PFSENSE: Squid + ADGroups + HTTPS
-
@JKQ что говорит kinit -p HTTP/squid.domain.local или kinit -p HTTP/squid.domain.local@DOMAIN.LOCAL?
-
-
@flamel У меня SquidGuard service state: STOPPED даже при отключенном Enable LDAP Filter
В логах
2020-01-23 11:57:17 [97845] squidGuard 1.4 started (1579769837.011) 2020-01-23 11:57:17 [97845] db update done 2020-01-23 11:57:17 [97845] squidGuard stopped (1579769837.013) 2020-01-23 11:57:22 [50130] squidGuard 1.4 started (1579769842.472) 2020-01-23 11:57:22 [50130] db update done 2020-01-23 11:57:22 [50130] squidGuard stopped (1579769842.473)
-
@JKQ не помню чтобы у меня без фильтра стартовал, по поводу фильтра проверяй точный путь до учётки, учётку должна быть та же что и для керберос, скобочки иногда исправляют ситуацию.
В моем случае такая проблема была из за сложности пароля, из за этого пришлось делать какой то просто пароль для учётки -
@flamel решил проверить работу без SquidGuard инет есть под любым пользователем и локальным и доменным.
Дошел до пункта
Это и есть наша аутентификация, уже сейчас можно проверить её работу, при попытке идти в интернет пользователю домена должно пускать, а если локальный пользователь то запрашивать логин\пароль.я так понимаю в теме нет никого у кого бы заработало
-
@JKQ если ты все правильно настроил то увидишь в логах либо посещение пользователей, либо попытки подключения и запросы логина\пароля.
На данный момент у меня все это работает с одновременным заходом 50+ пользователей, в том числе фильтрация по группам AD, завтра могу заскринить логи и конфиги того как это выглядит на работающей системе -
This post is deleted! -
This post is deleted! -
Удалил спорные моменты.
-
@flamel Если я верно понял. Доменный пользователь вводит пароль только один раз при входе в систему. Далее ему есть либо нет доступа к определенным сайтам. Так же собирается статистика по доменным пользователям, кто куда как часто ходил и тд. И плюс ко всему есть возможность блокировать видео и аудио поток. Все верно?
-
@modice все верно, единственное что с видео и аудио потоком не заморачивался, просто определенным группам заблокировал видеохостинги, включая Ютуб, на данный момент 100 пользователей успешно работают
-
@flamel В какую сторону копать чтоб не блокировать целиком сайт, а только видео и ауди поток с https?
-
@modice в сторону MIME, https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html
-
@modice
Что-то типа:# Blocked mime types
acl mmedia_block rep_mime_type -i ^.video.
acl mmedia_block rep_mime_type -i ^.audio.
acl mmedia_block rep_mime_type -i ^.flash.
acl mmedia_block rep_mime_type -i ^.application.Squid пользует PCRE-синтаксис.
RexExp-ы:Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак или
[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латиницеhttp:\\\\\.*\.mail\.ru\\.* - соответствует http:\\*.mail.ru\* .*\.mail\.ru.*\.(exe|zip)$ - соответствует *.mail.ru*.exe или *.mail.ru*.zip
Еще так можно:
pcre srvheader allow "Content-type: application/(.*java.*|pdf|.*excel.*|.*word.*|rtf|.*powerpoint.*|.*access.*|.*mswrite.*|.*cert.*)|text/(cmd|css|csv|html|.*java.*|vcard|xml)|image/" * 192.168.0.0/24 * pcre srvheader allow "Content-type: message|x-world" * 192.168.1.0/24 * pcre srvheader deny "Content-type: application|video|audio|text/" * 192.168.2.0/24 *
-
-
@modice
При "непрозрачном" точно сработает. Проверьте. -
@werter может глупый вопрос, но как? да, прокси не прозрачный, но трафик ведь шифрованный.
-
И даже в "прозрачном" работает )
https://wiki.squid-cache.org/Features/SslPeekAndSplice
https://habr.com/ru/post/267851/
nagibat0r
6 октября 2015 в 20:17
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атакиhttps://www.linux.org.ru/forum/admin/13207928
-
-
@modice
Да в чем угодно. Смотрите логи. И на Вин-сервере тоже.