quinta-feira, 29 de agosto de 2013

Liberando acesso ao Skype no squid com autenticação kerberos

Um problema comum quando utilizamos a autenticação do squid via kerberos é a incompatibilidade com softwares que não negociam autenticação kerberos, o skype é um deles.

Vou descrever a forma que utilizei para contornar o problema:

Nas configurações abaixo, são liberados qualquer acesso via IP na porta 443, atendendo as necessidades para utilização do Skype, exceto via browser, desta forma, se for utilizado IP (https://69.171.242.27) no browser o acesso só será liberado após autenticação.
As configurações abaixo devem estar sobre as acls de autenticação.

Configurando ACLs
acl navegador browser Firefox
acl navegador browser Chrome
acl navegador browser IE
acl IPS url_regex -i ^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+):443
http_access allow IPS !navegador

Logs de autenticação kerberos
2013-01-23 10:58:40 10.10.10.10 - TCP_DENIED/407 CONNECT 69.171.242.27:443
2013-01-23 10:58:40 10.10.10.10. willian@LABLINUX.LAN TCP_MISS/200 CONNECT 69.171.242.27:443

Logs de acesso ao skype
2013-01-23 11:00:34 10.10.10.10 - TCP_MISS/200 CONNECT 65.55.64.250:443
2013-01-23 11:00:37 10.10.10.10 - TCP_MISS/200 CONNECT 212.161.8.36:443
2013-01-23 11:00:37 10.10.10.10 - TCP_MISS/200 CONNECT 189.54.194.15:443
2013-01-23 11:00:40 10.10.10.10 - TCP_MISS/200 CONNECT 213.166.51.4:443     

Caso queira restringir quais usuários podem acessar o skype, pode se criar mais uma acl do tipo src e especificar os endereços ips de origem.

acl navegador browser Firefox
acl ips_skype src 10.10.10.10
http_access allow IPS ips_skype !navegador

Lembrando que a porta 443 é liberado por default nas configurações de squid, sendo assim, geralmente o problema comum com o skype é o bloqueio e não a liberação.