Squid+SquidGuard autenticados pelo AD- HELP!

marcelloc

Já pesquisou nos tutoriais na parte de cima do forum?

marcelo

@marcelloc:

Já pesquisou nos tutoriais na parte de cima do forum?

Já pesquisei, porém não tem nada que relacione os dois pacotes.

marcelloc

Posso estar errado, mas parece que o squidguard só faz grupos por ip.

Se for o caso, você é mais um na lista dos que aguardam o pacote do dansguardian…

http://forum.pfsense.org/index.php/topic,43758.0.html

JackL

marcelo,

Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052

Abraços!
Jack

marcelo

@JackL:

marcelo,

Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052

Abraços!
Jack

Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.

JackL

@marcelo:

Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.

Faça com que o seu pfSense se autentique no seu AD: http://forum.pfsense.org/index.php/topic,44689.0/topicseen.html

Depois você pode usar a base de usuários em basicamente qualquer pacote que admita isso (inclusive SquidGuard)! ;)

Abraços!
Jack

marcelo

Fiz os procedimentos como estava no site, deu certo, mas com outros pacotes, logo o processo, descobri que o squidguard assim como o squid não fazem parte deste recurso.

mantunespb

Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??

marcelloc

@mantunespb:

Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??

A integração com squid funciona, veja neste link postado pelo JackL um dos tutoriais sobre como habilitar a autenticação no squid

http://www.jack.eti.br/www/?p=3052

JackL

@marcelloc:

A integração com squid funciona…

Em teoria deveria estar funcionando já com o Squid/SquidGuard. De todo modo, agora que você já fez o pfSense em si autenticar no AD, basta escrever no arquivo de config. pra "se aproveitar" desta autenticação (conforme tutorial (RE)mencionado pelo marcelloc).

;)

Abraços!
Jack

leandruco

Aproveitando o assunto gostaria de fazer uma pergunta.
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?

JackL

@leandruco:

Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?

Você está usando WPAD?

Abraços!
Jack

leandruco

Não.
O proxy está setado nas maquinas via GPO não é transparente.

JackL

@leandruco:

O proxy está setado nas maquinas via GPO não é transparente.

Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)

Abraços!
Jack

LFCavalcanti

Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.

Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:

• Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.

JackL

@LFCavalcanti:

Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

LFCavalcanti,

Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!

Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.

Abraços!
Jack

LFCavalcanti

@JackL:

@LFCavalcanti:

Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

LFCavalcanti,

Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!

Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.

Abraços!
Jack

JackL,

No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.

Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".

O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.

Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".

marcelloc

O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.

Me pronuncio agora. :)

Estou ajudando na compilação do freeradius2, que inclui o Kerberos.

Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores.

sonicstark

Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.

Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?

Valeu!

JackL

@sonicstark:

Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?

Esta sua pergunta já foi respondida nos posts deste mesmo tópico:

http://forum.pfsense.org/index.php/topic,45065.msg234944.html#msg234944
http://forum.pfsense.org/index.php/topic,45065.msg235558.html#msg235558

Abraços!
Jack