Squid+SquidGuard autenticados pelo AD- HELP!



  • Olá pessoal, antes de mais nada, um feliz ano novo para todos, muito sucesso neste ano e muitas realizações.

    Bem, o que gostaria e que não faço a menor ideia de como proceder é, fazer com que as ACLs possam ser tratadas pelo SquidGuard, pois o mesmo possui bloqueio a muitos sites, o que facilita e muito o bloqueio.

    Então como ficaria. Gostaria que fosse da seguinte maneira, no Ad iria criar grupos para cada departamento para o acesso a internet, outros usuários permaneceriam bloqueados e por isso mais um grupo a ser criado, através destes grupos quero que quando conectar na rede o SquidGuard possa ler estes usuários no Ad e verificar no grupo se esta pessoa tem permissão ou não.

    Espero que alguém me ajude a fazer isso, agradeço desde já.

    Att.



  • Já pesquisou nos tutoriais na parte de cima do forum?



  • @marcelloc:

    Já pesquisou nos tutoriais na parte de cima do forum?

    Já pesquisei, porém não tem nada que relacione os dois pacotes.



  • Posso estar errado, mas parece que o squidguard só faz grupos por ip.

    Se for o caso, você é mais um na lista dos que aguardam o pacote do dansguardian…

    http://forum.pfsense.org/index.php/topic,43758.0.html



  • marcelo,

    Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052

    Abraços!
    Jack



  • @JackL:

    marcelo,

    Leia na íntegra e com atenção este tutorial: http://www.jack.eti.br/www/?p=3052

    Abraços!
    Jack

    Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.



  • @marcelo:

    Já havia lido este tópico, porém ele serve apenas para autenticar usando o squid. Minha vontade é autenticar com o squid, mas que os grupos possam ser alinhados com o squidguard. Assim poderei bloquear por exemplo a acl !porno, assim que o grupo bloqueado acessar irá dar a mensagem de acesso negado.

    Faça com que o seu pfSense se autentique no seu AD: http://forum.pfsense.org/index.php/topic,44689.0/topicseen.html

    Depois você pode usar a base de usuários em basicamente qualquer pacote que admita isso (inclusive SquidGuard)! ;)

    Abraços!
    Jack



  • Fiz os procedimentos como estava no site, deu certo, mas com outros pacotes, logo o processo, descobri que o squidguard assim como o squid não fazem parte deste recurso.



  • Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??



  • @mantunespb:

    Isso que dizer que não posso integrar os Usuários no AD com o squid e squidguard é isso ??

    A integração com squid funciona, veja neste link postado pelo JackL um dos tutoriais sobre como habilitar a autenticação no squid

    http://www.jack.eti.br/www/?p=3052



  • @marcelloc:

    A integração com squid funciona…

    Em teoria deveria estar funcionando já com o Squid/SquidGuard. De todo modo, agora que você já fez o pfSense em si autenticar no AD, basta escrever no arquivo de config. pra "se aproveitar" desta autenticação (conforme tutorial (RE)mencionado pelo marcelloc).

    ;)

    Abraços!
    Jack



  • Aproveitando o assunto gostaria de fazer uma pergunta.
    Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?



  • @leandruco:

    Essa autenticação é transparente? Hoje no meu proxy atual essa autenticação é transparente ou seja o usuário só precisa digitar a senha quando liga o computador, na hora de navega não ´s solicitado novamente. Desta forma mencionada também funciona assim?

    Você está usando WPAD?

    Abraços!
    Jack



  • Não.
    O proxy está setado nas maquinas via GPO não é transparente.



  • @leandruco:

    O proxy está setado nas maquinas via GPO não é transparente.

    Certo… então vai funcionar normalmente no seu ambiente. Pode autenticar o pfSense no AD e se "aproveitar" da base de usuários! ;)

    Abraços!
    Jack



  • Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

    Sobre as ACLs no Squidguard, funcionam perfeitamente! Só que por IP ou por nome de usuário, no caso o usuário de dominio.
    Para que as ACLs funcionem por grupo é preciso fazer modificações no Squid.conf, mas sem usar o Squidguard.

    Uma das redes que administro possui 192 usuários e todos autenticando no Squid integrado ao Active Directory. Lá existem duas ACLs especiais no Squidguard para os Diretores e outra para uma equipe de Engenheiros que possui acessos diferenciados. Eu simplesmente coloco o nome dos usuários nas configurações da Group ACL e pronto. O formato é assim:

    • Quero que o usuário Júlio faça parte da ACL "ACESSOS 2", nas configurações coloque 'julio' , isso mesmo, entre apóstrofes.


  • @LFCavalcanti:

    Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

    LFCavalcanti,

    Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!

    Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.

    Abraços!
    Jack



  • @JackL:

    @LFCavalcanti:

    Até a versão atual do Squid não há como fazer Integração com o AD no modo Transparente.

    LFCavalcanti,

    Se ele está forçando a autenticação via GPO (isso não é proxy transparent - é proxy autenticado que ele está automatizando a autenticação no browser via GPO), ele pode se continuar usando a tática (que segundo o próprio leandruco já está em produção) e seguir o resto das tuas dicas!

    Nota: Autenticação não combina com proxy transparente… a menos que você use recursos como o WPAD.

    Abraços!
    Jack

    JackL,

    No caso ele não está usando WPAD, o que ele fez foi criar uma GPO que insere as configurações de Proxy no navegador automaticamente.

    Eu também só quis ilustrar que o Squid em modo Transparente não suporta autenticação ainda. Há uma mobilização da comunidade nesse sentido, mas até agora ainda não incluiram nos objetivos "a curto prazo".

    O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.

    Uma sugestão é usar o SARG quando o Squid é autenticado, fica impossivel um usuário negar que fez alguma "burrada", pois os relatórios são bem elaborados. A vantagem do SARG sobre o Lightsquid são os Gráficos e o "contador de tempo".



  • O Marcelloc havia comentado sobre autenticar utilizando o Kerberos, mas ele não se pronunciou mais a respeito.

    Me pronuncio agora. :)

    Estou ajudando na compilação do freeradius2, que inclui o Kerberos.

    Mas infelizmente o kerberos ainda tem dependências quebradas no pfsense.
    Forcando a instalação do heimdal(versão do Kerberos para pfsense) funciona mas é uma sobreposição de pacotes dependentes que pode gerar problemas piores.



  • Na minha rede o pfsense esta autenticando no AD, na aba Diagnostics > Authentication eu consigo autenticar com qualquer usuario do meu dominio, mas na hora de acessar a internet, ele não acessa utilizando os usuarios do AD.

    Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?

    Valeu!



  • @sonicstark:

    Existe mais algum procedimento que eu precise executar para conseguir fazer com que utilizando os mesmos usuarios do AD, eu possa acessar a internet?

    Esta sua pergunta já foi respondida nos posts deste mesmo tópico:

    http://forum.pfsense.org/index.php/topic,45065.msg234944.html#msg234944
    http://forum.pfsense.org/index.php/topic,45065.msg235558.html#msg235558

    Abraços!
    Jack



  • Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?



  • Marcelo,

    Cria uma conta no blog da comunidade e posta lá.

    http://www.pfsense-br.org/blog/

    Depois de publicado, cola o link aqui.



  • @marcelloc:

    Marcelo,

    Cria uma conta no blog da comunidade e posta lá.

    http://www.pfsense-br.org/blog/

    Depois de publicado, cola o link aqui.

    Site está off.



  • Até segunda acredito que ja esteja ok.

    Aqui pra mim aparece erro de dns, não parece ser algo tão crítico.



  • @marcelo:

    Pessoal, consegui fazer, tive alguns problemas mas consegui. quero pedir a vocês como posso mandar meu tutorial com fotos para que vocês possam estudar?

    Se puder adiantar e postar sem imagens ou então enviar por email eu agradeço.  :D



  • @marcelloc:

    Até segunda acredito que ja esteja ok.

    O nosso blog está desde ontem novamente no ar: http://www.pfsense-br.org/blog/

    Abraços!
    Jack



  • Pessoal, aqui vai o link do tutorial que fiz para resolver este problema, quem tiver problema ou dúvidas pode me mandar mensagens, vlw

    link: http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/



  • @marcelo:

    Olá pessoal, antes de mais nada, um feliz ano novo para todos, muito sucesso neste ano e muitas realizações.

    Bem, o que gostaria e que não faço a menor ideia de como proceder é, fazer com que as ACLs possam ser tratadas pelo SquidGuard, pois o mesmo possui bloqueio a muitos sites, o que facilita e muito o bloqueio.

    Então como ficaria. Gostaria que fosse da seguinte maneira, no Ad iria criar grupos para cada departamento para o acesso a internet, outros usuários permaneceriam bloqueados e por isso mais um grupo a ser criado, através destes grupos quero que quando conectar na rede o SquidGuard possa ler estes usuários no Ad e verificar no grupo se esta pessoa tem permissão ou não.

    Espero que alguém me ajude a fazer isso, agradeço desde já.

    Att.



  • Muito bom o tuto, porem eu tenho uma dúvida.
    No ambiente que tenho hoje é autenticado no AD, mas o usuário não precisa "Logar" quando vai navegar. Basta a autenticação inicial do windows para que funcione as permissões. Alguém sabe se tem como funcionar assim pelo pfsense?



  • Instalando o samba na mão, você consegue fazer autenticação ntlm.

    O Kerberos ainda estou procurando uma forma de compatibilizar.



  • Excelente o tutorial, obrigado por compartilhar.
    Infelizmente essa limitação de ter que replicar manualmente grupos e usuários do AD dentro do Squidguard vai ser impraticável em redes com muitos usuários, ainda mais no meu caso que gerencio várias redes diferentes, com instalações diferentes do Pfsense.
    Alguém tem alguma solução para essa limitação?  ???



  • Realmente, alguém poderia nos ajudar sobre este problema. Vi que no squidguard.conf tem a variável atrelada aos nomes, mas teria alguma forma adicionar a variável ou o código que buscasse as informações no ad??? Um porém disso é que no grupo adicionado ele pega informação que já vem sendo lido no squid e de quebra tenta reconhecer se aquele nome está em algum grupo formado no squidguard. caso tenha ele deixa passar, caso não tenha ele adiciona o grupo default.

    Tem que haver alguma forma de resolver isto. Ou temos que largar de mão do squidguard e partir para outro tipo de pacote que faz algo semelhante ao squidguard???

    Sugestões são bem vindas…



  • O Jack já postou aqui como fazer para o squidguard filtrar por usuário, da uma olhada no forum.

    Uma alternativa ao squidguard é o dansguardian(ou o inverso se o fator de comparação for financeiro).



  • @marcelloc:

    O Jack já postou aqui como fazer para o squidguard filtrar por usuário, da uma olhada no forum.

    Segue novamente: http://www.jack.eti.br/www/?p=3052 ;)

    Abraços!
    Jack



  • @marcelloc:

    Instalando o samba na mão, você consegue fazer autenticação ntlm.

    O Kerberos ainda estou procurando uma forma de compatibilizar.

    Marcelo,

    Você tem esse tutorial de como instalar o samba na mão para conseguir utilizar o ntlm ?

    Obrigado.




Log in to reply