Autenticação não funciona [Squid+Squidguard]
-
Olá Amigo,
para liberar o acesso a rede no squid, coloca na aba ACLS no campo "Allowed subnets" o endereço da sua rede. Exemplo 192.168.0.0/24, a whitelist( me corrijam se eu estiver errado) é para endereços que você deseja liberar sem passar pelo squid.
No squidguard
vc pode filtrar pela lista do shallalist e criar grupos de usuários com bloqueio e sem bloqueio, criar regras de acesso na aba target categories, (bloqueios por palavras, domínios etc..) na tela times dá para criar regra de acesso para liberar por horáriosdicas
depois que criar as regras de bloqueio, elas estarão disponíveis, da mesma forma que a shallalist você acessa a regra que cricou em grupo de usuários e decide se deseja liberar " Allow", "whithlist, ou bloquear, "deny",sempre que realizar alguma alteração nas regras, vá na aba general settings e clica em aplly para aplicar as atualizações.
espero ter ajudado.
abraços,
diego lela
-
Ola amigo, muito obrigado por sua resposta, mais meu problema era mais referente a autenticação, na questão de liberação por grupos esta tudo certo!
Consegui resolver o problema adicionando no campo "Custom Options" do Squid as seguintes linhas;
acl password proxy_auth REQUIRED;
http_access allow password;Com isso, agora liberando com um "ponto" na whitelist do Squid, o Squidguard requer autenticação, fiz um teste com usuários locais e ta tudo certo, agora vou partir para a integração com o AD 2008 e liberação por grupos, sera que, com estas linhas vai funcionar da mesma forma?
Valeu galera.
-
Consegui resolver o problema adicionando no campo "Custom Options" do Squid as seguintes linhas;
acl password proxy_auth REQUIRED;
http_access allow password;Você habilitou a autenticação no squid? esta acl é criada automaticamente quando se escolhe um método de autenticação.
-
Sim, local ta funcionando blz, agora to com dificuldades para integrar com o AD, essas linhas funcionam também para integrar com o AD 2003 R2?
Valeu galera.
-
Consegui!
Agora esta buscando os usuários no AD!
Estou tentando agora fazer o SquidGuard filtrar esses usuários.
Ativei o "LDAP Filter" na aba "General" do SquidGuard e preenchi os campos igual do Squid.
Na aba "Common ACL" dei um "deny" para "all".
Na aba "Groups ACL" dei um "deny" para "all" (para fazer um teste e ver se iria travar), e no campo "Client Source" preenchi da seguinte forma;
ldapusersearch ldap://10.140.30.5/DC=contoso,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internetblock%2cOU=Users%2cDC=contoso%2cDC=com))
Sendo que, no meu AD tenho a OU "Users" com um grupo que chama "internetblock", dentro desse grupo adicionei um user de teste.
Mesmo com toda essa configuração esta passando tudo! É solicitado autenticação, mas mesmo com esse usuário de teste como qualquer outro users, ao autenticar é liberado o acesso a qualquer pagina.
Alguém pode me dar alguma dica?
Obrigado galera.
-
Já tentou buscar os usuarios com o outro método via script?
-
Estava olhando esse post agora;
http://forum.pfsense.org/index.php/topic,47100.0.html
Li ele de cabo a rabo… pelo que entendi a versão mais recente do script é essa né?
https://github.com/ccesario/public/blob/master/squiguard_ldap.php
Ou seria essa?
https://github.com/downloads/marcelloc/pfsense-packages/squidguard_ldap.php
Vou fazer um bkp do meu PFSense e tentar aplicar agora.
Obrigado.
-
Acabei largando SquidGuard e fui para o Dansguardian, em 5 minutos já estava buscando os grupos no AD sem problemas, bem melhor hein galera, pelo menos no meu caso.
Ta quase tudo redondo agora, a unica coisa que falta eu tentar dar um jeito é… a cada vez que os usuários abrem o browser é solicitado autenticação, mesmo marcando a opção de salvar as credenciais, alguém sabe como resolver?
Muito obrigado a todos os amigos que ajudaram.
-
Autenticação transparente só com samba/ntlm.
Veja nos tutoriais. É mais trabalhoso mas funciona.
-
Valeu marcelloc, muito obrigado pelas dicas.
Já coloquei o "proxy" para alguns usuários, parece que ta muito bom!
Mais já tenho dois problemas, a mensagem de bloqueio do DansGuarddian não aparece para paginas HTTPS, e a pagina da "Conectividade Social ICP" (como sempre) ta dando problemas, mesmo liberando a página nas exceções ou liberando tudo, a maldita se recusa a abrir, aparece uma mensagem de erro do IE com a mensagem, "•Este site requer que você faça logon.".
Alguém sabe o motivo?
-
Vacilei, esqueci de conectar o leitor/token para testar o conectividade :o
Mais o problema da tela de block em HTTPS persiste :-\
-
Mais o problema da tela de block em HTTPS persiste :-\
Você só consegue exibir uma página de erro https interceptando o ssl.
fora isso, só a mensagem de conexão recusada mesmo.
