Usuarios do Captive Portal no Squid
-
Pessoal,
existe previsao de o usuario logado no Captive Portal ser usado na autenticacao do squid, com proxy transparente? Parece ser uma funcionalidade tao obvia pra ainda nao estar implementada.
Jean Domingues
-
Já tem alguns dias que venho pesquisando uma forma de implementar isso, mas não parece ser algo tão simples… pelo que entendo, o Captive Portal fica escutando requisições na porta 80 e as direciona para a porta 8000 onde valida se o usuário está autenticado ou não...
Quando o usuário é validado, ele é redirecionado ao Squid (isso se vc usar o Squid é claro)... nesse momento ele pedirá a autenticação usada pelo Squid... aí vem minha dúvida, em modo Proxy Transparente eu não consigo autenticar usuários, devendo setar o proxy e porta no browser... se utilizar o Squid3 eu até consigo bloquear os usuários não autenticados no Captive Portal a acessar a internet, mas não consigo visualizar nos logs do Squid os usuários do Captive Portal...
Existe essa possibilidade? De ver os logins dos usuários do Cative Portal nos relatórios do Squid?!? No meu caso, usar a autenticação do Captive Portal já seria suficiente, não precisando autenticar no Squid novamente.
Pergunto isso, pois no cenário que tento implementar, os usuários chegam no proxy com o IP nateado dos hot spots espalhados na empresa, o que impede de identificar quem está acessando o que na internet, já que o ip nos logs é do hot spot e não da máquina do usuário. Outro detalhe nesse cenário, é que após o primeiro usuário se validar no Captive Portal os demais não se autenticam, devido o IP e MAC serem do hot spot e não do usuário. Infelizmente nesse cenário não posso trabalhar com o hot spot em modo bridge, o que resolveria meu problema, porém, ainda não teria os logs de acesso por usuário, apenas por ip.
Grande marcelloc se você puder ajudar, eu agradeço.
-
Não sou um entendedor do assunto, mas faço a seguinte pergunta? Se o captive portal repassa a requisição http para o squid, não seria possível que ele simplesmente passasse o usuário para o mesmo, da mesma forma que o web browser? Parece simples para um leigo (hehehehe). Bom, neste caso o proxy não poderia ser transparente, eu sei, mas já que ele intercepta as requisições mesmo, é meio caminho andado, ne? Dai, bastaria, num primeiro momento, ter o mesmo usuario e senha criados no squid (ou ja fazer isso por LDAP ou SMB). Num segundo momento, seria unir a base de usuarios (o que seria feito replicando os usuarios atraves de um deamon, por exemplo).
-
Se o captive portal repassa a requisição http para o squid.
Não, ele não repassa. O que acontece é uma segunda regra de forward.
Quando o usuario não esta autenticado, a primeira regra joga o usuário no captive.
Depois de autenticar, o firewall pula esta regra e vai para a proxima(Que pode ser um novo forward se o proxy transparente estiver marcado).att,
Marcello Coutinho -
Opa, Marcello.
Valeu pelo esclarecimento. É que é seria uma grande funcionalidade. Varios sites apresentam problemas com o cache do squid. Dai, pra desviarmos, temos que ficar criando regras no firewall, e assim a gente perde o log de acessos tambem.
Com o proxy transparente, da pra desviar do cache pelo proprio squid, e ainda ter o beneficio do log de acesso. A autenticacao ficaria por conta do Captive. Acho que meu raciocinio esta correto, ne?
Ate mais.
-
Grande marcelloc se você puder ajudar, eu agradeço.
Respondi no outro topico.
http://forum.pfsense.org/index.php/topic,52512.msg280574.html#msg280574
att,
Marcello Coutinho