Identificar usuarios con ip (squid con accesos por usuario)
-
A ver, estuve siguiendo este hilo, al principio se habla del problema por que los logs de squid no guardaban la IP/usuario, tengo mucho tiempo y nunca he tenido problema de esto, me huele a error en alguna aplicacion que no se almaceno bien cuando se instalo, no le veo otro por que.
Ahora al final veo que ya se mezcla CP+squid, en la version 2.0.x esto era un problema, habia hacks pero era algo muy complejo, creo que no hemos escuchado todo el planteamiento bien desde el principio.
Y no importa si usas LDAP, AD, Local Users, etc, squid siempre pone quien esta autenticando cuando esta bien configurado, es un software que tiene mucho tiempo, no creo que falle al menos que algo no se haya instalado bien.
Como comenta bellera, hay un hack en squid3 con cp que no he probado aun, pero no entiendo al final que en realidad pretendes llevar a cabo, si estas usando squid y habilitastes logs y diste de alta usuario+password, no hemos visto ninguno de tus logs.
SI tienes estos parametros configurados y cuando navegas te aparece la ventana de usuario+password. muestra esos logs para verlos.?
Saludos.
-
ok , lo pruebo y os comento.
Muchas Gracias. -
Buenas , cada vez estoy más perdido , si desactivo el portal cautivo y con squid arrancado , no me pide validación .
Lo pruebo con proy transparente y sin proyx transparente.
Os pego la config de squid.
Gracias
-
más capturas
-
Proxy transparente -> No admite autentificación, pues el navegador n sabe que tiene un proxy.
Por el resto, debería ir. ¿Probaste stop/start del proxy? Con los cambios igual hay algún lío.
Se me ocurre que verifiques que tu equipo no navega si el proxy está parado…
-
Acabo de probarlo , sin portal cautivo puedo navegar sin pedir autentificación , aunque arranque o tire el proxy .
Es como si el squid no me hiciera caso en acces control en allowed subnets tengo la dirección de la red . -
Allowed subnets no es necesario rellenarlo con la subred empleada con el proxy. Fíjate en la nota que hay debajo.
Pero eso no tiene importancia para la autentificación. Es simplemente para indicar qué IPs de origen pueden emplear el proxy.
Creo que no debes tener bien configurado el proxy en el navegador, pues normalmente si un navegador no encuentra un proxy impuesto, simplemente no navega.
Y como tu navegador va directo, no autentificas.
-
En el navegador tengo activado que detecte la config automaticamente, si activo el portal cautivo sale la pantalla de login si lo quito navego sin problemas , y con squid levantado o caido , esto antes no me pasaba
-
La detección automática de proxy NO funciona en muchos casos. Este tema está ampliamente detallado arriba, en Documentación.
Debes indicar el proxy por IP y puerto, tal como dije en la prueba realizada.
Después todo esto se puede afinar, según el entorno de trabajo (sistemas operativos, navegadores, topología de red…)
-
Hola Bellera , si especifico en los clientes el proxy en el navegador sí me pide validación squid y en los logs me muestra el usuario, todo esto sin tener activado el portal cautivo, el problema es que si no se indica el proxy los usuarios entran sin validación, esto es un problema grave , cómo puedeo solucionarlo?
GRacias.
-
Mediante ajuste de las reglas en LAN.
1. No dejes ir a los destinos TCP 80 (http), TCP 443 (https) y TCP 8000-8100 (http alternativos).
2. O mejor aún, autoriza en LAN sólo lo que sea estrictamente necesario. Eso también depende de tu infraestructura de red. Por ejemplo, si tienes un DNS y NTP locales y los usuarios siempre emplean correo web igual no necesitan ir directo a internet para nada.
Con una estructura así quien no tiene el proxy indicado en el navegador no puede navegar al exterior.
Según cuál sea la tipología de tus usuarios conviene emplear la segunda opción que te digo, pues hay muchas formas de evasión. Una de ellas es, por ejemplo, emplear conexiones TCP 22 (ssh) para usar proxys externos y poder así, navegar.
-
El problema es que el servicio que queremos dar , es una red de invitados y configurar los navegadores es algo engorroso , necesito algo más sencillo para los usuarios , que abran un navegador y automáticamente se les pida las credenciales y esas credenciales y acceso se puedan monitorizar y almacenar.
GRacias.
-
Entiendo… pero esto es cada vez más habitual...
Los usuarios, si precisan de internet, se amoldan a ello.
Ejemplos:
http://www.bib.ub.edu/index.php?id=51&L=1
http://www.upm.es/institucional/Estudiantes/Servicios_Red/OtrosServicios
-
Entonces no podría hacerlo sin tocar la configuración de los navegadores de los clientes?
GRacias. -
Bueno, esto es código libre (licencia BSD) y se pueden hacer muchas cosas si hay conocimiento y tiempo.
El problema es que el servicio que queremos dar , es una red de invitados
En un entorno como este supongo que precisais:
- Portal cautivo con autentificación
- Proxy transparente
- squid 3.x para soportar filtrado https (al estar el proxy en modo transparente)
Con eso y herramientas de análisis se podría relacionar el nombre de usuario logueado en el portal cautivo con su IP de cliente para "alterar" los logs de squid y tener en ellos el nombre de usuario y poder tener los datos de acceso por usuario.
Que yo sepa, esto no está heho.
Y, además…
Cuando de ejercen controles de este tipo hay que cumplir las leyes de la zona donde se esté, pues se puede vulnerar la privacidad de los usuarios.
-
Hola Bellera, me bastaría si lo pudiera relacionar de forma manual , la necesidad que tengo es poder relacionarlo.
Gracias. -
Bueno, pues entonces:
1. Activa Captive Portal con autentificación de usuario.
2. Monta un servidor de logs (syslog) para guardar los logs de Captive Portal y configúralo en Status - System logs - Settings para enviarle los logs. Más en http://forum.pfsense.org/index.php/topic,62881.msg339944.html#msg339944
3. Pon a squid + squidGuard a trabajar en modo transparente. Se supone que con squid 3.x también se pueden filtrar peticiones https. No lo he probado, http://forum.pfsense.org/index.php/topic,62256.0.html
-
ok , voy a probarlo y te cuento.
Muchas Gracias. -
Hola Bellera , he instalado el syslog-ng que trae pfsense en los paquetes opcionales .
en status - system logs le indico que envió los logs a un server remoto , le indico 127.0.0.1.
lo único que me saca es esto:Dec 27 14:29:20 pwifi syslog-ng[44454]: syslog-ng starting up; version='3.3.7'
Dec 27 14:39:20 pwifi syslog-ng[44454]: Log statistics; processed='center(received)=0', processed='center(queued)=0', processed='global(payload_reallocs)=0', processed='global(sdata_updates)=0', processed='source(_DEFAULT)=1', processed='src.internal(_DEFAULT#0)=1', stamp='src.internal(_DEFAULT#0)=1388150960', processed='global(msg_clones)=0', processed='destination(_DEFAULT)=1'
Dec 27 14:49:20 pwifi syslog-ng[44454]: Log statistics; processed='center(received)=0', processed='center(queued)=0', processed='global(payload_reallocs)=2', processed='global(sdata_updates)=0', processed='source(_DEFAULT)=2', processed='src.internal(_DEFAULT#0)=2', stamp='src.internal(_DEFAULT#0)=1388151560', processed='global(msg_clones)=0', processed='destination(_DEFAULT)=2'el servidor está habilitado pero no obtengo más logs que esto.
Tengo un usuario de pruebas navegando pero no me da información.
Cómo puedo obtener los logs de navegación por usuario?
GRacias. -
A mi no me sale esto, pero creo que el visualizador web de los logs no funciona.
Sin embargo, sí se registran los logs.
En http://forum.pfsense.org/index.php/topic,70846.0.html tienes explicada la situación.
