Squid + Autenticazione Windows + AD Windows 2008 R2 + W7

mayers81

Ciao io sono riuscito a fare queste due cose per il momento  ;D

Pfsense: proxy.domain.local
Dominio: domain.local
Pdc: 192.168.X.X Windows 2012
User: Administrator
Pwd: xxx

Services –-> Proxy Server ---> Authentication

Authentication method              LDAP
Authentication server              192.168.X.X
Authentication server port        389
Authentication prompt              proxy.domain.local
Authentication processes          5
Authentication TTL                  60
LDAP version                          3
LDAP server user DN                cn=Administrator,cn=Users,dc=domain,dc=local
LDAP password                      XXX
LDAP base domain                  dc=domain,dc=local
LDAP username DN attribute      cn=Users,dc=domain,dc=local
LDAP search filter                    sAMAccountName=%s

Facendo cosi impostando il proxy su un pc richiede utente e password per l'accesso!!!!!
Non fa l'autonegoziazione con il browser  ??? ??? e non richiede il dominio solo user e pwd

Tu sai dove si possono configurare le rules di squid????  ??? ??? ???

Tipo voglio che in un determinato orario un gruppo non vada su un sito ecc.....

mangano

ok. Tutto corretto squid non deve chiedere nessun dominio, controlla che l'utente e la password esistano nell'active directory, ma sopratutto è normale che un brosware non passi in maniera autonoma e automatica credenziali di dominio.

mangano

ho dimenticato la parte degli orari.
Con squidguard puoi applicare delle schedulazioni a dei gruppi di filtraggio.

PS: squidguard è un pacchetto  a parte.

xalex1977

salve,
ci sono novità su tale configurazione?
vorrei anche la possibilità di bloccare o attivare solo alcuni siti ad aalcuni utenti o gruppi già presenti in active directory;

chi mi può aiutare?
grazie

xalex1977

sono riuscito a configurare squid + squidguard , con autenticazione LDAP verso win 2008 AD;
ho creato gruppi con policy di blocco siti per utenti e altri abilitati solo ad alcuni siti, e funziona ….

ora vorrei capire come impostare la possibilità di attivare il proxy in automatico dopo il login su ie all'avvio dei pc che sono legati al dominio;

e soprattutto all'apertura del browser mi chiede sempre l'utente anche se windows e loggato correttamente con il profilo utente;

con forefront sul dominio era tutto automatico ....

xalex1977

ho un altro dubbio … l'autenticazione LDAP che fa squid è in chiaro non crittografata?
mi sembra un seri problema di sicurezza .... e anche quella di squidguard?
non ho trovato opzioni per la crittografia .... o altro

Kernel81

@xalex1977:

sono riuscito a configurare squid + squidguard , con autenticazione LDAP verso win 2008 AD;
ho creato gruppi con policy di blocco siti per utenti e altri abilitati solo ad alcuni siti, e funziona ….

ora vorrei capire come impostare la possibilità di attivare il proxy in automatico dopo il login su ie all'avvio dei pc che sono legati al dominio;

e soprattutto all'apertura del browser mi chiede sempre l'utente anche se windows e loggato correttamente con il profilo utente;

con forefront sul dominio era tutto automatico ....

Ciao, quello che chiedi lo puoi fare impostando una policy direttamente andando sul DC dell'active directory, oppure impostando il proxy Pfsense come trasparent proxy…

perciuss

Ciao, scusate, io sono ad un punto morto con squidguard. Con Squid mi chiede correttamente l'autenticazione, invece.
Come avete impostato squidguard? Anche a me servirebbero regole basate sui gruppi di AD.

Grazie dell'aiuto.

xalex1977

sto installando un nuovo pfsense 2.2 con squid3 +squidGuard-devel , attulamente qualcuno è riuscito a fare autenticazione basata su AD integrata?

xalex1977

ho trovato questo:

https://forum.pfsense.org/index.php?topic=59311.msg427759#msg427759

ma non riesco a capire bene di cosa ho bisogno e i passaggi da fare;
da quel poco che ho capito non è testato sulla versione 2.2, quindi potrei provare su una 2.1.4
qualcuno mi può aiutare? cosi magari se funziona alla fine scriviamo un tutorial per tutti …..
grazie

xalex1977

la mia configurazione:
pfsense 2.3.2 64bit
squid-3.5.19_1
squidguard-1.4_15

Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

potete aiutarmi?
grazie

xalex1977

@xalex1977:

la mia configurazione:
pfsense 2.3.2 64bit
squid-3.5.19_1
squidguard-1.4_15

Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

potete aiutarmi?
grazie

chi può aiutarmi a generare lo script come dicono qui?
http://lists.squid-cache.org/pipermail/squid-users/2014-November/000971.html

xalex1977

@xalex1977:

@xalex1977:

la mia configurazione:
pfsense 2.3.2 64bit
squid-3.5.19_1
squidguard-1.4_15

Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

potete aiutarmi?
grazie

chi può aiutarmi a generare lo script come dicono qui?
http://lists.squid-cache.org/pipermail/squid-users/2014-November/000971.html

qualcuno può aiutarmi a risolvere il problema dei nomi con lo spazio?
grazie