233234235236237238239240241242243

244245246247248249250251252253254255256257258259

260261262263264265266267268269270271

http_access deny managerhttp_access allow rede_local acesso_completohttp_access deny acesso_bloqueado# regras das acls de portas - bloqueia todas as portas no listadashttp_access deny !Safe_ports# bloqueia conexes das portas seguras no listadashttp_access deny CONNECT !SSL_ports# controle de acesso de sites proibidoshttp_access deny sites_proibidos !sites_liberados

# controle de acesso da acl de palavras de sexo, baixo calo, etc# bloqueia todas as palavras da lista de proibidas com exceo das# palavras liberadashttp_access deny palavras_proibidas !palavras_liberadashttp_access deny maquinas_proibidas !maquinas_liberadashttp_access allow rede_local maquinas_liberadas# controle de horrio de expediente# bloqueia utilizao fora do expediente#http_access deny !horario_allow fora_expediente#http_access deny !horario_allow fora_expediente2http_access allow purge localhost

http_access allow rede_local acesso_padraohttp_access allow POST rede_local acesso_padraohttp_access allow POST rede_local acesso_completo# libera mtodo POST sem autenticao. Para evitar problemashttp_access allow POSThttp_access deny purge# HTTP REPLY ACCESShttp_reply_access allow allhttp_access deny all# ICP ACCESSicp_access deny all

# MISS ACCESSmiss_access allow rede_localmiss_access deny all# MODO DE FTP PASSIVO#ftp_passive on# Negar cache de cgi-binacl QUERY urlpath_regex cgi-bin \?cache deny QUERY# negar cache de POSTacl POSTS method POSTcache deny POSTS

123456789

# Autenticao no Windows 2008auth_param ntlm program /usr/bin/ntlm_auth--helper-protocol=squid-2.auth_param ntlm children 30auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth--helper-protocol=squid-2auth_param basic children 5auth_param basic realm Proxy Squid - Digite suas credenciaisauth_param basic credentialsttl 5 hours

01020304

# acl para obter grupos do ADexternal_acl_type grupo_AD ttl=60 %LOGIN /usr/lib/squid3/wbinfo_grou# Grupos do AD

Ir para o Topo


10/34



O campo ttl=60, na diretiva external_acl_typeacima, controla por quanto tempo (em

segundos) o grupo vlido para o acesso. Voc pode diminuir ou aumentar este valorde acordo com suas preferncias, para que as alteraes de grupos dos usurios sejam

aplicadas para os acessos ao Squid. Em outras palavras: com o ttl de 60, se por exemplo

um usurio que possui acesso padro for includo no grupo Internet_Acesso_Completo,

levar 1 minuto para que esta alterao seja efetivada pelo Squid.

Voc pode comentar as regras que no se aplicarem a sua realidade ou no satisfizerem

suas necessidades.

Cada diretiva possui uma breve descrio sobre sua funo no prprio arquivo acima,

mas em caso de dvidas, consulte a ajuda do Squid: http://www.squid-

cache.org/Doc/config/

B2. Criao dos grupos no Active Directory (AD)Voc precisa criar os trs grupos sugeridos no comeo do tutorial em seu AD:

Internet_Acesso_Completo

Internet_Acesso_Padrao

Internet_Acesso_Bloqueado

Inclua os usurios nos respectivos grupos, conforme o nvel de acesso desejado paracada um deles.Se todos os seus usurios forem membros do grupo Domain Users, voc pode incluir ogrupo Domain Userscomo membro do grupo Internet_Acesso_Padrao, assim todos osusurios tero o acesso padro. Sendo que pelas regras apresentadas no

/etc/squid3/squid.confacima se o usurio fizer parte de mais de um grupo de acesso aInternet, o grupo Internet_Acesso_Completoter a maior prioridade, seguido do grupoInternet_Acesso_Bloqueado. Ou seja se o usurio fizer parte dos 3 grupos ele ter oacesso liberado totalmente e se ele fizer parte do Internet_Acesso_Padraoe doInternet_Acesso_Bloqueado, seu acesso ser bloqueado.

B3. Criao de arquivos de controleCrie a pasta/etc/squid3/aclse dentro dela os arquivos de controle de acesso a sites,

palavras e computadores de origem.

Inclua nos arquivos recm criadas as entradas que deseja permitir ou proibir, uma em

cada linha.

Os arquivos de controle de sitesdevem conter o domnio completo do que se deseja

permitir/proibir, por exemplo www.playboy.com.br.

Os arquivos de controle de palavrasiro controlar o acesso para URLs que contenham

em algum lugar as palavras listadas nos respectivos arquivos.

Os arquivos maquinas_proibidase maquinas_liberadasdevem conter os endereos IPs

de computadores que devem ter seu acesso proibido ou liberado completamente (um

por linha), independente do usurio conectado no mesmo.

0506070809101112

acl acesso_completo external grupo_AD Internet_Acesso_Completoacl acesso_padrao external grupo_AD Internet_Acesso_Padraoacl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueadohttp_access allow rede_local acesso_completohttp_access deny acesso_bloqueado#... conjunto de regras de bloqueio padrohttp_access allow rede_local acesso_padrao

1

2345678

sudomkdir/etc/squid3/acls

sudotouch/etc/squid3/acls/sites_proibidossudotouch/etc/squid3/acls/sites_liberadossudotouch/etc/squid3/acls/sites_liberados_sem_autenticacaosudotouch/etc/squid3/acls/palavras_proibidassudotouch/etc/squid3/acls/palavras_liberadassudotouch/etc/squid3/acls/maquinas_proibidassudotouch/etc/squid3/acls/maquinas_liberadas
http://www.squid-cache.org/Doc/config/


11/34



recomendvel colocar uma entrada em cada arquivo (palavras_ e maquinas_) ou

comentar as regras relativas aos arquivos, para evitar mensagens de warning no Squid.

B4. Arquivos de erros personalizadosAs regras deny_infocontrolam arquivos de erro personalizado para cada regra aclque

seja negada pelo Squid.

Se voc no deseja utilizar pginas de erro personalizadas, comente as seguintes linhas

do /etc/squid3/squid.conf:

Caso contrrio, crie os

arquivos ARQ_SITES_PROIBIDOS , ARQ_MAQUINAS_PROIBIDAS, ARQ_ACESSO_BLOQUEADO e ARQ_PORTAS_PROIBIDASnapasta/usr/share/squid3/errors/pt-br.

Estes arquivos so em formato HTML e devem conter as mensagens a serem reportadas

para o usurio em caso de bloqueio no acesso.

Voc pode utilizar alguns caracteres especiais para serem convertidas em informaes

antes de mostrar para o usurio. Para saber os caracteres permitidos

consulte: http://www.squid-cache.org/Doc/config/deny_info/

Se quiser usar meus arquivos personalizados, descomprima o arquivo erros_squid.zipna

pasta/usr/share/squid3/errors/pt-br.

Um exemplo de acesso negado contido nestes arquivos seria semelhante ao seguinte:

01020304050607080910

deny_info ARQ_SITES_PROIBIDOS sites_proibidosdeny_info ARQ_SITES_PROIBIDOS sites_liberadosdeny_info ARQ_SITES_PROIBIDOS sites_liberados_sem_authdeny_info ARQ_SITES_PROIBIDOS palavras_proibidasdeny_info ARQ_SITES_PROIBIDOS palavras_liberadasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidasdeny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadasdeny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueadodeny_info ARQ_PORTAS_PROIBIDAS Safe_portsdeny_info ARQ_PORTAS_PROIBIDAS SSL_ports
http://blogdonerd.com.br/wp-content/uploads/2011/10/erro_squid.pnghttp://blogdonerd.com.br/wp-content/uploads/2011/10/erros_squid.ziphttp://www.squid-cache.org/Doc/config/deny_info/


12/34



B5. Testando o SquidExecute o comando abaixo para verificar se as configuraes do squid esto corretas:

Inicie o Squid:

Aponte seu browser para o ip do squid seguido da porta 3128e verifique seu

funcionamento.

C. Instalao e Configurao doSquidGuard

C1. Instalao do SquidGuardInstale o SquidGuard:

Baixe uma blacklist. O site http://www.squidguard.org/blacklists.htmlpossui algumas

opes.

Neste tutorial vou me basear na blacklist mantida em http://urlblacklist.com.

ATENO: Esta blacklist bem completa, porm paga. Voc pode baix-la para fins

de testes, mas para colocar em um ambiente de produo faa uma assinatura. Se

preferir utilize outra blacklist gratuita.

Baixe a blacklist para uma pasta temporria (/tmp neste exemplo):

Descomprima a blacklist para a pasta/var/lib/squidguard/db/:

Edite o arquivo/etc/squid/squidGuard.confe substitua seu contedo pelo mostrado

abaixo:

1 squid3 -k parse

1sudoservice squid3 start

1 sudoapt-get installsquidguard

1 wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?typ

1 tar-xzvf /tmp/blacklist.tar.gz -C /var/lib/squidguard/db/

0102

03040506070809101112131415161718

19202122232425

## CONFIG FILE FOR SQUIDGUARD

## Caution: do NOT use comments inside { }#dbhome /var/lib/squidguard/db/blacklistslogdir /var/log/squid3dest pornografia { domainlist porn/domains urllist porn/urls log squidGuard_blocks.log }dest adulto { domainlist adult/domains urllist adult/urls

log squidGuard_blocks.log }dest agressivo { domainlist aggressive/domains urllist aggressive/urls log squidGuard_blocks.log
http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklisthttp://www.squidguard.org/blacklists.htmlhttp://urlblacklist.com/?sec=subscribehttp://urlblacklist.com/?sec=homehttp://www.squidguard.org/blacklists.html


13/34



Voc deve ajustar este arquivo incluindo outras categorias ou regras de acordo com

suas necessidades. Para saber as categorias da blacklist utilizada verifique o contedo do

arquivo/var/lib/squidguard/db/blacklists/CATEGORIES.

Para aprender sobre as regras do squidGuard verifique a documentao do squidGuard

(http://www.squidguard.org/Doc/).

Voc pode usar a ACL srce incluir os usurios do Active Directory. Infelizmente no h

uma forma simples de utilizar grupos para estas diretivas. Este tipo de controle no

necessrio pois o Squid quem ficar responsvel por fazer uma pr-filtragem dos

grupos de usurios do AD.

Inicialize a blacklist, criando arquivos .db para as categorias definidas no squidGuard.conf

e ajustando as permisses:

Teste o squidGuard executando o comando abaixo:

A sada ser semelhante a abaixo:

262728293031323334353637

383940414243444546

}dest jogos { domainlist gambling/domains urllist gambling/urls log squidGuard_blocks.log }dest whitelist { domainlist whitelist/domains urllist whitelist/urls }

acl { default {

pass whitelist !pornografia !adulto !agressivo !jogos all

redirect http://www.google.com.br/search?q=%t }}

12

squidGuard -C allchownproxy:proxy -R /var/lib/squidGuard/db

1 echo"playboy.com.br - - GET"| squidGuard -c /etc/squid/squidGuard.c

010203040506070809

101112131415161718192021222324

2526272829

2013-07-12 14:54:08 [8204] New setting: dbhome: /var/lib/squidguard/2013-07-12 14:54:08 [8204] New setting: logdir: /var/log/squid2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black

2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init domainlist /var/lib/squidguard/db/bl2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] init urllist /var/lib/squidguard/db/black2013-07-12 14:54:08 [8204] loading dbfile /var/lib/squidguard/db/bla2013-07-12 14:54:08 [8204] squidGuard 1.4 started (1373651648.249)2013-07-12 14:54:08 [8204] squidGuard ready forrequests (1373651648

2013-07-12 14:54:08 [8204] sourcenot found2013-07-12 14:54:08 [8204] no ACL matching source, using default2013-07-12 14:54:08 [8204] Request(default/pornografia/-) playboy.cohttp://www.google.com.br/search?q=pornografia -/-- GET2013-07-12 14:54:08 [8204] squidGuard stopped (1373651648.254)
http://www.squidguard.org/Doc/


14/34



A penltima linha da execuo acima mostra que a tentativa de acesso para a URL

solicitada foi encaminhada para o redirecionamento de categoria proibida.

C2. Integrando o SquidGuard com o SquidAgora precisamos informar ao Squid para encaminhar os acessos dos usurios do

grupo Internet_Acesso_Padraopara a avaliao do SquidGuard.

Para fazer isso, edite o arquivo/etc/squid3/squid.confe inclua as linhas abaixo no final

do arquivo:

Recarregue o squid para que as novas configuraes sejam ativadas:

C3. Pgina de erros personalizada para o

SquidGuardSe desejar voc pode configurar uma pgina de erros para o SquidGuard semelhante a

pgina de erros do Squid.

Para fazer isso voc pode utilizar um servidor web j existente em sua rede e apenas

ajustar o squidGuard.conf para redirecionar para seu servidor.

Outra opo instalar o apache e colocar uma pgina PHP personalizada diretamente

em seu servidor Squid.

Para instalar o apache e o PHP execute:

Crie o arquivo/var/www/squidGuard.phpcom o contedo abaixo. Ajuste o que julgar

necessrio, em especial a linha destacada.

1234

url_rewrite_access deny rede_local acesso_completourl_rewrite_access allow allurl_rewrite_program /usr/bin/squidGuard-c /etc/squid/squidGuard.confurl_rewrite_children 20 startup=0 idle=1 concurrency=0

1 service squid3 reload

1 sudoapt-get installapache2 php5 libapache2-mod-php5

01020304050607080910

1112131415161718192021222324252627282930313233

ERRO: Voc no tem permisso para acessar esta URL


15/34



Ajuste a linha redirectdo /etc/squid/squidGuard.confpara apontar para a pgina

personalizada.

Recarregue o squid para que as novas configuraes sejam ativadas:

C4. Atualizao automtica da blacklistSe desejar voc pode agendar um script para atualizar a blacklist.

Recomendo agendar para uma vez por semana.

Crie o arquivo/usr/local/bin/squidGuard_update.shcom o seguinte contedo:

343536373839404142434445

464748495051525354555657585960

61626364656667686970717273747576

777879808182

font-family: courier;font-size: 16px;top: 0px;color: #666666;}h1 {font-family: Arial, Helvetica, sans-serif;font-size: 18px;margin-top: 24px;margin-bottom: 24px;color: #666666;}

h2 {font-family: Arial, Helvetica, sans-serif;font-size: 16px;margin-top: 24px;margin-bottom: 24px;color: #666666;}hr {margin-top: 2px;margin-bottom: 2px;}-->

ERRO Voc no tem permisso para ace

Com base nas polticas vigentes, o acesso a URL " por


16/34



D permisso de execuo para o script:

Agende o script para executar no crontab do root

No final do arquivo inclua a seguinte linha:

Isto informa para o cronexecutar o script todo domingo (0) s 2:07 da madrugada.

Ajuste o horrio conforme sua necessidade.

D. Observaes e Dicas

D1. Como controlar o acesso a redes sociais paraum grupo especfico do ADVoc pode criar outros grupos e liberar o acesso a sites especficos somente para estegrupo. Por exemplo, voc pode bloquear as redes sociais, criando um grupo no ADchamado Internet_Acesso_Redes_Sociais, incluindo os respectivos dominios (twitter,orkut, facebook, ...) em um novo arquivo chamado/etc/squid3/acls/redes_sociaiseincluir as seguintes regras no/etc/squid3/squid.conf:

Voc pode usar url_regexao invs de dstdomain, assim voc no precisa digitar o

nome exato de cada domnio de rede social, bastando escrever o domnio parcialmente

em/etc/squid3/acls/redes_sociais .

Um exemplo do arquivo/etc/squid3/acls/redes_sociaisseria:

Ainda no arquivo/etc/squid3/squid.conf, antes da linha abaixo:

inclua as seguintes linhas:

D2. Visualizao dos logs de acesso do SquidEscrevi um pequeno script para permitir a visualizao dos logs do Squid de uma forma

mais simples e fcil de entender.

Voc precisa ter o gawk instalado para ele funcionar corretamente. Instale-o com o

comando abaixo:

Crie um arquivo squid3_log.shcom o contedo abaixo:

D permisso de execuo:

1 sudochmod+x /usr/local/bin/squidGuard_update.sh

1 sudocrontab-e

1 7 2 0 * * /usr/local/bin/squidGuard_update.sh

12

acl acesso_redes_sociais external grupo_AD Internet_Acesso_Redes_Sociacl redes_sociais dstdomain -i "/etc/squid3/acls/redes_sociais"

1234

twitter.comorkut.comfacebook.complus.google.com

1 http_access allow rede_local acesso_padrao

1

2

http_access allow redes_sociais acesso_redes_sociais

http_access deny redes_sociais

1 sudoapt-get installgawk

12

#!/bin/bash

tail-f /var/log/squid3/access.log | awk'{print strftime("\033[1;31m


17/34



Execute o script para verificar os acessos em tempo real:

Se voc receber uma mensagem de erro "awk: function strftime never defined" basta

instalar o pacote gawk para resolver:

Voc pode melhorar o script acima incluindo filtros, usando o grep, para por exemploencontrar os acessos de usurios especficos e/ou data e hora de acesso determinados.

A sada do script acima ser algo semelhante a imagem abaixo:

D3. Configurao automtica de Proxy (WPAD)Se voc no desejar configurar os browsers de cada novo computador em sua rede,

basta configura o WPAD.

Para saber como fazer isso, verifique o artigo: Descoberta automtica de Proxy WPAD

(Web Proxy Auto-Discovery).

D4. Outras InformaesReinicie seu computador e teste todos os acessos com usurios de grupos diferentes

antes de colocar o sistema em produo.

Em caso de problemas com as regras, descomente (remova o #) a linha debugno

comeo do/etc/squid3/squid.confe verifique os logs no/var/log/squid3/cache.log.

O Squid bastante poderoso e integrado ao AD torna-se uma ferramenta incrvel e

bastante simples de administrar.

Estude pr incipalmente as ACLse a aplicao das mesmas com a diretiva http_access.

Voc vai se surpreender com tudo que capaz de fazer.

Abraos e em caso de dvidas s escrever nos comentrios.

Referncias

- Squid autenticando no Windows utilizando grupos do AD

- Integrating Squid and Samba3 with NTLM authentication

- Integrando autenticao do Squid ao Active Directory

-SquidGuard

- Configuring Squid, SquidGuard, SquidClamAV binded with LDAP Auth

Compartilhar / Favoritos

Active Directory Squid SquidClamAV SquidGuard Ubuntu

Este artigo foi publicado por Nerdem 12 de julho de 2013s 18:19, nas categorias Linux, Tutoriais. Siga oscomentrios deste artigo atravs do RSS 2.0. Voc podepular para o fim e deixar um comentrio. Fazer ping no permitido n o momento.

1 chmod+x squid3_log.sh

1 ./squid3_log.sh

1 sudoapt-get installgawk
http://blogdonerd.com.br/2013/07/configurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008/feed/http://blogdonerd.com.br/category/tutoriais/http://blogdonerd.com.br/category/tutoriais/linux-tutoriais/http://blogdonerd.com.br/author/Nerd/http://www.calculate-linux.org/blogs/show/135http://www.squidguard.org/http://www.vivaolinux.com.br/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directoryhttp://mkeadle.org/?p=13http://www.vivaolinux.com.br/artigo/Squid-autenticando-no-Windows-utilizando-grupos-do-ADhttp://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/http://blogdonerd.com.br/tag/ubuntu/http://blogdonerd.com.br/tag/squidguard/http://blogdonerd.com.br/tag/squidclamav/http://blogdonerd.com.br/tag/squid/http://blogdonerd.com.br/tag/active-directory/http://www.addtoany.com/share_save#url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando%20Squid%20e%20SquidGuard%20no%20Ubuntu%20(12.04%20LTS)%20com%20autentica%C3%A7%C3%A3o%20e%20regras%20por%20grupos%20do%20Active%20Directory%20(Windows%202008)&description=J%C3%A1%20escrevi%20outros%20tutoriais%20sobre%20como%20autenticar%20o%20Ubuntu%20no%20Active%20Directory%20(AD)%C2%A0e%20como%20configurar%20o%20Squid%20para%20se%20aproveitar%20dessa%20autentica%C3%A7%C3%A3o%20e%20criar%20regras%20baseadas%20em%20grupos%20do%20AD.http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://blogdonerd.com.br/http://www.stumbleupon.com/submit?url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://del.icio.us/post?url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://www.facebook.com/share.php?u=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&t=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://digg.com/submit?phase=2&url=http%3A%2F%2Fblogdonerd.com.br%2F2013%2F07%2Fconfigurando-squid-squidguard-no-ubuntu-12-04-lts-com-autenticacao-no-active-directory-windows-2008%2F&title=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29http://twitter.com/home?status=Configurando+Squid+e+SquidGuard+no+Ubuntu+%2812.04+LTS%29+com+autentica%C3%A7%C3%A3o+e+regras+por+grupos+do+Active+Directory+%28Windows+2008%29+-+http%3A%2F%2Ftinyurl.com%2F5vtf986


18/34



Artigos Relacionados

#1escrito por greyson 7 MESES ATRS

Ol Nerd,

Mais uma vez um post excelente. Seu site cheio de contedo tcnico de

tima qualidade e este no exceo. Eu realizei a integrao do Linux e

AD usando o o 12.04 e percebi que o ticket kerberos no renovado e

com isso no consigo mais logar com usurios do domnio via SSH ou

Samba, somente com os usurios locais. Isso j aconteceu com voc?

Aparentemente alguma configurao do PAM, mas quando gero um

novo ticket e recoloco o Linux no domnio, volto a acessar com usurio do

domnio normalmente. Segue abaixo os erros gerados pelo auth.log:

pam_winbind(sshd:auth): request wbcLogonUser failed:

WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS:

NT_STATUS_ACCESS_DENIED, Error message was: Access deniedpam_winbind(sshd:auth): internal module error (retval =

PAM_SYSTEM_ERR(4)

Qualquer ajuda ser muito bem-vinda.

#2escrito por Nerd 7 MESES ATRS

Greyson,

Obrigado pelos elogios.

Eu nunca passei por esse problema em particular, mas uma

coisa que j me aconteceu est relacionado ao fato detrabalhar em uma rede com mltiplos controladores de

domnio e o winbind as vezes tentar autenticar em um e as

vezes em outro controlador.

Uma possvel sada remover o servidor do dominio e colocar

novamente, tomando o cuidado de forar o controlador de

domnio a ser usado para a autenticao:

1- No arquivo de configurao do kerberos (/etc/krb5.conf):

Nas linhas kdc e admin_server coloque o nome de um

controlador de dominio em particular.

2- Coloque o mesmo controlador de domnio na entrada

"password server" do /etc/samba/smb.conf

3- Pare os servios winbinbd e smbd

4- Apague o cache do samba (rm -rf /var/lib/samba/*)

5- Exclua a mquina do AD e force uma replicao em todos os

controladores de domnio.

6- coloque a mquina no domnio novamente.

No garantido que v funcionar, mas possvel.

Aproveite e de uma olhada na data e hora de seu servidor e de

seus controladores de domnio.

Nerd.

#3escrito por Greyson 7 MESES ATRS

Obrigado por responder to prontamente Nerd. Realizei os

procedimentos e em seguida dou um feedback, at+

Comentrios (55)
http://softwarelivre-ac.org/http://softwarelivre-ac.org/http://-/?-


19/34




Ol Nerd. Segui suas orientaes e no tive sucesso, mas a verificando

outras opes, consegui configurar o /etc/pam.d/common-auth para

permitir um usurio do domnio logar no servidor. Agora estou com outra

situalo: mesmo colocando o usurio do domnio no grupo sudo

(Debian Wheezy) no consigo logar como root. verificando o

/var/log/auth.log recebo este erro:

sudo: pam_unix(sudo:auth): authentication failure; logname=greyson.fariasuid=1003317 euid=0 tty=/dev/pts/1 ruser=greyson.farias rhost=

user=greyson.farias

Alguma dica?


Greyson,

O que d erro o "sudo su", certo?

Voc colocou o grupo a qual pertence o usuario greyson.farias

no /etc/sudoers?Por exemplo, para o grupo administradores_linux a linha no

/etc/sudoers ficaria:

%administradores_linux ALL=(ALL) ALL

Nerd.


Ol Nerd,

Obrigado pela resposta. Tambm consegui resolver essa questo,

obrigado.Agora estou com outra situao. No sei se bug do samba, mas

quando coloco a mquina no domnio e compartilho os diretrios, de

uma hora para outra, os usurios no conseguem mais acessar os

compartilhamentos. Por ex. \\FILESERVER ou \\IPDoServer ento o

servidor fica o tempo inteiro solicitando autenticao, mesmo digitando

no login: DOMINIO\usurio e digitando a senha, isso ocorre com

quaisquer usurios. Eu verifico com wbinfo -u e wbinfo -g e so listados

os usurios e grupos. Tambm executo getent passwd e getent group e

tambm recebo os usurios e grupos do AD. o Samba que estou

utilizando no Debian Wheezy o 3.6.6 (no sei qual no ubuntu 12.04) e

no Debian Squeeze o 3.5.4. (est funcionando sem problemas, mascomo oldstable, estou querendo migrar) Voc j passou por isso? se j,

conseguiu resolver?


Greyson,

A nica vez que me lembro de ter passado por esse problema

foi quando estava com a data do servidor errada.

Nos logs do samba e do winbind no tem nada que possa

ajudar a diagnosticar (/var/log/smb)?

Nerd.

http://softwarelivre-ac.org/http://softwarelivre-ac.org/http://softwarelivre-ac.org/


20/34



Ol Nerd,

Finalmente resolvi. Eu observei durante esses dias que quando o

computador reinicia, ele no renova automaticamente o ticket do

kerberos. Consegui resolver este problema utilizando da ferramenta kutil

e seguindo este post:

http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-o-

ktutil/. Deixo aqui registrado meus sinceros agradecimentos e mais uma

vez parabns pela excelente postagem.


Maravilha Greyson.

Obrigado por compartilhar a dica.

Nerd.

#10escrito por Gustavo 6 MESES ATRS

Ol amigos!

Sou neewbie e travei na parte do ktutil.

Eu tentei instala-lo, mas no fui feliz (apt-get install krb5-user).

Tem algum macete?


Gustavo,

Creio que a instalao do ktutil no tem a ver com este

tutorial e sim com um problema especfico de outro usurio.

Sugiro seguir as dicas do tutorial mencionado pelo autor da

dvida.

Nerd.

#12escrito por Anderson 6 MESES ATRS

Ola galera, ve se alguem pode me ajudar. Eu preciso configurar o

squidguard para trabalhar com o AD e com grupos. Por exemplo o

grupo(do AD) Internet_Acesso_Completo passa somente pelo filtro porn

do squidguard, ja o grupo Internet_Acesso_Padrao passa pelo filtro porn,

audio-video e redes sociais por exemplo. alguem ja fez esta

configurao? possive? Obrigado


Anderson,

Este tipo de configurao mais avanada complicada. Eu

tambm gostaria de uma soluo para isto, mas infelizmente

no h milagres.

A soluo apresentada neste tutorial manda tudo ou nada para

o squid guard.

O squid guard no entende os grupos da AD, ento quem faz afiltragem o Squid.

O que d para fazer colocar, nas regras do squid guard

(squidGuard.conf), as siglas dos usurios que sero filtrados de

forma diferente, mas no grupos.
http://mundonix.wordpress.com/2012/09/10/criando-uma-keytab-com-o-ktutil/


21/34



Nerd.

#14escrito por Anderson 6 MESES ATRS

Entendi, Valeu!!!

#15escrito por Alex Manzo 4 MESES ATRS

Eu consegui usando LDAP assim:

1) Criar a src no squidguard.conf conforme exemplo:

src EXEMPLO {

ldapusersearch ldap://SERVIDOR-DO-

AD:3268/DC=DOMINIO,DC=COM?sAMAccountName?

sub?(&(sAMAccountName=%s)(memberOf=CN=NOME-

DO-GRUPO%2cOU=NOME-DA-OU-ONDE-ESTA-O-

GRUPO%2cDC=DOMINIO%2cDC=COM))

}

2) Criar a ACL dentro do squidguard.conf antes ou aps

a ACL default:

acl {

default {

pass whitelist !pornografia !adulto !agressivo !jogos

!redesocial !redessociais !virusinfected !games !malware

!hacking !onlinegames !proxy !spyware !radio !multimidia

!entretenimento !compartilhamento !hospedeiro

!webcommerce !shopping !bate-papo all

redirect http://localhost/squidGuard.php?

usuario=%i&url=%u&ip_origem=% a&categoria=%t}

EXEMPLO {

pass whitelist !pornografia !adulto !agressivo !jogos

!redesocial !red essociais !virusinfected !games !malware

!hacking !onlinegames !proxy !spywa re !radio

!multimidia !entretenimento !compartilhamento

!hospedeiro all

redirect http://localhost/squidGuard.php?

usuario=%i&url=%u&ip_origem=%a&categoria=%t

}

}


Alex,

Dessa forma consegue fazer as regras respeitarem

os grupos do AD?

Nerd.


Ol Alex,

Como voc declarou as variveis

ldapbinddn, ldapbindpass e ldapcachetime ??
http://softwarelivre-ac.org/http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=http://localhost/squidGuard.php?usuario=%i&url=%u&ip_origem=%


22/34




Nerd, muito obrigado por compartilhar conosco este procedimento

incrvel!!!

Parabns!!!!!

No percebi abordagem sobre o tema cache. possivel adicionarmos um

cache aqui, para enfim, tornar isso o "estado da arte"?

Abrao!


Gustavo,

Veja se isto lhe ajuda: http://blogdonerd.com.br/2011/09/proxy-

squid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-e-

regras-baseadas-em-grupos-do-ad/

Nerd.


Oi Nerd!

Haaa vc o cara!

Deu certinho!!!! Hoj efarei os testes.

A unica coisa que nao passou, mas vou me esforar mais,

o SquidGuard (fui usar outra lista, uma free... acho que foi ai

que pegou).

Outra pergunta:Eu tenho uma VPN na empresa, da Cisco. Quando me

conecto de casa por ela, eu ganho um IP 192.168.255.x.

L na minha configurao informei que minha rede local

para 10.0.0.0/16.

Como fica a rede da VPN neste caso, pois quando fui usar o

proxy daqui no rolou, ficou tudo travado.

Mais um ultimo pedido.

Ser que vc pode me ajudar a interpretar o log para saber

onde parou e pq?

Abrao e parabns. muito nobre fazer isso que vc faz


Gustavo,

Inclua mais uma acl rede_local no seu squid.conf:

acl rede_local src 10.0.0.0/16

acl rede_local s rc 192.168.255.0/24

S certifique-se de haver conectividade entre as redes.

Um ping para o IP de seu proxy um bom teste.Nerd.

#22escrito por Marcel Luis 5 MESES ATRS
http://blogdonerd.com.br/2011/09/proxy-squid-no-ubuntu-com-autenticacao-ntlm-no-windows-2008-e-regras-baseadas-em-grupos-do-ad/


23/34



Prezado amigo, parabens pelo seu artigo muito bom mesmo.

Consegui fazer funcionar redondinho. No entanto estou com problema no

seguinte, crei a seguinte regra:

acl s ites_bloqueado_squidguard dstdomain -i

"/var/lib/squidguard/db/blacklists/porn/domains"

depois fiz o bloqueio:

http_access deny sites_bloqueado_squidguard acesso_padrao

Agora oque acontece, toda vez que o usuario do grupo acesso padraotenta acessar um site proibido da acl ele em vez de mostrar mensagem

de acesso bloqueado ele pede login e senha.

Tem como me ajudar nisso?


Marcel,

Esse caracterstica do Squid bem chata.

No garanto que v resolver, mas tente trocar a linha

http_access deny sites_bloqueado_squidguard acesso_padrao

por

http_access allow sites_bloqueado_squidguard !acesso_padrao

Nerd.

#24escrito por Marcel Luis 5 MESES ATRS

Infelizmente Nerd no funcionou. Continua pedindo senha

em vez de mostrar logo de cara o bloqueio....


Marcel,

Isso um problema complicado com o Squid. Eu mesmo

enfrento esse problema em uma de minhas rede e no

consegui uma soluo satisfatria.

Tente trabalhar com a ordem de suas regras.

Habilite o log para ver em que momento pedido a

senha.

Pode ser que ajude.

Se encontrar uma soluo ficarei feliz se puder

compartilhar conosco.

Uma outra sugesto que lhe dou a seguinte:

http_access allow sites_bloqueado_squidguard

!acesso_padrao

http_acess deny sites_bloqueado_squidguard

Nerd.

#26escrito por Marcel 4 MESES ATRS

Nada tambm.. continua pedindo senha..

#27escrito por Osvaldo 5 MESES ATRS


24/34



Excelente artigo!

Estou tentando entender pra que serve a acl sites_liberados pois na acl

acesso_bloqueado no tem exceo para acesso aos sites liberados,

assim o grupo padro acessa tudo menos os proibidos e o completo tem

acesso total. Tentei liberar alguns sites na acl sites_liberados porm no

consigo liberar dessa forma:

http_access deny acesso_bloqueado !sites_liberados

Apenas consegui liberar usando a acl sites_liberados_sem_auth, porm

remete a mesma dvida da serventia do acl sites_liberados.


Osvaldo,

No sei exatamente o que deseja fazer, mas voc pode criar

uma regra de allow para um grupo ou todos antes de negar o

acesso para o grupo acesso_bloqueado

http_access allow sites_liberados #libera acesso para todos que

conseguirem se autenticar no squid, inclusive os do grupo

acesso_bloqueado

http_access deny acesso_bloqueado #se no foi aceito pela

regra acima, ento bloqueia o acesso para usurios do grupo

acesso_bloqueado

Nerd

#29escrito por Rodrigo 4 MESES ATRS

Ol!

Achei muito interessante sua postagem e gostaria de saber se da pararodar essa configurao com o samba 4 como controlador de dominio e

o que precisaria mudar?


Ol pessoal!

Aprendi e configurei o meu squid com autenticao aqui com o

Nerd.

Gostaria de deixar minha contribuio nesta questo de

liberao de acesso.

Segue o que fiz aqui.

# acls default squid

acl purge method PURGE

acl CONNECT method CONNECT

acl POST method POST

acl FTP proto FTP

# acl para obter grupos do AD

external_acl_type grupo_AD ipv4 ttl=30 %LOGIN

/usr/lib/squid3/wbinfo_group.pl

# Grupos do AD

acl acesso_completo external grupo_ADBR_Internet_Acesso_Completo

acl acesso_padrao external grupo_AD

BR_Internet_Acesso_Padrao

acl acesso_wengo external grupo_AD BR_Internet_W


25/34



acl acesso_bloqueado external grupo_AD

BR_Internet_Acesso_Bloqueado

# acls de seguranprote do cache

acl manager proto cache_object

# acls de URLS com bypass no CISCO ASA

acl s ites_bypass url_regex -i "/etc/squid3/acls/sites_bypass"

# acl de controle da operacao W

acl sites_wengo url_regex -i "/etc/squid3/acls/sites_wengo"

# acl controlar sites (sites-proibidos)

acl sites_proibidos url_regex -i

"/etc/squid3/acls/sites_proibidos"

acl s ites_liberados url_regex -i "/etc/squid3/acls/sites_liberados"

acl sites_liberados_sem_auth url_regex -i

"/etc/squid3/acls/sites_liberados_sem_autenticacao"

# acl controlar palavras de sexo, baixo cal etc

acl palavras_proibidas url_regex -i

"/etc/squid3/acls/palavras_proibidas"

acl palavras_liberadas url_regex -i

"/etc/squid3/acls/palavras_liberadas"

acl maquinas_proibidas src

"/etc/squid3/acls/maquinas_proibidas"

acl maquinas_liberadas src

"/etc/squid3/acls/maquinas_liberadas"

acl itunes_browser browser iTunes.*

acl ms_cryptoapi_browser browser Microsoft-CryptoAPI.*

acl sites_no_cache url_regex -i "/etc/squid3/sites_no_cache"

cache deny sites_no_cache

always_direct allow FTP

always_direct allow sites_no_cache

# acl para bypass de sites da W

always_direct allow sites_bypass


Valeu pela contribuio Gustavo.

Nerd.


Rodrigo,

Nunca tentei, mas creio que deva funcionar sem grandes

alteraes.

S testando para saber.

Nerd.


Boa noite, eu no entendi o seu comentrio referente ao mtodo post no

squid.conf que diz assim:

"# libera mtodo POST sem autenticao. Para evitar problemas"

Desculpe minha ignorncia, para que serve o mtodo POST?


26/34



Outra dvida, como fao para resolver problema de acesso com site do

banco do brasil onde o applet java fica solicitando autenticao do

usurio e senha do domnio que mesmo inserindo as informaes ele no

funciona?

Agradeo muito por sua contribuio!


Ol amigo!

Acho que o Nerd o melhor para responder isso. Como disse,

peguei tudo aqui


Alex,

O acesso HTTP funciona com diversos mtodos de requisio.

Os dois mais comuns so o GET e o POST. Algumas vezes o

mtodo POST pode te trazer problemas com a autenticao. Se

estiver enfrentando problemas, o ideal liberar o acesso.

Com relao ao Java e o BB, o ideal voc colocar os

endereos do BB que o java usa na lista de sites liberados sem

autenticao.

Tambm bom verificar a porta utilizada para o acesso do BB.

Nerd.


Nerd, a porta utilizada pelo site do bb junto com o app java a 443... mesmo qdo relaciono os sites envolvidos naquela

acl de sites_sem_autenticacao ele ainda acaba exibindo

prompt do add java solicitando a senha... a eu resolvi

provisoriamente liberando a porta 443 antes da

autenticao do AD, s que qualquer coisa relacionada a

HTTPS acaba passando por fora do filtro como o facebook

por exemplo... como devo tratar essa exceo do bb?

abraos


Nerd, antes que voc responda acho que a nica

soluo inserir via GPO exceo para o site

https://aapj.bb.com.brnos navegadores das mquinas,

pois todas que necessitam acessar o applet java do

banco fazem parte do AD... No consegui visualizar

outra soluo tendo em vista que o Java incompatvel

com autenticao NTLM do squid (vi isso em algum

frum do pfsense ou no squid.org ou no oracle.com...

nao me lembro, mas foi em algum site importante! rs).

Outra coisa, percebi que o squidguard no trata sites

HTTPS.... porque se desse certo pra jogar requisieshttps passando pelo squidguard automaticamente

resolveria meu problema com bancos.... H alguma

forma de faz-lo? o que acha NERD? Abx
https://aapj.bb.com.br/


27/34




Alex,

O Java sempre um problema. Voc pode configurar

o Java para no usar o Proxy e tratar as requisies

direto no Firewall.

O WPAD pode ser uma soluo

(http://blogdonerd.com.br/2011/10/descoberta-

automatica-de-proxy-wpad-web-proxy-auto-discovery/).

Nerd.


Alex,

Voc usa WPAD em sua rede?

Talvez possa ser uma soluo para que o Java acesse a

Internet direto sem passar pelo proxy.

De uma lida nesse artigo:http://blogdonerd.com.br/2011/10/descoberta-

automatica-de-proxy-wpad-web-proxy-auto-discovery/

Nerd.


sim uso WPAD mas putz, agora que ca na real... meu

WPAD est no s imples do s imples... apenas indicando

o proxy sem informar os sites que nao precisam

passar por ele... Eu ainda por cima estou utilizandoGPO e na GPO est correto... esta acontecendo um

conflito.... agora estou certo disso...


Nerd, mais uma vez sem querer abusar, como fao para cachear windows

update para no ficar saturando meu link? existe alguma ferramenta que

seja similar ao wsus em open source?

Depois que implementei essa maravilhosa soluo muita gente est

querendo me bater! o que eu fao? chamo o a polcia ou melhor chamara ambulncia? hehehe


Alex,

A melhor maneira que conheo utilizar o WSUS. Ele gratuito,

o custo seria somente a licena do Windows do servidor em

que ele ir rodar. Voc pode instalar em um servidor windows

qualquer de sua rede, compartilhando os recursos do mesmo.

Eu costumo colocar ele junto com o servidor de Anti Virus.

Nerd.

#43escrito por Mr. Emerson 3 MESES ATRS
http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/


28/34



Ol Nerd.

Graas a seu tutorial temos um belo proxy rodando a alguns meses sem

maiores problemas por aqui, mas um probleminha tem me atormentado

na ltima semana: Office 2013.

Chegaram umas mquinas novas com o Office 2013 embarcado e sempre

que o usurio carrega o Word, por exemplo, aparecem aquelas janelas

do proxy pedindo autenticao para um site da Microsoft. Coloquei trs

domnios da Microsoft no arquivo sites_liberados_sem_autenticacao e eisque depois, a janela de autenticao comeou a me apontar para o

bizarro endereo autodiscover.MEUDOMINIO. Bem, adicionei tambm

esse endereo (que sequer existe em nossa rede) e funcionou.

Ento fica a dica pra quem tem o Office 2013 adiconar essas quatro linhas

no arquivo sites_liberados_sem_autentcacao:

.office.microsoft.com

.officeapps.live.com

.vo.msecnd.net

autodiscover.MEUDOMINIO

(troque MEUDOOMINIO pelo domnio da sua rede)Aproveitando. Nerd, essa janelas solicitando autenticao so

extremamente irritantes. Qualquer engasgada no Proxy ou no AD j

motivo para elas serem mostradas para o usurio. Voc j conseguiu

alguma maneira delas desaparecerem completamente?

abs


Ol Mr. Emerson! Tudo bem?

Acho que posso te ajudar com isso.

Eu passei pelo mesmo enrosco e resolvi colocando os sites do

office em uma lista de acesso que no pede autenticao e

antes das demais regras de liberao de sites.

Fiz assim:

# acls de URLS com bypass no CISCO ASA - vao direto para o

firewall, que um appliance

acl s ites_bypass dstdomain "/etc/squid3/acls/sites_bypass"

# acl controlar sites (sites-proibidos)

acl sites_proibidos url_regex -i

"/etc/squid3/acls/sites_proibidos"acl s ites_liberados url_regex -i "/etc/squid3/acls/sites_liberados"

# Sites liberados e SEM AUTENTICACAO NECESSARIA

acl sites_liberados_sem_auth dstdomain

"/etc/squid3/acls/sites_liberados_sem_autenticacao"

# acl controlar palavras de sexo, baixo calao

acl palavras_proibidas url_regex -i

"/etc/squid3/acls/palavras_proibidas"

acl palavras_liberadas url_regex -i

"/etc/squid3/acls/palavras_liberadas"

#acl maquinas_proibidas src"/etc/squid3/acls/maquinas_proibidas"

#acl maquinas_liberadas src

"/etc/squid3/acls/maquinas_liberadas"

Espero que te ajude


29/34




Valeu pela contribuio Gustavo.

Nerd.


Valeu pela dica Mr. Emerson!

Com relao ao problema das janelas de autenticao eu

raramente tenho problemas com elas.

Elas aparecem de vez em quando, mas diria que chego a

passar mais de uma semana sem as v-las.

Nerd

#47escrito por Mr. Emerson 3 SEMANAS ATRS

Nerd estou com problemas srios com alguns peridicos do Capes. Aquimuita gente faz uso desses peridicos e alguns no esto abrindo.

Comecei a estudar os links e percebi que o Capes encapsula todos os

links de peridicos externos dentro do domnio periodicos.capes.gov.br,

e a est o problema.

No sei porque cargas d'guas o endereo periodicos.capes.gov.br e

seus derivados no aparecem no log do Squid. Eu deixo aquele script de

log aberto fazendo grep no meu ip e todos os sites que acesso so

e

Blog do Nerd » Configurando Squid e SquidGuard no Ubuntu (12

Documents

grupos de acesso

regras por grupos

squid serconfiguradas

grupos do ad

squid gerenciaos privilgios

acesso de acordo

activedirectory windows

autenticao nowindows