Squid com Active Directory + acl manual
-
Boa noite pessoal,
Gostaria de saber se é possível criar o seguinte ambiente que tenho atual no Debian para o Pfsense :
Squid autenticando via msnt_auth em um DC 2003 Server
Grupos de usuários criados no squid, o squid lê os usuários a partir de um arquivo txt (somente o nome dos usuários cadastrados no AD)
Para cada grupo tenho um tipo de acesso, por exemplo, grupo TI -> Acesso a tudo, grupo Diretoria -> acesso á quase tudo, grupo Usuário -> Acesso restrito.
Há também o bloqueio de msn e gtalk para o grupo de usuários, porém há uma lista que contém nome de usuários que são execeção do grupo de usuários, do qual podem acessar o msn e continuam com os bloqueios habituais do grupo Usuarios.
Tentei instalar o pacote manualmente - pkg_add -vr squid, da primeira vez funcionou, mas como n tive mais tempo de ver, preferi tentar mais tarde, porém agora não consigo mais instalar o squid manualmente para efetuar as regras dessa forma.
Tentei instalar via Packages, mas não consegui criar as Acl's para bloqueio e grupo de usuários como no ambiente acima.
Regards.
-
Boa noite,
Consegui subir o squid como proxy transparente, utilizando o captive com autenticação RADIUS em um DC, instalei o squidguard para fazer os bloqueios.
Já que a primeira opção não deu certo, gostaria de saber se há alguma forma de criar exceções de bloqueios por usuários e não por Ip´s.
Grato.
-
consegui ;)
Utilizei o custom options e fui efetuando os testes.
Pode fechar o tópico.
-
Boa tarde Heitor, favor postar a solucao!
Grato.
-
Caro,
Da mesma forma que crio os grupos no squid.conf no Linux, eu fiz as mesmas acl´s no custom options separados por ;.
Por exemplo
acl gerencia proxy_auth -i "/usr/etc/squid/grupos/gerencia"
e depois crio as acl´s de bloqueio e com a definição que o squid lê o arquivo de configuração de cima para baixo, fui alinhando os "http_acess allow e deny" com os testes.
Na medida que fui aplicando eu via através do "Edit file" como que estava ficando o squid.conf.
Em relação aos bloqueios do squiguard, infelizmente não consegui, somente po IP mesmo.
Mas agora meu pfsense não está mais funcionando. mas isto não é assunto para este tópico.