Squid+SquidGuard autenticados pelo AD- HELP!
-
Aproveitando o assunto gostaria de fazer uma pergunta.
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim? -
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?
Você está usando WPAD?
Abraços!
Jack -
Não.
O proxy está setado nas maquinas via GPO não é transparente. -
O proxy está setado nas maquinas via GPO não é transparente.
Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:
- Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.
-
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
JackJackL,
No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.
Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".
-
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Me pronuncio agora. :)
Estou ajudando na compilação do freeradius2, que inclui o Kerberos.
Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores. -
Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Valeu!
-
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Esta sua pergunta já foi respondida nos posts deste mesmo tópico:
http://forum.pfsense.org/index.php/topic,45065.msg234944.html#msg234944
http://forum.pfsense.org/index.php/topic,45065.msg235558.html#msg235558Abraços!
Jack -
Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
Site está off.
-
Até segunda acredito que ja esteja ok.
Aqui pra mim aparece erro de dns, não parece ser algo tão crítico.
-
Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?
Se puder adiantar e postar sem imagens ou então enviar por email eu agradeço. :D
-
Até segunda acredito que ja esteja ok.
O nosso blog está desde ontem novamente no ar: http://www.pfsense-br.org/blog/
Abraços!
Jack -
Pessoal, aqui vai o link do tutorial que fiz para resolver este problema, quem tiver problema ou dúvidas pode me mandar mensagens, vlw
link: http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/
-
Olá pessoal, antes de mais nada, um feliz ano novo para todos, muito sucesso neste ano e muitas realizações.
Bem, o que gostaria e que não faço a menor ideia de como proceder é, fazer com que as ACLs possam ser tratadas pelo SquidGuard, pois o mesmo possui bloqueio a muitos sites, o que facilita e muito o bloqueio.
Então como ficaria. Gostaria que fosse da seguinte maneira, no Ad iria criar grupos para cada departamento para o acesso a internet, outros usuários permaneceriam bloqueados e por isso mais um grupo a ser criado, através destes grupos quero que quando conectar na rede o SquidGuard possa ler estes usuários no Ad e verificar no grupo se esta pessoa tem permissão ou não.
Espero que alguém me ajude a fazer isso, agradeço desde já.
Att.
-
Muito bom o tuto, porem eu tenho uma dúvida.
No ambiente que tenho hoje é autenticado no AD, mas o usuário não precisa "Logar" quando vai navegar. Basta a autenticação inicial do windows para que funcione as permissões. Alguém sabe se tem como funcionar assim pelo pfsense? -
Instalando o samba na mão, você consegue fazer autenticação ntlm.
O Kerberos ainda estou procurando uma forma de compatibilizar.
