Usuarios en AD (Active Directory) y squid+squidGuard



  • ¿ ALguien sabra donde se encuentra esto: max_user_ip  authenticate_ip_ttl ?

    Buenas tardes
    Compañeros nuevamente tengo la misma duda, alguien que por favor me diga donde se configuran estos parametros, he preguntado en otros foros y nadie sabe darme respuesta, estos parametos son para impedir que el usuario comparta su usuario/clave para navegar por internet cuando se autentica contra el directorio activo, si esto no se configura entonces cualquier usuario podra usar unas credenciales que pueda navegar sin limites ni resticciones sin ser detectado.
    Necesito esta informacion ya que tengo un laboratorio perfectamente configurado con windows server 2012r2, un equipo w7 prof, y el pfsense verion 2.3.4. los usuarios se validan contra el directorio activo perfectamente, squidguard configurado sin problemas
    Carlos





  • Saludos vnet

    Se te ha respondido de diferentes formas y creo que no has interpretado bien las respuestas.

    Los parámetros que se te pasaron,  son de squid.  Pero pfsense en su menú web de squid no soporta esas opciones,  o mejor dicho no soporta al 100% todas las opciones del squid.  Esto sumado a que el archivo squid.conf del pfsense no se recomienda editar directamente.

    Ante lo anterior expuesto, existe una opcion dentro de:  Services … Squid Proxy Server ..... Prestaña General y te vas al final donde dice:

    SHOW ADVANCED OPTIONS

    y allí tienes las opciones, para setar aquellos parámetros de squid que por defecto pfsense no los tiene habilitados.

    Te adjunto imagen de referencia.

    Saludos y buena suerte.




  • Buenas Compañero
    repito la pregunta de diferentes maneras ya que no encuentro quien me diga a ciencia cierta donde se configura, las respuestas  que recibi son del foro y buscaba alguien que manejara estos parametros, que por lo visto son desconocidos para la mayoria de la personas, tomare en cuenta el ultimo post, haber que resulta, ya que este punto que planteo se esta registrando en muchos escenarios de pfsense, y vuelvo e incisto: si cualquiera de los usuarios usa una credencial prestada para navegar sin restriccion alguna, entonces el pfsense estara de segundo plano, tratare de configurar estas opciones y les dare los resultados de tenerlos positivos.
    Saludos



  • Vas al cielo y vas llorando.

    Se te dio la formula…  pero aquí te pongo un pedazo de un squid.conf donde aplique eso, autenticado con samba , winbind y squid ntml.

    1. deny_info ERR_ALLU maxuser

    Con esta acl personalice el error, para diferenciar un acceso denegado de pagina  y un acceso denegado por que el usuario ya tenia otra sesion abierta.

    1. acl maxuser max_user_ip -s 1

    Donde solo permiti un solo hosts, ahora si tu quieres poner 3 hosts por ejemplo seria: acl maxuser max_user_ip -s 3

    1. Y luego deniegas la ACL

    http_access deny maxuser

    Todo esta en el Squid, en realidad esto no tiene nada que ver con pfsense. Mucho hace pfsense con darnos las opciones básicas para poner a rodar squid.

    DONDE se setea lo que te acabo de poner? es las opciones que te dije en el mensaje anterior.



  • gracias ya lo pude configurar con una guia que me paso otro usuario que si lo aplico en pfsense, recuerden que si el cliente no posee toda esa infraestructura de autenticado con samba , winbind no se hace nada, hay que adaptarse a lo que pida el cliente. si hay un server 2012r2 para que hay que hacerle gastar dinero instalando un samba?
    Saludos



  • Que bueno que solventaste.

    Es correcto en lo que dices, el proyecto pf2ad de Luis Gustavo, te puede ayudar.

    Por eso ya jugar con opciones propias del squid con samba con winbind o kerberos…... es mejor un squid dedicado, yo prefiero usarlo con Debian.

    Ahora lo que si estrañare por que no he conseguido uno, es dejar una administracion web agradable para el squidguard.

    Webmin tenia antes el modulo, pero ya lo eliminaron.



  • Y cual es la guia ?