Everlinux’s Blog

Search
Recent Posts
Comentários
- Micro da SpaceBR com Kurumin Linux (18)
  - Tio Nei: Olá, Aos que estão tentando instalar o Win XP, eu consegui agorinha assim: 1 -Entrem no...
- Como tirar seu Passaporte e seu Visto para os EUA (22)
  - xRaptor: Se tem uma coisa que odeio é preencher o DS-160 no site. Diabo de formulário do...
- Alta resolução no Diablo 2 com Expansão (2)
  - Felipe: putz fala sério, finalmente!!!!!!!aleluia irmãos!!!!!!!!!!!!!!!hahahahah ahaha essa foi a...
- XiaoXiao II (2)
  - Ricardo: muito bom. HAu AHuhAUhuA AUHuAH
- Porque hoje é Sexta #39 (1)
  - Tweets that mention Everlinux’s Blog » Blog Archive » Porque hoje é Sexta #39 -- Topsy.com: This...
- Porque hoje é sexta #37 (1)
  - Tweets that mention Everlinux’s Blog » Blog Archive » Porque hoje é sexta #37 -- Topsy.com: This...
- Porque hoje é Sexta #32 (1)
  - leandro298: Depois da moda dos 60, 80 e 00 surgiu a moda dos anos 10 http://www.treta.com.br/20...
- Usando DRBD com GFS e Fencing Manual (33)
  - Tiago Cruz: Marcos, O fence_manual só deve ser utilizado como POC. Para a vida real, use um fence...
  - Marcos: Boa tarde Tiago, Estou testando o drbd com gfs e fencing manual conforme seu tutorial...
- Como autenticar serviços no LDAP da MS (Active Directory) (1)
  - Tweets that mention Everlinux’s Blog » Blog Archive » Como autenticar serviços no LDAP da MS (Active Directory) -- Topsy.com: ...
Twitter: Tiago Cruz
- Animal!! RT: @rainer_alves: RT @rodrigodavid: Time-Lapse dentro do departamento de arte do iG - http://is.gd/dT5yq 3 hours ago
- @chesterbr Pesquisa encomendada pelo StarFucks? rsrsr Vou cortar também "só para garantir" hahaha 3 hours ago
- A importância da foto no CV: http://s.hal.vu/3cc2bb (via #tech.hau.vu) 4 hours ago
- Worms!!! RT: @MeioBitGames: Guerra de minhocas está de volta ao PC http://bit.ly/be8TJK 6 hours ago
- e TGIF++ http://isitfriday.biz/ RT: @jczucco: Parabéns a todos os SysAdmin pelo seu dia ! http://www.sysadminday.com 8 hours ago
- RT: @rbanffy: Um sábio uma vez disse: "بيد أن مسؤولين في ميناء الفجيرة الإماراتي نفوا وجود أي مؤشرات على بدن السفينة تؤكد مثل هذه التفسيرات" 8 hours ago
- I favorited a YouTube video -- MK9 Trailer UK http://youtu.be/svmyEqJmfw0?a 2010/07/29
- Cosplay na Comic-Con! http://colunistas.ig.com.br/jovem/2010/07/27/cosplay-na-comic-con/ melhor que no animefriends!! 2010/07/29
- PS3 no Brasil – novos updates http://bit.ly/aTrVLu 2010/07/29
- Oi vai se transformar numa empresa global http://bit.ly/954tgO 2010/07/28
Amigos
- Fabio Silva
- Glommer’s Mind
Blogroll
- BR-Linux
- Planeta GNU/Linux
Pessoal
PodCasts
Páginas
Categorias
- Animações (9)
- Apresentação (3)
- Certificação (1)
- Cluster (6)
- Diablo (3)
- Dicas (40)
- Diversão (85)
- DSi (1)
- ESX (2)
- EUA (1)
- Eventos (7)
  - Campus Party (2)
- FAUS (1)
- FISL (9)
  - FISL9.0 (5)
- Hardware (1)
- High Availability (4)
- Humor (45)
- iPhone (2)
- Jogos (19)
- LDAP (1)
- Linux (84)
- LPI (1)
- Mandriva (5)
- MySQL (1)
- Não-livre (4)
- Nerd (20)
- Network (6)
- Nvidia (1)
- Passaporte (1)
- Pessoal (9)
- Red Hat (7)
- RPG (3)
- Samba (1)
- Scripts (9)
- Segurança (7)
- Series TV (5)
- Sexta (43)
- Squid (2)
- Storage (5)
- Tuxkiller (1)
- Ubuntu (21)
- Vende-se (1)
- Virtualização (14)
- Visto (1)
- VMware (2)
- Wii (9)
- Xen (9)
BR-Linux
Tags

AD Campus Party Certificação Cluster Dicas Diversão ESX EUA FISL Flash Forense Games GFS Hardware iG Jogos Kurumin Linux LPI LVM Mandriva Micro Onibus Minihacker Nerd NTFS Nvidia Passaporte Podcast PodCasts rm -rf Segurança Selinux Sexta SpaceBR Squid Thunder Boy Tuxkiller Ubuntu Unicid Vende-se Visto VMware VPN Wii xiao
Histórico
- July 2010 (2)
- June 2010 (4)
- May 2010 (3)
- April 2010 (7)
- March 2010 (4)
- February 2010 (4)
- January 2010 (7)
- December 2009 (7)
- November 2009 (7)
- October 2009 (6)
- September 2009 (10)
- August 2009 (11)
- July 2009 (3)
- June 2009 (5)
- May 2009 (4)
- April 2009 (6)
- March 2009 (5)
- February 2009 (2)
- January 2009 (8)
- December 2008 (5)
- November 2008 (2)
- October 2008 (1)
- September 2008 (3)
- August 2008 (1)
- June 2008 (2)
- May 2008 (2)
- April 2008 (7)
- February 2008 (7)
- January 2008 (1)
- December 2007 (2)
- November 2007 (2)
- September 2007 (2)
- August 2007 (4)
- July 2007 (1)
- June 2007 (2)
- May 2007 (12)
- April 2007 (12)
- March 2007 (3)
Admin

Archive for the Squid Category

13 04 2010

Como autenticar serviços no LDAP da MS (Active Directory)

Posted by: Tiago Cruz in Dicas, LDAP, Linux, Segurança, Squid, Ubuntu

Imagine o seguinte cenário: Empresa de pequeno porte, com um AD instalado às pressas sem muitos cuidados e um servidor Linux lá no meio servindo de proxy. Se você tiver vontade de autenticar os serviços no AD, aqui vão alguns exemplos práticos e rápidos.

Tome como base um Windows 2003, com o domínio chamado “EverLinux” e um usuário rosca lá chamado “tcruz” somente para fazer as buscas no diretório da Microsoft. O Linux seria um Ubuntu ou Debian da vida.

Autenticando o Apache no AD

cd /etc/apache2/mods-enabled
ln -s ../mods-available/ldap.load .
ln -s ../mods-available/authnz_ldap.load .
 
<Directory "/var/www/protegido">
        AuthBasicProvider ldap
        AuthzLDAPAuthoritative off
        AuthName "Entre com a senha do AD"
        AuthType Basic
        AuthLDAPBindDN tcruz@everlinux
        AuthLDAPBindPassword senha_do_tcruz
        AuthLDAPURL ldap://10.10.20.20:3268/cn=users,dc=everlinux?sAMAccountName?one
        require user tcruz cmangini
        Allow from all
</Directory>

Autenticando o Squid no AD

...
acl bloqueados dstdom_regex -i "/etc/squid/block.txt"
http_access deny bloqueados
 
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=everlinux" -D \
"cn=tiago cruz,cn=users,dc=everlinux" -w "senha_tcruz" -f sAMAccountName=%s -h 10.10.20.20
auth_param basic children 5
auth_param basic realm Autenticacao
auth_param basic credentialsttl 5 minutes
acl ldapauth proxy_auth REQUIRED
http_access allow ldapauth
...

Autenticando algo em PHP no AD

O exemplo será o software OneOrZero utilizado Help Desk:

# apt-get install php5-ldap
 
cat /var/www/helpdesk/configuration/website_settings.php
auth_method = "AD"
ldap_host = "10.10.20.20"
ldap_domain = "everlinux"
ldap_binddn = "CN=Tiago Cruz,CN=Users,DC=everlinux"
ldap_bindpwd = "senha_tcruz"
ldap_rootdn = "CN=Users,DC=everlinux"
ldap_searchattr = "sAMAccountName"
ldap_fname = "givenname"
ldap_lname = "sn"
ldap_uname = "samaccountname"
ldap_email_add = "mail"
ldap_office = "physicaldeliveryofficename"
ldap_phone = "telephonenumber"
ldap_context = "sAMAccountName"

Fazendo uma busca manualmente no diretório

# ldapsearch -LLL -h 10.10.20.20 -P 3 -x -D "cn=tiago cruz,cn=users,dc=everlinux" -W \
-b "cn=users,dc=everlinux"  "(&(&(objectClass=user)(objectCategory=person)) \
(sAMAccountName=tcruz))" 
Enter LDAP Password: 
dn: CN=Tiago Cruz,CN=Users,DC=everlinux
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Tiago Cruz
sn: Cruz
physicalDeliveryOfficeName: EverLinuxs Office
telephoneNumber: 1234-4321
givenName: Tiago
initials: ti
distinguishedName: CN=Tiago Cruz,CN=Users,DC=everlinux
instanceType: 4
whenCreated: 20090427110042.0Z
whenChanged: 20100406221357.0Z
displayName: Tiago Cruz
uSNCreated: 555987
memberOf:: Q049QWRtaW5zLiBkbyBkb23DrW5pbyxDTj1Vc2VycyxEQz1kb21pbmlvMjAwNw==
memberOf: CN=Administradores,CN=Builtin,DC=everlinux
uSNChanged: 2331137
name: Tiago Cruz
objectGUID:: 39teBl62JUWwzZz36nNICw==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 129150648344589017
lastLogoff: 0
lastLogon: 129150648382871002
pwdLastSet: 128853036428004858
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAR0LCqonS5XyzPF2T+AQAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: tcruz
sAMAccountType: 80530263368
userPrincipalName: tcruz@everlinux
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=everlinux
mail: tiagocruz AT everlinux.com

Espero que com estas dicas fique mais fácil para você centralizar a autenticação de seus serviços, caso seja necessário integrar com um LDAP proprietário.

Comments 1 Comment »

06 05 2009

Squid Autenticando em um Active Directory

Posted by: Tiago Cruz in Dicas, Linux, Scripts, Squid, Ubuntu

Dica rápida, sem muitas novidades. Apenas uma forma rápida de colocar um Squid 2.6.18 rodando em um Ubuntu 8.04 LTS para autenticar em um Windows 2003 Server, sem usar samba+winbind, dar join no domínio, usar ntp e etc.

A idéia é documentar uma árvore LDAP padrão do Windows, para servir como base para futuras implementações, visto que muitos admins de AD desconhecem esta informação

No squid.conf, ficaria mais ou menos assim (o “\” é uma quebra de linha, porém o comando deve ficar em uma linha única):

...
acl diretoria src 10.10.10.9/32
http_access allow diretoria
 
# Autenticacao AD Windows
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=dominio" -D "cn=tiago \
cruz,cn=users,dc=dominio" -w "senha" -f sAMAccountName=%s -h 10.10.10.10
auth_param basic children 5
auth_param basic realm Autenticacao
auth_param basic credentialsttl 5 minutes
acl ldapauth proxy_auth REQUIRED
http_access allow ldapauth
 
# White List
acl liberados dstdom_regex -i "/etc/squid/unblock.txt"
http_access allow liberados
...
# Rede Local LAN
acl rede_local src 10.10.10.0/24
http_access allow rede_local

Caso não funcione “de prima”, recomendo estes comandos para debugar o problema:

1-) Usando o LDAPSearch para ver se retorna OK:

$ ldapsearch -LLL -h 10.10.10.10 -P 3 -x -D "CN=Tiago Cruz,CN=Users,DC=Dominio" \
-W -b "DC=Dominio" "(&(&(objectClass=User)(objectCategory=Person))(sAMAccountName=tcruz))"
Enter LDAP Password: 
dn: CN=Tiago Cruz,CN=Users,DC=dominio
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Tiago Cruz
sn: Cruz
givenName: Tiago
initials: ti
distinguishedName: CN=Tiago Cruz,CN=Users,DC=dominio
instanceType: 4
whenCreated: 20090427110042.0Z
whenChanged: 20090427190603.0Z
displayName: Tiago Cruz
uSNCreated: 555987
....

2-) Simulando o LDAP_AUTH do Squid na mão, passando na mesma linha usuário e senha desejado para ver se funciona bem:

$ /usr/lib/squid/ldap_auth -R -b "dc=dominio" -D "cn=tiago \
cruz,cn=users,dc=dominio" -w "senha" -f sAMAccountName=tcruz -h 10.10.10.10
tcruz senhacorreta
OK
tcruz senhaerrada
ERR Success

Lembrando que se você estiver usando Proxy Transparente, você deverá configurar o endereço do Proxy diretamente no navegador do usuário pois a autenticação não funcionará.

Se você não sabe se usa Proxy Transparente, seria algo mais ou menos assim:

# No squid:
http_port 3128 transparent
 
# No firewall:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 10.10.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

A idéia é pegar todo o tráfego que vem da sua rede local com destino à porta 80/tcp e encaminhar para o squid na porta 3128/tcp, de forma transparente. Funciona muito bem, mas caso você queira autenticação será necessário mexer no browser no cliente.

Para fazer uma configuração automática, sugiro a utilização de um Script de Logon mais ou menos como este arquivo “todos.bat”:

@echo off
net use f: \\server\shared
net use h: /home
regedit /s \\server\netlogon\proxy.reg

Sendo que o proxy.reg seria algo mais ou menos assim:

REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"="10.10.10.1:3128"
"ProxyEnable"=dword:00000001
"EnableAutodial"=dword:00000000
"NoNetAutodial"=dword:00000000
"MigrateProxy"=dword:00000001

Mais informações:
- Configuring Squid on Linux to authenticate with Active Directory
- Configuring a Squid Server to authenticate off Active Directory
- Squid autenticado no Active Directory com Winbind
- Autenticando o SQUID no Active Directory via NTLM
- SaMBa 3.x -> Tudo o que você precisa saber (e não tinha para quem perguntar

Abraços e até a próxima!

No Comments »

Everlinux’s Blog

Sempre vivendo, aprendendo e blogando… :)

Search

Recent Posts

Comentários

Twitter: Tiago Cruz

Amigos

Blogroll

Pessoal

PodCasts

Páginas

Categorias

BR-Linux

Tags

Histórico

Admin

Archive for the Squid Category

Como autenticar serviços no LDAP da MS (Active Directory)

Squid Autenticando em um Active Directory