Quiero configurar squid con Active directory desde cero

Forums: 

Quiero configurar Squid para que autentifique con Active Directory.

Hasta ahora tengo conocimientos que hay que cambiar parametro en los siguientes archivos me corrigen por favor:

Configuracion local #OK
/etc/hosts
------------------
kerberos # OK
/etc/krb5.conf
hacer que kerbero se actualice la hora con el dominio
crear ticket kerbero
------------------
Samba
/etc/samba/smb.conf
------------------
winbind #AQUI ES DONDE ME ESTA DANDO PROBLEMA YA QUE NO ME MUESTRA LA LISTA DE USUARIO CON wbinfo -u
/etc/init.d/winbind
------------------
squid # OK.
/etc/squid/squid.conf

Me gustaria tener la configuracion que tengo que tener por cada archivo y si necesito configurar algun otro archivo para poder autenticar con Active Directory...

A espera de un buen samaritano como lo que siempre aparecen en este foro...

1000 gracias para ustedes por adelantado...

Hola Esa configuración

Hola

Esa configuración Windows AD / Squid era chévere hasta Windows 2003 y Windows XP... fantástico, todo muy bonito... incluso si hacías login en tu estación Windows miembro del AD, el IE ya enviaba el user/passwd de tu login sin pedir al usuario que se autentique. Pero con Windows 2008 y Windows 7, las cosas dejaron de funcionar tan bien como antes y lo que en una empresa me funciona en otra no... A lo mejor alguien ha superado 100% el problema y ha de postear la solucion.

Yo agarré otro camino, que es autenticar contra AD como si fuera un LDAP y me funciona en todas las implementaciones. Solo se debe crear un usuario en el AD para que Squid pueda leer el directorio y listo.

Lo único "feo" es que ahora te sale la ventanita que te pide autenticarte cuando vas a navegar, pero fuera de eso, todo funciona muy bien.

Si te interesa, avísame para postear esa solución.

Saludos!

Antonio Díaz Meneses

Squid+AD

Hola soy nuevo en este blogs y estoy tratando de auntenticar mis usuarios de AD 2012 contra mi squid 3.1.10 y no encuentro la solución me llama la atención que plantean que da problemas pero que se puede hacer con AD como si fuera LDAP a mi en lo personal no me molesta la ventana de autenticación alguien pudiera mandarme a mi correo o postear como lo hizo. Gracias de ante mano

Admin de Red
Genetica Porcina, La Habana. Cuba

Squid - Esta es la configuración que me sirve en todos lados:

1) En el DNS del Active Directory creen un registro A para el nuevo servidor Proxy.
2) Configurar bien los parámetros de red en el servidor proxy: Dirección IP, Default Gateway, DNS (utilizar como dns server el controlador de dominio), nombre de host (usar el FQDN registrado en DNS del active directory, del paso 1)
3) Verificar que la hora del servidor Proxy y la hora del controlador de dominio sean las mismas, preferible usar un NTP Server en ambos, o que el proxy sea cliente NTP del controlador de dominio
4) Editar el archivo /etc/samba/smb.conf con contenido similar a este:


[Global]
workgroup = EMPRESA
password server = 192.168.nn.10
realm = EMPRESA.COM.EC
security = ads
idmap uid = 50001-550000
idmap gid = 50001-550000
winbind separator = +
template homedir = /home/%U
template shell = /sbin/nologin
winbind use default domain = true
winbind offline logon = false
netbios name = FIREWALL
server string = Proxy Server Linux - EMPRESA.COM.EC
log file = /var/log/samba/%m.log
encrypt passwords = yes
wins server = 192.168.22.10
winbind nested groups = Yes
winbind enum users=yes
winbind enum groups=yes
client ldap sasl wrapping = sign

[homes]
comment = Home Directories
browseable = no
writable = yes

5) Editar el archivo /etc/krb5.conf con contenido similar a este:


[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = EMPRESA.COM.EC
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
EMPRESA.COM.EC = {
kdc = 192.168.nn.10:88
admin_server = 192.168.nn.10:749
default_domain = empresa.com.ec
kdc = 192.168.nn.10
}

[domain_realm]
.empresa.com.ec = EMPRESA.COM.EC
empresa.com.ec = EMPRESA.COM.EC

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

6) Hacemos parte del dominio al equipo proxy:


[root@proxy ~]# net ads join -U Administrator -S 192.168.xx.10
Enter Administrator's password:

No deben haber errores si se hizo bien todo lo anterior.

7) Luego de reiniciar los servicios smb y winbind, confirmamos si el equipo es miembro del dominio AD:


[root@proxy ~]# wbinfo -t
checking the trust secret for domain EMPRESA via RPC calls succeeded

Si tenemos esa respuesta, vamos bien

8) Este paso es importante: editar el archivo /etc/group y editar la línea que dice:


wbpriv:x:88:

La dejamos así:


wbpriv:x:88:squid

9) Configuramos Squid:


auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm NYLIC - Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

Reiniciar el Squid y listo

Si no les funciona, toca cobrarles el soporte.

Saludos

Antonio Díaz Meneses