[MASOCH-L] RES: RES: squid+ntlm

Renato Frederick frederick at dahype.org
Wed May 9 10:34:19 -03 2007


Se você aplicar ao usuário, ela só vale para este, indiferente do PC que ele
usa. Se aplicar ao PC, será ativa para todos que utilizarem, a não ser que o
usuário tenha uma política que sobrescreva, e você permita isto.

Mas no caso do squid, isto não terá problema, já que o usuário só irá usar o
browser no logon :)

O que você tem que ficar atento são processos que rodam em background, que
não irão aceitar esta autenticação. Exemplo, antivírus que atualiza via web
irá rodar como processo do sistema. Para estes casos você terá que fazer seu
squid aceitar autenticação padrão, ou criar uma exceção nas regras
permitindo acesso sem autenticação.

> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] Em nome de Fábio Juliano Dapper
> Enviada em: quarta-feira, 9 de maio de 2007 09:30
> Para: Mail Aid and Succor, On-line Comfort and Help
> Assunto: Re: [MASOCH-L] RES: squid+ntlm
> 
> As configurações aplicadas no browser via GPO do AD são desfeitas
> quando o usuário faz logoff do domínio ou são permanentes ?
> 
> 
> Renato Frederick wrote:
> > Negativo, para autenticação de Proxy é necessário seta-lo no browser.
> O
> > chamado "Proxy transparente" não funciona neste cenário, houve uma
> discussão
> > aqui já sobre isto.
> >
> > Como você utilizar AD, crie uma Policy, atribuída a uma OU, por
> exemplo, que
> > coloque o Proxy no IE, e desabilite a opção do usuário removê-la.
> > Lembre-se de setar no seu firewall para não permitir acesso à porta
> 80 SEM
> > Proxy, pois usuários "espertos" podem - por exemplo -  pegar um
> Firefox
> > compilado em um pendrive e executá-lo, tentando burlar suas
> políticas.
> >
> >
> >
> >> -----Mensagem original-----
> >> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> >> bounces at eng.registro.br] Em nome de Fábio Juliano Dapper
> >> Enviada em: quarta-feira, 9 de maio de 2007 09:03
> >> Cc: Mail Aid and Succor, On-line Comfort and Help
> >> Assunto: Re: [MASOCH-L] squid+ntlm
> >>
> >> Montei um ambiente utilizando client NTLM do winbind para não ter
> que
> >> validar
> >> usuário/senha toda vez que abrir o browser. Funciona tanto para PDC
> >> samba/LDAP
> >> como para windows 2003/AD (aqui tive que usar kerberos também).
> >>
> >> Neste cenário, configurei a diretiva proxy_auth REQUIRED no
> squid.conf
> >> e
> >> tive que
> >> apontar enderço do proxy e porta no browser do cliente, seja IE ou
> >> Firefox.
> >>
> >> Alguém conhece alguma forma para que não seja necessário configurar
> o
> >> browser
> >> levando em conta o contexto explicado acima ?
> >>
> >>
> >>
> >> Cleber P. de Souza wrote:
> >>> Você pode procurar por NTLMSSP.
> >>> Algo como abaixo no seu squid.conf:
> >>> auth_param ntlm program /usr/bin/ntlm_auth
> >>> --helper-protocol=squid-2.5-ntlmssp
> >>> auth_param ntlm children 5
> >>> auth_param ntlm max_challenge_reuses 0
> >>> auth_param ntlm max_challenge_lifetime 20 minutes
> >>>
> >>> Se não me engano você precisa também do helper para quando o
> browser
> >>> não consegue validar o usuário e senha.
> >>>
> >>>
> >>> On 4/20/07, Fábio Juliano Dapper
> >>> <juliano.dapper at getnet-tecnologia.com.br> wrote:
> >>>> Alguém tem usado squid com NTLM ?
> >>>>
> >>>> Tenho um ambiente com PDC samba e backend OpenLDAP.
> >>>>
> >>>> Fiz testes com o módulo ldap_auth, mas agora preciso algo
> >> transparente ao
> >>>> usuário sem ter que usar proxy transparente.
> >>>>
> >>>> --
> >>>> __
> >>>> masoch-l list
> >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>
> >>>
> >> --
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> 
> --
>   _____________________________________________________________
> | Fábio Juliano Dapper
> | LPIC-2 Certified
> | Getnet - Tecnologia em Captura e Processamento de Transações
> | Fone: +55 (51) 3598-9800 Fax: +55 (51) 3598-9801
>   _____________________________________________________________
> 
> “Esta mensagem é endereçada exclusivamente à(s) pessoa(s) e/ou
> instituições acima indicadas e pode conter informações confidenciais,
> particulares ou privilegiadas, as quais não podem, sob qualquer forma
> ou
> pretexto, ser utilizadas, divulgadas, alteradas, impressas ou copiadas,
> total ou parcialmente, por pessoas não autorizadas. No caso desta
> mensagem ser recebida por erro, por favor, providencie sua exclusão,
> notificando o remetente imediatamente”.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l





More information about the masoch-l mailing list