Benutzer Auth an Dansguardian / Squi Guard wie bei Astaro?

testosteron

Hey alle zusammen!

Muss ehrlich zugeben dass ich ein bekennender Freund von Astaro bin.
Im Moment versuche ich mit einer pfSense das nachzubauen was bei Astaro kein Problem ist:

Transparenter Proxy + Benutzerauthentifizierung.
Dies wird benötigt da verschiedene Benutzergruppen verschieden Rechte im Internet bekommen sollen (also Filter via Dansguardian / Squi Guard)

Bei der Astaro erscheint einfach eine Webseite (von der Astaro) an der ich mich anmelde. Danach kann ich surfen.
Wie kann ich das bei pfSense verwirklichen?

Viele Grüße

Christian

Nachtfalke

Du wählst ebenfalls transparenter proxy in squid und wählst in squid bei "User Auth" wo deine benutzer gespeichert sind. also radius, lokal oder LDAP etc.

Surft nun ein user los, erscheint beim ersten versuch eine webseite zu öffnen, ein browser/betriebssystem eigenes fenster und fordert den benutzernamen und das kennwort.

Das wars. Dafür reicht erstmal ganz alleine squid.
SquidGuard filtert ja sowieso nur den verkehr und blockt oder erlaubt. Wenn die authentifizierung des nutzers am squid schon fehlschlägt,. kommt squidguard gar nicht zum tragen, da der user ja keinen verkehr generiert.

Was DansGuarding letzten endes noch für Optionen bietet, weiss ich nicht.

testosteron

Ach, mist vergessen zu erwähnen dass es im Transparenten Modus laufen muss!

Es gibt auch ein WLAN wo alle möglichen Handy / Notebooks angemeldet werden können (mehr oder weniger öffentlich).
Und grade beim iPhone hatte ich bis jetzt große Probleme wenn ich die Proxyeinstellungen automatisch ermitteln lasse.

marcelloc

@testosteron:

Bei der Astaro erscheint einfach eine Webseite (von der Astaro) an der ich mich anmelde. Danach kann ich surfen.
Wie kann ich das bei pfSense verwirklichen?

Sie können das Captive Portal, um einen Bildschirm vor der Authentifizierung zu öffnen.

Übersetzt von Google  ;)

testosteron

@marcelloc:

Sie können das Captive Portal, um einen Bildschirm vor der Authentifizierung zu öffnen.

Damit kann man sich aber nicht an Squid anmelden.
Es geht ja darum dass die Benutzer "überwacht" werden wo sie sufen.
(bevor der Aufschrei kommt: Alle Nutzer wissen drüber bescheid)

Nachtfalke

@testosteron
Ich habe natürlich Unsinn geredet…im transparenten Modus läuft das Ganze natürlich nicht.

Aber marcelloc sagt es bereits.
Du könntest stattdessen ja das CaptivePortal nutzen um den Leuten grundsätzlich Zugang zu erlauben oder Zugang zu verbieten.
Den SQUID kannst du weiterhin dann transparent laufen lassen und seiten mit squidguard und/oder dansguarding blocken/filtern.

Das CaptivePortal kannst du an die lokale pfsense userdatenbank anbinden oder an einen RADIUS (freeradius2 package). Hast du deine user im LDAP, kannst du das mit dem RADIUS verbinden.

testosteron

Okay, und wie bekomme ich dann raus welcher User auf welcher Seite war?
Beim CaptivePortal sehe ich ja nur wer sich wann angemeldet hat. Oder?