Fra le varie implementazione che mi è capitato di fare c’è anche questo fantastico mix di software opensource che permette la navigazione controllata tramite un proxy (Squid) e un content filtering (DansGuardian). Siccome ogni volta che mi ricapitava di riproporre il pacchetto saltavo qualche passaggio, mi son deciso a scrivere una guida che ora vi propongo nella speranza di darvi un gradito servizio!
Partiamo dal presupposto che nella vostra organizzazione siano presenti Domain Controller (nel mio caso Windows 2003 Server Standard) ecco che andremo ad aggiungere i DC sotto /etc/resolv.conf e al file /etc/hosts

Installate Kerberos (krb-1.7.1) per le autenticazioni su domini W2K3 ( ricompilate aggiungendo –enable-dns-for-realm al configure))

./configure –prefix=/usr –sysconfdir=/etc –enable-dns-for-realm

Installate Slackware e ricompilate SAMBA (attualmente sono con la 3.4.0) con questo comando:

./configure –enable-static=no –enable-shared=yes –with-fhs –with-automount –prefix=/usr –localstatedir=/var –bindir=/usr/bin –sbindir=/usr/sbin –with-lockdir=/var/cache/samba –sysconfdir=/etc –with-configdir=/etc/samba –with-privatedir=/etc/samba/private –with-swatdir=/usr/share/swat –with-cifsmount –with-quotas –with-syslog –with-utmp –with-libsmbclient –with-winbind –with-ldap –with-ads –with-krb5=/usr

Ricordarsi di settare il WORKGROUP (variabile smb.conf) come MIODOMINIO e non MIODOMINIO.LAN (sistemi pre-windows 2000) altrimenti il net join fallisce l’autenticazione.

Aggiornate la data di sistema attraverso: ntpdate -s -b -p 8 -u 193.204.114.105
Ed inserite lo script in crontab:
crontab –e ->clicco I e mi permette l’inserimento di nuove righe->invio (e vado sotto di una riga)
con X cancello , dopo aver premuto CANC ( mi porta al comando precedente)
Eseguite il join a dominio: (da root)

Controllate che il file /etc/resolv.conf contenga le seguenti entry:
search MIODOMINIO.LAN
nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx

Controllate con un eventuale nslookup (installare bind per avere l’utility) e host la corretta risoluzione dei DC
root@SRVPROXY:/# nslookup miodcserver
Server: xxx.xxx.xxx.xxx
Address: xxx.xxx.xxx.xxx#53
Name: miodcserver.MIODOMIONIO.LAN
Address: xxx.xxx.xxx.xxx
root@SRVPROXY:/# host miodcserver
miodcserver.MIODOMINIO.LAN has address xxx.xxx.xxx.xxx

gli output dovrebbero essere simili a questi.
Una volta eseguiti i test, è il momento di collegarsi con KERBEROS:
kinit administrator@MIODOMINIO.LAN > administrator@MIODOMIONIO.LAN (ricordarsi di scrivere il dominio in maiuscolo altrimenti il check fallisce)
Controllate di aver ricevuto la chiave di autenticazione con:
root@SRVPROXY:/# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MIODOMIONIO.LAN
Valid starting Expires Service principal
10/06/06 12:02:55 10/06/06 22:02:58 krbtgt/MIODOMINIO.LAN@MIODOMIONIO.LAN
renew until 10/07/06 12:02:55
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
a questo punto si può procedere con il JOIN a dominio:
net ads join-w MIODOMINIO -S miodcserver -U administrator
(per rimuovere il server dall’AD, net ads leave MIODOMINIO.LAN)
Lanciate da root: winbindd (altrimenti non joina)
Controllate l’effettivo Join tramite wbinfo –u e wbinfo –g (controlla users e gruppi)
Modificate il file /etc/nsswitch.conf aggiungendo:
passwd: files winbind
shadow: files
group: files winbind

Configurazione SQUID-2.7.STABLE6:

./configure –prefix=/usr –sysconfdir=/etc –enable-err-languages=Italian –enable-linux-netfilter –enable-auth=”ntlm,basic” –enable-ntlm-auth-helpers=”SMB fakeauth no_check ” –enable-external-acl-helpers=”wbinfo_group” –enable-delay-pools –enable-ssl –enable-linux-netfilter

Utente e Permessi directory log e cache: (root@SRVPROXY:/usr/var/)
useradd squid -d /nonexistent -s /usr/bin/true (aggiunge l’utente squid al sistema)
chown -R squid:squid /var/cache
chown -R squid:squid /var/logs
Permessi da impostare per l’autenticazione NTLM:
Avviate samba (crea i file sotto /var/cache/samba) e successivamente winbbind (crea winbindd_privileged):
chmod 750 /var/cache/samba/winbindd_privileged
chown root:squid /var/cache/samba/winbindd_privileged

Configurazione DANSGUARDIAN:

Installate clamav per attivare anche la scansione antivirus
Seguire la guida per una corretta configurazione
Scaricare i sorgenti ed installarli:
Sono necessari i pacchetti zlib e pcre per la corretta compilazione (scaricarli da un mirror di slackware) poi:
./configure –prefix=/usr –sysconfdir=/etc –enable-ntlm

Se doveste trovare imprecisioni, mancanze o quant’altro, non esitate a comunicarmelo!
Buona navigazione !