Squid+SquidGuard autenticados pelo AD- HELP!
-
Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?
Você está usando WPAD?
Abraços!
Jack -
Não.
O proxy está setado nas maquinas via GPO não é transparente. -
O proxy está setado nas maquinas via GPO não é transparente.
Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:
- Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.
-
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
Jack -
Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.
LFCavalcanti,
Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!
Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.
Abraços!
JackJackL,
No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.
Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".
-
O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.
Me pronuncio agora. :)
Estou ajudando na compilação do freeradius2, que inclui o Kerberos.
Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores. -
Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Valeu!
-
Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?
Esta sua pergunta já foi respondida nos posts deste mesmo tópico:
http://forum.pfsense.org/index.php/topic,45065.msg234944.html#msg234944
http://forum.pfsense.org/index.php/topic,45065.msg235558.html#msg235558Abraços!
Jack -
Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
-
Marcelo,
Cria uma conta no blog da comunidade e posta lá.
http://www.pfsense-br.org/blog/
Depois de publicado, cola o link aqui.
Site está off.
-
Até segunda acredito que ja esteja ok.
Aqui pra mim aparece erro de dns, não parece ser algo tão crítico.
-
Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?
Se puder adiantar e postar sem imagens ou então enviar por email eu agradeço. :D
-
Até segunda acredito que ja esteja ok.
O nosso blog está desde ontem novamente no ar: http://www.pfsense-br.org/blog/
Abraços!
Jack -
Pessoal, aqui vai o link do tutorial que fiz para resolver este problema, quem tiver problema ou dúvidas pode me mandar mensagens, vlw
link: http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/
-
Olá pessoal, antes de mais nada, um feliz ano novo para todos, muito sucesso neste ano e muitas realizações.
Bem, o que gostaria e que não faço a menor ideia de como proceder é, fazer com que as ACLs possam ser tratadas pelo SquidGuard, pois o mesmo possui bloqueio a muitos sites, o que facilita e muito o bloqueio.
Então como ficaria. Gostaria que fosse da seguinte maneira, no Ad iria criar grupos para cada departamento para o acesso a internet, outros usuários permaneceriam bloqueados e por isso mais um grupo a ser criado, através destes grupos quero que quando conectar na rede o SquidGuard possa ler estes usuários no Ad e verificar no grupo se esta pessoa tem permissão ou não.
Espero que alguém me ajude a fazer isso, agradeço desde já.
Att.
-
Muito bom o tuto, porem eu tenho uma dúvida.
No ambiente que tenho hoje é autenticado no AD, mas o usuário não precisa "Logar" quando vai navegar. Basta a autenticação inicial do windows para que funcione as permissões. Alguém sabe se tem como funcionar assim pelo pfsense? -
Instalando o samba na mão, você consegue fazer autenticação ntlm.
O Kerberos ainda estou procurando uma forma de compatibilizar.
-
Excelente o tutorial, obrigado por compartilhar.
Infelizmente essa limitação de ter que replicar manualmente grupos e usuários do AD dentro do Squidguard vai ser impraticável em redes com muitos usuários, ainda mais no meu caso que gerencio várias redes diferentes, com instalações diferentes do Pfsense.
Alguém tem alguma solução para essa limitação? ???
