Squid + Autenticazione Windows + AD Windows 2008 R2 + W7



  • salve a tutti,
    la mia domanda è relativa ad una configurazione di un pfsense con proxy squid con autenticazione basata su AD integrata (quindi senza richiesta di autenticazione da browser) con un dominio basato su sbs 2008 ed sbs 2011 e client W7 ed eventualmente windows XP.

    qualche tempo fa avevo fatto alcune prove, ma la versione di squid del package disponibile non era compatibile pienamente con windows 2008 e windows xp, ovvero se usavo un client di dominio xp, connesso ad AD sbs 2008, l'autenticazione integrata non funziona, se usavo un client windows 7 invece si, questo era dovuto ad un differente utilizzo di smb che portava squid a non leggere le credenziali.

    la mia domanda eh: è cambiato qualcosa? l'ultima volta ho dovuto installare squid su windows per poterlo usare… nel frattempo c'è stata qualche evoluzione?

    se qlc ha qualche esperienza in merito chiedo un aiuto... io da domani inizierò a studiare per trovare una soluzione :) ???



  • Anche io sarei interessata, tempo fa avevo prvato a fare la stessa cosa ma senza ottenere alcun risultato utile.
    Ciao



  • Ciao

    ;) ;) ;)

    Sono interessato anche io è sto studiando la stessa cosa

    Se ti va possiamo collaborare per poi costruire una guida?



  • Ciao io sono riuscito a fare queste due cose per il momento  ;D

    Pfsense: proxy.domain.local
    Dominio: domain.local
    Pdc: 192.168.X.X Windows 2012
    User: Administrator
    Pwd: xxx

    Services –-> Proxy Server ---> Authentication

    Authentication method              LDAP
    Authentication server              192.168.X.X
    Authentication server port        389
    Authentication prompt              proxy.domain.local
    Authentication processes          5
    Authentication TTL                  60
    LDAP version                          3
    LDAP server user DN                cn=Administrator,cn=Users,dc=domain,dc=local
    LDAP password                      XXX
    LDAP base domain                  dc=domain,dc=local
    LDAP username DN attribute      cn=Users,dc=domain,dc=local
    LDAP search filter                    sAMAccountName=%s

    Facendo cosi impostando il proxy su un pc richiede utente e password per l'accesso!!!!!
    Non fa l'autonegoziazione con il browser  ??? ??? e non richiede il dominio solo user e pwd

    Tu sai dove si possono configurare le rules di squid????  ??? ??? ???

    Tipo voglio che in un determinato orario un gruppo non vada su un sito ecc.....



  • ok. Tutto corretto squid non deve chiedere nessun dominio, controlla che l'utente e la password esistano nell'active directory, ma sopratutto è normale che un brosware non passi in maniera autonoma e automatica credenziali di dominio.



  • ho dimenticato la parte degli orari.
    Con squidguard puoi applicare delle schedulazioni a dei gruppi di filtraggio.

    PS: squidguard è un pacchetto  a parte.



  • salve,
    ci sono novità su tale configurazione?
    vorrei anche la possibilità di bloccare o attivare solo alcuni siti ad aalcuni utenti o gruppi già presenti in active directory;

    chi mi può aiutare?
    grazie



  • sono riuscito a configurare squid + squidguard , con autenticazione LDAP verso win 2008 AD;
    ho creato gruppi con policy di blocco siti per utenti e altri abilitati solo ad alcuni siti, e funziona ….

    ora vorrei capire come impostare la possibilità di attivare il proxy in automatico dopo il login su ie all'avvio dei pc che sono legati al dominio;

    e soprattutto all'apertura del browser mi chiede sempre l'utente anche se windows e loggato correttamente con il profilo utente;

    con forefront sul dominio era tutto automatico ....



  • ho un altro dubbio … l'autenticazione LDAP che fa squid è in chiaro non crittografata?
    mi sembra un seri problema di sicurezza .... e anche quella di squidguard?
    non ho trovato opzioni per la crittografia .... o altro



  • @xalex1977:

    sono riuscito a configurare squid + squidguard , con autenticazione LDAP verso win 2008 AD;
    ho creato gruppi con policy di blocco siti per utenti e altri abilitati solo ad alcuni siti, e funziona ….

    ora vorrei capire come impostare la possibilità di attivare il proxy in automatico dopo il login su ie all'avvio dei pc che sono legati al dominio;

    e soprattutto all'apertura del browser mi chiede sempre l'utente anche se windows e loggato correttamente con il profilo utente;

    con forefront sul dominio era tutto automatico ....

    Ciao, quello che chiedi lo puoi fare impostando una policy direttamente andando sul DC dell'active directory, oppure impostando il proxy Pfsense come trasparent proxy…



  • Ciao, scusate, io sono ad un punto morto con squidguard. Con Squid mi chiede correttamente l'autenticazione, invece.
    Come avete impostato squidguard? Anche a me servirebbero regole basate sui gruppi di AD.

    Grazie dell'aiuto.



  • sto installando un nuovo pfsense 2.2 con squid3 +squidGuard-devel , attulamente qualcuno è riuscito a fare autenticazione basata su AD integrata?



  • ho trovato questo:

    https://forum.pfsense.org/index.php?topic=59311.msg427759#msg427759

    ma non riesco a capire bene di cosa ho bisogno e i passaggi da fare;
    da quel poco che ho capito non è testato sulla versione 2.2, quindi potrei provare su una 2.1.4
    qualcuno mi può aiutare? cosi magari se funziona alla fine scriviamo un tutorial per tutti …..
    grazie



  • la mia configurazione:
    pfsense 2.3.2 64bit
    squid-3.5.19_1
    squidguard-1.4_15

    Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

    nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
    squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

    potete aiutarmi?
    grazie



  • @xalex1977:

    la mia configurazione:
    pfsense 2.3.2 64bit
    squid-3.5.19_1
    squidguard-1.4_15

    Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

    nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
    squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

    potete aiutarmi?
    grazie

    chi può aiutarmi a generare lo script come dicono qui?
    http://lists.squid-cache.org/pipermail/squid-users/2014-November/000971.html



  • @xalex1977:

    @xalex1977:

    la mia configurazione:
    pfsense 2.3.2 64bit
    squid-3.5.19_1
    squidguard-1.4_15

    Ho provato lo script "pf2ad", http://pf2ad.mundounix.com.br/en/index.html

    nel mio caso gli utenti dell'active directory sono nome+cognome con lo spazio in mezzo (es. Mario Rossi)
    squid 3 funziona, ma se abilito squidguard viene visto solo il cognome dell'utente quindi non viene riconosciuto nelle “groups acl” e per tutti prende di default la  “common acl” default.

    potete aiutarmi?
    grazie

    chi può aiutarmi a generare lo script come dicono qui?
    http://lists.squid-cache.org/pipermail/squid-users/2014-November/000971.html

    qualcuno può aiutarmi a risolvere il problema dei nomi con lo spazio?
    grazie


Log in to reply