SQUID3 + UBUNTU LUCID 10.

04 + KERBEROS AUTH + ACTIVE DIRECTORY

12:07 Marcell C. Ribeiro

Squid e suas autenticaes Pessoal, depois de 2 anos utilizando Squid + NTLM na empresa ele comeou a dar problemas, eu realizei uma pesquisa sobre as diversas maneiras de autenticao, vou resumir para quem quer aprender um pouco sobre como autenticar o Squid. Para realizar a autenticao o Squid utiliza os chamados helpers, que nada mais so que interfaces que realizam a autenticao e retorna um OK ou um ERR para o proxy. A forma como essa autenticao vai ser negociada o que define sua segurana, eficincia e compatibilidade. Cabe ao responsvel decidir a melhor forma a ser utilizada. Existem basicamente 4 formas de autenticao:

Basic (passando a senha em texto puro) A Autenticao Basic a mais comum, compatvel e fcil de ser configurada, porm a mais insegura, qualquer interceptao de pacote possvel capturar a senha do usurio que est navegando. Ela pode ser implementada com diversos helpers, por exemplo pam, httpd, ldap, nsca etc. H diversos tutoriais sobre esse tipo de autenticao. Digest (passando o hash da senha) Esse tipo de autenticao invs de passar a senha em texto puro passa o hash em MD5 ou SHA-1, isso dificulta um pouco a captura de senhas, porm senhas inferiores a 15 caracteres so facilmente quebradas com ataque de rainbowtables ou de dicionrio. H tutoriais explicando como implementar esse tipo de autenticao com LDAP, porm no achei para o Active Directory, somente para Open LDAP. ntlm (utilizando challenge response) Na autenticao NTLM realizado um challenge response, ao autenticar o usurio se identifica e recebe um desafio do servidor, o que trafega pela rede o hash da senha com a resposta do desafio, caso o pacote seja capturado o atacante no ter a senha e sim a senha + alguma coisa, isso dificulta a quebra da senha e aumenta um pouco a segurana. Esse mtodo porm possui 2 defeitos, devido ao desafio, para cada requisio http no proxy ele gera 3 registro no proxy 2 HTTP_DENIED 407 e um HTTP_MISS ou HIT no momento que a autenticao d certo, para cada requisio necessrio essa autenticao, o que perde um pouco de performance. Outro problema a incompatibilidade. Esse tipo de autenticao tambm j no to segura, tanto que vem desabilitado por padro o suporte a NTLM no Windows7, para quem quiser testar mesmo assim pode seguir o tutorial do prprio site do Squid: * http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

negotiate Esse o tipo de autenticao que abordaremos no artigo, baseia-se na emisso de tickets. Para configurao necessrio gerar um keymap no AD para o srvsquid funcionando da seguinte forma, o srvsquid (nome do servidor Squid) confia no srvdc1 (nome do servidor do AD), o usurio paulo se autentica no servidor srvdc1 e ganha um ticket, uma espcie de "crach", onde ele autentica seus acessos ao servidor de arquivos, impresso etc. Ao tentar acessar a internet solicitada autenticao e ele mostra esse "crach" para o srvsquid, o srvsquid ento verifica a validade do crach com o srvdc1 e se estiver ok ele d o acesso, tudo isso feito de forma segura. Os tickets duram em mdia 5 minutos, o que torna improvvel a quebra de uma senha com esse nvel de criptografia em to pouco tempo, aps 5 minutos o usurio solicita um novo ticket. O processo de autenticao mais leve em termo de performance. O porm dessa autenticao a incompatibilidade, s funciona com Internet Explorer 7 pra cima e com o Firefox 3 ou superior (no foram testados Chrome, Opera, Safari etc). Para questo de compatibilidade possvel configurar uma autenticao do tipo Basic como alternativa, ser descrito no artigo. Instalando Instale o o 10.04 Kerberos utilizada).

Ubuntu

Server

32

bits

(verso

* Foi utilizado idioma em Portugus (no creio que v influenciar se mudar) * Configurada rede manualmente (Ex: 192.168.1.2) * Certifique-se que o acesso internet est configurado

Atualiza a lista de pacotes: $ sudo apt-get update

Instale o Kerberos: $ sudo apt-get install krb5-kdc krb5-config krb5-clients libpamkrb5 krb5-user

Faa uma cpia do arquivo krb5.conf: $ sudo cp /etc/krb5.conf /etc/krb5.conf.OLD

Edite o arquivo /etc/krb5.conf, apague tudo e cole todo o cdigo abaixo, depois configure de acordo com seu IP e domnio.

[libdefaults] default_realm = MEUDOMINIO.COM.BR (usar letra maiscula) dns_lookup_realm = no dns_lookup_kdc = no ticket_lifetime = 24h forwardable = yes

# The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true

# for Windows 2003 default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# For Windows XP: default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = {

host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true

[realms] MEUDOMINIO.COM.BR = { kdc = 192.168.1.1 (Ip do windows 2003 com AD) admin_server = 192.168.1.1 (Ip do windows 2003 com AD) dafault_domain = meudominio.com.br }

[domain_realm] .meudominio.com.br = MEUDOMINIO.COM.BR meudominio.com.br = MEUDOMINIO.COM.BR

[kdc] profile = /etc/krb5kdc/kdc.conf

[appdefaults] pam = { debug = false

ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }

[login] krb4_convert = true krb4_get_tickets = false

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

Configurando Abra o

o Active Directory

Active Users

and

Directory Computer.

Linux: Squid3 + Ubuntu Lucid 10.04 + Kerberos Auth + AD Crie um novo usurio no Active Directory "srvsquid", desmarque a opo para mudar a senha no prximo logon, marque a opo que a senha nunca expira, coloque uma senha grande (20 dgitos) e complexa.

Adicione

um

computer

com

nome

"srvsquid".

No seu servidor DNS adicione um registro para o srvsquid IP 192.168.1.2 (isso realmente importante, no pule esse passo). O DNS reverso deve estar habilitado para o srvsquid.

Baixe o arquivo WindowsServer2003-KB892777-SupportTools-x86-ENU.exe do site da Microsoft, instale no seu servidor ou em alguma mquina rodando Windows XP. Abra o cmd: iniciar ---> executar ---> cmd

V para a pasta onde foi instalado o Support Tools. cd c:\"arquivos de programas"\"Support Tools"

Digite o comando para gerar um keytab para o srvsquid: ktpass -princ HTTP/srvsquid.meudominio.com.br@MEUDOMINIO.COM.BR mapuser srvsquid -crypto rc4-hmac-nt -pass SENHA_DO_USR_SRVSQUID ptype KRB5_NT_PRINCIPAL -out c:\srvsquid.keytab

O arquivo srvsquid.keytab ser gerado no c:\, reserve esse arquivo, voc precisar dele mais tarde.

Instalando e configurando No srvsquid edite o arquivo /etc/hosts e adicione as linhas: 192.168.1.2 192.168.1.1 srvsquid.meudominio.com.br srvdc1.meudominio.com.br

Squid3

srvsquid srvdc1

Edite o arquivo /etc/resolv.conf e coloque essa configurao: search meudominio.com.br nameserver IP-DO-DNS-PRIMRIO nameserver IP-DO-DNS-SECUNDRIO

Teste o DNS reverso com o comando: $ dig -x 192.168.1.2

Na parte ANSWER da srvsquid.meudominio.com.br. Instale o Squid3: $ sudo apt-get update

sada

do

comando

deve

retornar

nome

$ sudo apt-get install squid3

Copie de forma segura o keytab gerado no passo anterior no Windows para o srvsquid. Copie para /etc/squid3/srvsquid.keytab depois apague a cpia do c:\.

D owner para o usurio proxy: $ sudo chmod proxy:proxy /etc/squid3/srvsquid.keytab

D permisso somente leitura 400 no arquivo: $ sudo chmod 400 /etc/squid3/squid.keytab

Edite o arquivo /etc/enviroment e adicione a linha: KRB5_KTNAME=/etc/squid3/srvsquid.keytab

Edite o arquivo /etc/init.d/squid3 e adicione a linha abaixo no script logo em baixo da linha PATH=/bin:/usr/bin:/sbin:/usr/sbin: export KRB5_KTNAME=/etc/squid3/srvsquid.keytab

Faa cpia do arquivo de configurao original do Squid: $ sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.ORIGINAL

Edite Obs.:

arquivo

squid.conf

cole

configurao

abaixo:

* No arquivo tem a configurao negotiate e um exemplo de configurao basic via LDAP para compatibilidade, caso seja necessrio utilizar proxy para sistemas que no aceitem negotiate. Caso seja habilitada essa opo a senha trafegar em texto puro quando utilizado LDAP.

* Colocar na ordem, pois se colocar primeiro o LDAP ele vai priorizar a autenticao texto puro.

Contedo do squid.conf: auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/meudominio.com.br@MEUDOMINIO.COM.BR auth_param negotiate children 20 auth_param negotiate keep_alive on

#Segue a configurao BASIC LDAP, basta descomentar as 4 linhas abaixo. #O usurio fornecido deve ter permisso de consultar a base LDAP. #auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "DC=meudominio,DC=com,DC=br" -D "CN=USUARIOLDAP,OU=usuarios,OU=informatica,DC=meudominio,DC=com,DC= br" -w "SENHADOUSUARIO" -f sAMAccountName=%s -P -v 3 -h 192.168.1.1

#auth_param basic children 20 #auth_param basic realm Autenticacao internet #auth_param basic credentialsttl 2 hours

acl auth proxy_auth REQUIRED

acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

http_access allow auth http_access deny all

http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

icp_access deny all

htcp_access deny all

http_port 3128 hierarchy_stoplist cgi-bin ? access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp: refresh_pattern ^gopher:

1440 1440 0

20% 0% 0% 0

10080 1440 0 4320

refresh_pattern (cgi-bin|\?) refresh_pattern . icp_port 3130 coredump_dir /var/spool/squid3 88032234

20%

Configurando Os navegadores

testados

foram

os IE

Firefox

3.0

navegadores ou superior.

As mquinas clientes foram testadas com Windows XP, Vista e 7. Ambos precisam estar logados no domnio para funcionar. Estou realizando testes com o Ubuntu 10.04 desktop para autenticar via kerberos, mas ainda no tive sucesso, assim que tiver progresso atualizo. Quem tiver alguma crtica, sugesto ou melhoria pode enviar. Para contornar esse problema foi ativada a autenticao BASIC LDAP no squid.conf da pgina anterior. Essa autenticao compatvel com o Linux, inclusive quando exporta o proxy pelo comando "export http_proxy=http://user:senha@srvsquid.meudominio.com.br", porm ela envia a senha em texto puro. ATENO: * Para configurar os navegadores necessrio na configurao do proxy adicionar o FQDN, ou seja, ao invs de colocar srvsquid ou o IP deve ser configurado o nome + domnio, Ex.: srvsquid.meudominio.com.br nas opes de proxy, por isso a importncia de se configurar o DNS e o DNS reverso. A porta se no foi alterada 3128. * A autenticao Kerberos, para funcionar, o relgio e data do SRVSQUID e do SRVDC1 precisa estar sincronizados, voc pode fazer isso configurando NTP, network time protocol. H vrios tutoriais disponveis, ou voc mesmo pode configurar na mo para que ambos fiquem no mximo com 2 minuto de diferena.

Referncias: Getting Squid to authenticate with kerberos and Windows 2008/2003/7/XP - Server Fault Squid kerberos authentication and ldap authorization in Active Directory Klaubert's Blog ConfigExamples/Authenticate/Kerberos Squid Web Proxy Wiki Autor: Vinicius Domingues (VOL)