Squid+SquidGuard autenticados pelo AD- HELP!
-
marcelo,
Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052
Abraços!
Jack -
marcelo,
Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052
Abraços!
JackJá havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.
-
Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.
Faça com que o seu pfSense se autentique no seu AD: http://forum.pfsense.org/index.php/topic,44689.0/topicseen.html
Depois você pode usar a base de usuários em basicamente qualquer pacote que admita isso (inclusive SquidGuard)! ;)
Abraços!
Jack -
Fiz os procedimentos como estava no site, deu certo, mas com outros pacotes, logo o processo, descobri que o squidguard assim como o squid não fazem parte deste recurso.
-
Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??
-
Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??
A integração com squid funciona, veja neste link postado pelo JackL um dos tutoriais sobre como habilitar a autenticação no squid
http://www.jack.eti.br/www/?p=3052
-
A integração com squid funciona…
Em teoria deveria estar funcionando já com o Squid/SquidGuard. De todo modo, agora que você já fez o pfSense em si autenticar no AD, basta escrever no arquivo de config. pra "se aproveitar" desta autenticação (conforme tutorial (RE)mencionado pelo marcelloc).
;)
Abraços!
Jack -
Aproveitando o assunto gostaria de fazer uma pergunta.
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim? -
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?
Você está usando WPAD?
Abraços!
Jack -
Não.
O proxy está setado nas maquinas via GPO não é transparente. -
O proxy está setado nas maquinas via GPO não é transparente.
Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:
- Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.
-
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
JackJackL,
No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.
Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".
-
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Me pronuncio agora. :)
Estou ajudando na compilação do freeradius2, que inclui o Kerberos.
Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores. -
Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Valeu!
-
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Esta sua pergunta já foi respondida nos posts deste mesmo tópico:
http://forum.pfsense.org/index.php/topic,45065.msg234944.html#msg234944
http://forum.pfsense.org/index.php/topic,45065.msg235558.html#msg235558Abraços!
Jack -
Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
Site está off.