Squid transparente proxy com filtro por grupos do AD
-
Olá, tenho tentado implantar um servidor proxy transparente com um filtro por grupos do AD. Porém me deparei com alguns problemas:
-
O proxy não esta aceitando os filtros que estou adicionando. Quando coloco o proxy na minha maquina para testar, ele bloqueia todos os sites da internet. Coloco os filtros em allow ou em WhiteList e mesmo assim esses filtros são ignorados.
-
Criei os grupos ACL por departamento aqui na empresa e coloquei o filtro LDAP. Acredito que o squid não esteja separando os usuários por grupo.
Não sei se resolvendo o primeiro problema resolveria esse segundo problema também.
Agradeço muito quem poder contribuir com qualquer informação que me ajude a progredir em qualquer uma dessas situações.
-
-
@Vinícius proxy transparente não faz autenticação, tem muito tempo que não uso Squid, mas digo isso com 99% de certeza que proxy transparente não faz autenticação no AD não.
-
@mcury nas configurações dos grupos ACL mostra que tem como filtrar pelo LDAP. Por isso achei que poderia fazer esse filtro com AD.
Então como eu poderia fazer esse controle por grupo usando o proxy transparente sem o AD?
-
@Vinícius said in Squid transparente proxy com filtro por grupos do AD:
nas configurações dos grupos ACL mostra que tem como filtrar pelo LDAP. Por isso achei que poderia fazer esse filtro com AD.
O transparente, o client não tem ideia de que existe proxy, e portanto, não envia nome de usuário para o proxy, ele simplesmente envia o pacote para o destino, e o proxy intercepta.
No proxy explícito, o cliente tem conhecimento do proxy e envia os pacotes para ele ao invés de enviar para o site, e portanto, aceita autenticação.
Para que você faça autenticação por grupo no AD, você precisa usar o proxy explícito e configurar o ldapusersearch de acordo com o grupo em questão.
No entanto, essa configuração que você está fazendo não vai fazer o SSO, vai pedir usuário e senha toda hora que o cliente abrir e fechar o navegador, e também as vezes do nada.
Quando eu utilizava proxy dessa forma, eu usava o Kerberos, onde máquinas do domínio geravam um ticket de autenticação com o proxy, não pedindo assim, usuário e senha.
Na época, eu segui esse tutorial aqui: https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/Vale ressaltar que, o uso de Squid será descontinuado no pfSense, já houve até um comunicado oficial da Netgate.
Só não sei quando de fato isso vai acontecer. -
Obrigado, consegui entender oque você disse.
Eu soube que o squid será descontinuado, instalei ate uma VM com o endia para ficar como uma segunda opção.
Vou testar os dois pra ver qual se encaixaria melhor para o meu proposito.
Teria alguma recomendação de pacote do pfsense que poderia substituir o squid?
-
@Vinícius said in Squid transparente proxy com filtro por grupos do AD:
Teria alguma recomendação de pacote do pfsense que poderia substituir o squid?
No momento, tem o pfBlockerNG DNSBL.
Não aceita autenticação, quem utilizar o DNS do pfSense, vai ser filtrado pelo pfBLockerNG.
Tem a possibilidade de fazer bypass de clientes lá, por IP.
Você utilizaria listas de bloqueios, como gambling, porn, social media, esse tipo de coisa. -
@mcury Vlw, vou dar uma pesquisada sobre.