Olá pessoal, agora vamos finalizar as configurações no arquivo do squid.conf, afim de completarmos a integração da autenticação squid juntamente ao active directory:

No arquivo /etc/squid/squid.conf:

O primeiro passo é ativar o processo de autenticação no squid:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

o segundo criar algumas acl's para efetivar o processo de autenticação:

acl AuthorizedUsers proxy_auth REQUIRED

http_access allow all AuthorizedUsers

Com isso, basta você configurar o proxy em seu navegador, estar logado no domínio onde o seu servidor proxy está associado e pronto! Você vai observar que no log vai aparecer algumas mensagens de TCP_DENIED/407, isso é normal e tem haver com a tentativa de autenticação NTLM - vide informações em: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

Aprimorando suas regras:

Para criar uma acl específica para um usuário ou grupo, utiliza uma acl buscando informações de um comando externo:

external_acl_type ldap_group ttl=300 children=200 %LOGIN /usr/lib/squid/wbinfo_group.pl

Ela retornará os grupos de um determinado usuário autenticado, basta criar uma acl para selecionar o grupo:

acl TIN1 external ldap_group -i proxytin1

onde o grupo no active directory estará como "proxytin1"

Ai você pode criar uma acl para um determinado site:

acl sitesTIC1 url_regex orkut.com

E bloquear logo abaixo:

http_access deny sitesTIC1 TIN1

Em breve você terá a vídeo-aula demonstrando mais recursos com a autenticação squid e o aprimoramento das regras no site da Devmedia - http://www.devmedia.com.br, e não se esqueça, para saber das novidades me siga no Twitter: http://twitter.com/wtminc

Abraço!

Devido ao Win2008 trabalhar diretamente com o protocolo SMBv2, o Windows 98 não consegue salvar arquivos ou até mesmo acessar os compartilhamentos, gerando instabilidade no acesso e erros. Afim de contornar a situação e fazer com que o Windows 98 consiga conectar, deverá ser realizado os seguintes passos, caso na sua estrutura não tenha estações 98 recomendo não fazer as alterações abaixo, que farão a retirada de opções de segurança e aprimoramentos do Windows Server 2008.

Passos:

Na estação Windows 98:
- Instalar o Internet Explorer 6.0 SP1
- Instalar o DSClient para compatibilizar o Win98 com o Active Directory

No servidor Windows 2008:

- Desabilitar o protocolo SMBv2 para que o sistema utilize a versão anterior:

No regedit:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters 
Adicione um novo valor REG_DWORD e crie uma chave com o nome de "Smb2"
Value name: Smb2
Value type: REG_DWORD
0 = disabled
1 = enabled

Defina como "0" o valor

- Desativar o RawSMB:

No regedit:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Adicione um novo valor REG_DWORD e crie uma chave com o nome de "EnableRaw"
Value name: EnableRaw
Value type: REG_DWORD
0 = disabled
1 = enabled

Defina como "0" o valor

- Nas políticas locais (GPEDIT.MSC):

Em Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options:

Microsoft network client: Digitally sign communications (always) - defina como "Disabled"
Microsoft network client: Digitally sign communications (if server agrees) - defina como "Enabled"
Microsoft network server: Digitally sign communications (always) - defina como "Disabled"
Microsoft network server: Digitally sign communications (if client agrees) - defina como "Enabled"
Network security: LAN Manager authentication level: defina como "Send NTLM response only"

Após aplicar as alterações acima, o servidor deverá ser reiniciado. Estas alterações deverão também contribuir na resolução de eventuais problemas com uma máquina Samba/Linux e Win2008.

Solução identificada neste fórum: http://social.technet.microsoft.com/Forums/it-IT/winserverfiles/thread/2aa4de55-58a0-4624-9561-e725dc58bc5e

Abraço e até a próxima!

Olá a todos, vou aproveitar este espaço e deixar o meu endereço do twitter:

http://twitter.com/wtminc

Me siga por lá e fique por dentro de informações de tecnologia e também como anda a produção de artigos e vídeos no site da Devmedia.

Abraço e te vejo lá!

Assista o vídeo abaixo e perceba que evoluir é a mesma coisa que perder algo menos importante para ganhar outro muito mais importante:

Michel Serres Filósofo francês, nascido na França em 1930, Professor de História da Ciência na Sorbonne- Paris.  

Conheci este vídeo através da Prof. Marcia Regina Teixeira Macedo que produziu um trabalho sobre Tecnologias Educacionais / Web Currículo.

Abraço e até a próxima!

Basta criar uma acl no Squid para o seguinte endereço:

chatenabled.mail.google.com

Fonte: o próprio help do Gmail

Abraço!

Dentro do arquivo wwwroot/lib/datalib.php

Na sessão abaixo (aproximadamente a 738 linha):

        /*
         * Note: Here we use a LEFT OUTER JOIN that can
         * "optionally" match to avoid passing a ton of context
         * ids in an IN() clause. Perhaps a subselect is faster.
         *
         * In any case, this SQL is not-so-nice over large sets of
         * courses with no $categoryclause.
         *
         */
        $sql = "SELECT ctx.path, ctx.instanceid, ctx.contextlevel,
                       ra.hidden,
                       r.id AS roleid, r.name as rolename,
                       u.id AS userid, u.firstname, u.lastname
                FROM {$CFG->prefix}role_assignments ra
                JOIN {$CFG->prefix}context ctx
                  ON ra.contextid = ctx.id
                JOIN {$CFG->prefix}user u
                  ON ra.userid = u.id
                JOIN {$CFG->prefix}role r
                  ON ra.roleid = r.id
                LEFT OUTER JOIN {$CFG->prefix}course c
                  ON (ctx.instanceid=c.id AND ctx.contextlevel=".CONTEXT_COURSE.")
                WHERE ( c.id IS NOT NULL";
        // under certain conditions, $catctxids is NULL
        if($catctxids == NULL){
            $sql .= ") ";
        }else{
            $sql .= " OR ra.contextid  IN ($catctxids) )";
        }

        $sql .= "AND ra.roleid IN ({$CFG->coursemanager})
                      $categoryclause
                ORDER BY r.sortorder ASC, ctx.contextlevel ASC, ra.sortorder ASC";

Altere a string "ORDER BY" para:

                ORDER BY u.lastname, r.sortorder ASC, ctx.contextlevel ASC, ra.sortorder ASC";
ou
                ORDER BY u.firstname, r.sortorder ASC, ctx.contextlevel ASC, ra.sortorder ASC";

Válido para Moodle versão 1.9.5

Abraço!

Caso você tente remover utilizando o comando DCPROMO e não consiga realizar a baixa do servidor do Active Directory, utilize o mesmo comando com a opção:

dcpromo /forceremoval

Ele não tentará contatar o servidor principal ou os outros servidores para fazer o rebaixamento da máquina onde está aplicando o comando.

Abraço!

Olá, nesta parte dois daremos sequência na configuração do SAMBA para conexão ao AD, abaixo o arquivo smb.conf personalizado para que seja possível a conexão do Squid ao Active Directory:

/etc/samba/smb.conf

[global]

        workgroup = [DOMÍNIO_NO_FORMATO_NETBIOS]
        server string = Proxy Server

        netbios name = [NOME_NETBIOS_SERVIDOR_PROXY]

        log level = 3
        log file = /var/log/samba/%m.log
        max log size = 50

        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        security = ads
        realm = [NOME_DOMÍNIO_NO_FORMATO_DNS]
        encrypt passwords = yes
        ldap ssl = no
        password server = [NOME_SERVIDOR_DC_AD]

        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind use default domain = yes

        preferred master = no

        dns proxy = no

Após configurar o arquivo acima, sincronize a hora do servidor linux com o servidor active directory:

ntpdate -4 [IP_DC_AD]

No arquivo /etc/resolv.conf deverá estar indicado os ips dos servidores DNS do AD. Digite o seguintes comandos para associar o servidor linux ao AD como membro do domínio:

Inicie o samba e o winbind:

service smb restart
service winbind restart 

e depois:

kinit administrator@DOMAIN.LOCAL.

net ads join -U administrator@DOMAIN.LOCAL.

Para verificar se tudo ocorreu como esperado:

wbinfo -t <-- testa a conexão com o AD e retorna a seguinte mensagem em caso de sucesso: checking the trust secret via RPC calls succeeded

wbinfo -u <-- retorna a lista de usuários do AD

No próximo post farei a configuração do Squid para completar o processo de autenticação. Abraço e até a próxima!

Olá, vou apresentar neste tópico todas as etapas de configuração do Squid para que seja possível a autenticação de usuários do Active Directory de forma simplificado para o usuário, sem a necessidade de toda vez que abrir o navegador seja necessário informar usuário e senha.

Este artigo é baseado nas seguintes fontes:

http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory
http://www.vivaolinux.com.br/topico/Perguntas-Frequentes/SQUID-LENTO-AUTH-AD-VIA-NTLM

Para esta explicação, segue as versões utilizadas:

CentOS 5.0 2.6.18-128.1.6.el5
Squid 2.6.STABLE21
Samba 3.0.33 Release 3.7.el5

Vou apresentar esta implantação em 3 partes, nesta primeira fase iremos abordar o Linux conseguindo autenticar utilizando Kerberos, que é o padrão que a Microsoft utiliza ao gerar o token de autenticação no Active Directory, existe o formato simplificado chamado de ntlm, que é menos seguro e foi sendo substituido desde as versões do Windows 2000, largamente utilizado na era WinNT.

Vamos lá:

Editando o arquivo /etc/krb5.conf:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOMINIO.LOCAL

[realms]
  DOMINIO.LOCAL = {
  kdc = domaincontroller.dominio.local
  admin_server = domaincontroller.dominio.local
  kpasswd_server = domaincontroller.dominio.local
  default_domain = dominio.local
}

[domain_realm]
  .dominio.local = DOMINIO.LOCAL

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

Com estas configurações acima (adequando as nomenclaturas de acordo com o seu ambiente), o kerberos estará pronto para "entender" o domínio do AD.

No arquivo /etc/hosts.conf corrija e insira algumas informações:

# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1               localhost.localdomain localhost
192.168.0.20            proxy.dominio.local proxy
::1             localhost6.localdomain6 localhost6
 

Novamente faça a adequação necessária dos nomes e ip conforme o seu ambiente

Na segunda parte faremos a configuração do Samba para que o nosso servidor Linux entre como uma "estação windows" cadastrada no domínio do AD.

Abraço e até a próxima!

Olá pessoal, ontem recebi uma mensagem "normal" no meu Gmail, quando cliquei no link tive algumas surpresas, vejam só:

Ao clicar no link, foi aberta uma nova janela (tudo normal como de costume):

O endereço na barra do navegador também, ou seja, tudo normal, quando para minha surpresa o navegador redirecionou:

E de repente a coisa ficou ainda mais estranha, veio esta mensagem que o meu computador estava contaminado:

Tentando clicar no OK ou Cancelar, ou mesmo fechando a janela, na tela do navegador apareceu um "anti-vírus":

Como não tenho drive D como unidade de disco, já me chamou a atenção pela falsidade da página, e ainda mais:

Dizendo que eu estava com vários "malwares" em meu computador (estou com o Trend instalado e atualizado).

O "AntiVirus 360" que esta nesta página falsa, informa sobre os problemas e requer o download da ferramenta, novamente tentando clicar no OK, Cancelar ou fechar o resultado é o mesmo:

Tentando baixar um tal de "installAVg ...." (este final AVG é apenas coincidência):

Cancelando o download e tentando fechar a janela do IE, ainda aparece esta última mensagem:

Bom, passado o "susto" por ter o computador infectado, verifiquei algumas ocorrências deste falso antivirus em alguns sites de notícias, a única coisa que ainda não identifiquei é se o problema está com o GMail, o site que tentei clicar ou meu equipamento, para fazer um outro teste encaminhei a mensagem para um amigo e para um outro e-mail, o Yahoo, no caso do meu amigo no GMail, o sintoma foi o mesmo, mas já no Yahoo não aconteceu e acessei o site normalmente.

Outro teste que eu fiz: ao invés de clicar sobre o link no GMail, copiei e colei o endereço, e novamente obtive acesso normal ao site.

Vou fazer mais algumas pesquisas e saber qual a ligação do GMail com este falso "anti - malware".

Abraços!

Wagner Tadeu