Squid+SquidGuard autenticados pelo AD- HELP!
-
Olá pessoal, antes de mais nada, um feliz ano novo para todos, muito sucesso neste ano e muitas realizações.
Bem, o que gostaria e que não faço a menor ideia de como proceder é, fazer com que as ACLs possam ser tratadas pelo SquidGuard, pois o mesmo possui bloqueio a muitos sites, o que facilita e muito o bloqueio.
Então como ficaria. Gostaria que fosse da seguinte maneira, no Ad iria criar grupos para cada departamento para o acesso a internet, outros usuários permaneceriam bloqueados e por isso mais um grupo a ser criado, através destes grupos quero que quando conectar na rede o SquidGuard possa ler estes usuários no Ad e verificar no grupo se esta pessoa tem permissão ou não.
Espero que alguém me ajude a fazer isso, agradeço desde já.
Att.
-
Já pesquisou nos tutoriais na parte de cima do forum?
-
Já pesquisou nos tutoriais na parte de cima do forum?
Já pesquisei, porém não tem nada que relacione os dois pacotes.
-
Posso estar errado, mas parece que o squidguard só faz grupos por ip.
Se for o caso, você é mais um na lista dos que aguardam o pacote do dansguardian…
http://forum.pfsense.org/index.php/topic,43758.0.html
-
marcelo,
Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052
Abraços!
Jack -
marcelo,
Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052
Abraços!
JackJá havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.
-
Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.
Faça com que o seu pfSense se autentique no seu AD: http://forum.pfsense.org/index.php/topic,44689.0/topicseen.html
Depois você pode usar a base de usuários em basicamente qualquer pacote que admita isso (inclusive SquidGuard)! ;)
Abraços!
Jack -
Fiz os procedimentos como estava no site, deu certo, mas com outros pacotes, logo o processo, descobri que o squidguard assim como o squid não fazem parte deste recurso.
-
Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??
-
Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??
A integração com squid funciona, veja neste link postado pelo JackL um dos tutoriais sobre como habilitar a autenticação no squid
http://www.jack.eti.br/www/?p=3052
-
A integração com squid funciona…
Em teoria deveria estar funcionando já com o Squid/SquidGuard. De todo modo, agora que você já fez o pfSense em si autenticar no AD, basta escrever no arquivo de config. pra "se aproveitar" desta autenticação (conforme tutorial (RE)mencionado pelo marcelloc).
;)
Abraços!
Jack -
Aproveitando o assunto gostaria de fazer uma pergunta.
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim? -
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?
Você está usando WPAD?
Abraços!
Jack -
Não.
O proxy está setado nas maquinas via GPO não é transparente. -
O proxy está setado nas maquinas via GPO não é transparente.
Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:
- Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.
-
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
JackJackL,
No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.
Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".
-
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Me pronuncio agora. :)
Estou ajudando na compilação do freeradius2, que inclui o Kerberos.
Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores. -
Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Valeu!