Autenticação não funciona [Squid+Squidguard]



  • Galera, antes quero agradecer a comunidade, consegui fazer o Pfsense funcionar graças a muita leitura nos tópicos deste fórum, não sei se esta tudo da forma certa, mais aos poucos com estudo e a ajuda dos colegas chego lá  ;D

    O problema é o seguinte, sou muito noob nesse assunto todo e para conseguir colocar o Squidguard para filtrar os acessos, tive que liberar tudo no Squid.

    Como eu fiz isso? Adicionei um "ponto" na whitelist do Squid! Dessa forma o Squid deixa passar tudo e os filtros do Squidguard funcionam muito bem fazendo os filtros com a Blacklist do Shalla's! Ta certo isso?

    Pergunto, porque ao fazer isso a autenticação de usuários (local mesmo) não funciona, se eu tiro o "ponto" da whitelist a autenticação volta a funcionar, mais quem faz o filtro é o Squid, ai ele bloqueia tudo.

    Existe uma forma mais "correta" de fazer o Squid liberar tudo, ou esse conceito esta totalmente errado?

    Obrigado a todos galera, um abraço!



  • Olá Amigo,

    para liberar o acesso a rede no squid, coloca na aba ACLS no campo "Allowed subnets" o endereço da sua rede. Exemplo 192.168.0.0/24, a whitelist( me corrijam se eu estiver errado) é para endereços que você deseja liberar sem passar pelo squid.

    No squidguard
    vc pode filtrar pela lista do shallalist e criar grupos de usuários com bloqueio e sem bloqueio, criar regras de acesso na aba target categories, (bloqueios por palavras, domínios etc..) na tela times dá para criar regra de acesso para liberar por horários

    dicas
    depois que criar as regras de bloqueio, elas estarão disponíveis, da mesma forma que a shallalist você acessa a regra que cricou em grupo de usuários e decide se deseja liberar " Allow", "whithlist, ou bloquear, "deny",

    sempre que realizar alguma alteração nas regras, vá na aba general settings e clica em aplly para aplicar as atualizações.

    espero ter ajudado.

    abraços,

    diego lela



  • Ola amigo, muito obrigado por sua resposta, mais meu problema era mais referente a autenticação, na questão de liberação por grupos esta tudo certo!

    Consegui resolver o problema adicionando no campo "Custom Options" do Squid as seguintes linhas;

    acl password proxy_auth REQUIRED;
    http_access allow password;

    Com isso, agora liberando com um "ponto" na whitelist do Squid, o Squidguard requer autenticação, fiz um teste com usuários locais e ta tudo certo, agora vou partir para a integração com o AD 2008 e liberação por grupos, sera que, com estas linhas vai funcionar da mesma forma?

    Valeu galera.



  • @castrofrota:

    Consegui resolver o problema adicionando no campo "Custom Options" do Squid as seguintes linhas;

    acl password proxy_auth REQUIRED;
    http_access allow password;

    Você habilitou a autenticação no squid? esta acl é criada automaticamente quando se escolhe um método de autenticação.



  • Sim, local ta funcionando blz, agora to com dificuldades para integrar com o AD, essas linhas funcionam também para integrar com o AD 2003 R2?

    Valeu galera.



  • Consegui!

    Agora esta buscando os usuários no AD!

    Estou tentando agora fazer o SquidGuard filtrar esses usuários.

    Ativei o "LDAP Filter" na aba "General" do SquidGuard e preenchi os campos igual do Squid.

    Na aba "Common ACL" dei um "deny" para "all".

    Na aba "Groups ACL" dei um "deny" para "all" (para fazer um teste e ver se iria travar), e no campo "Client Source" preenchi da seguinte forma;

    ldapusersearch ldap://10.140.30.5/DC=lsltr01,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internetblock%2cOU=Users%2cDC=lsltr01%2cDC=com))

    Sendo que, no meu AD tenho a OU "Users" com um grupo que chama "internetblock", dentro desse grupo adicionei um user de teste.

    Mesmo com toda essa configuração esta passando tudo! É solicitado autenticação, mas mesmo com esse usuário de teste como qualquer outro users, ao autenticar é liberado o acesso a qualquer pagina.

    Alguém pode me dar alguma dica?

    Obrigado galera.



  • Já tentou buscar os usuarios com o outro método via script?



  • Estava olhando esse post agora;

    http://forum.pfsense.org/index.php/topic,47100.0.html

    Li ele de cabo a rabo… pelo que entendi a versão mais recente do script é essa né?

    https://github.com/ccesario/public/blob/master/squiguard_ldap.php

    Ou seria essa?

    https://github.com/downloads/marcelloc/pfsense-packages/squidguard_ldap.php

    Vou fazer um bkp do meu PFSense e tentar aplicar agora.

    Obrigado.



  • Acabei largando SquidGuard e fui para o Dansguardian, em 5 minutos já estava buscando os grupos no AD sem problemas, bem melhor hein galera, pelo menos no meu caso.

    Ta quase tudo redondo agora, a unica coisa que falta eu tentar dar um jeito é… a cada vez que os usuários abrem o browser é solicitado autenticação, mesmo marcando a opção de salvar as credenciais, alguém sabe como resolver?

    Muito obrigado a todos os amigos que ajudaram.



  • Autenticação transparente só com samba/ntlm.

    Veja nos tutoriais.  É mais trabalhoso mas funciona.



  • Valeu marcelloc, muito obrigado pelas dicas.

    Já coloquei o "proxy" para alguns usuários, parece que ta muito bom!

    Mais já tenho dois problemas, a mensagem de bloqueio do DansGuarddian não aparece para paginas HTTPS, e a pagina da "Conectividade Social ICP" (como sempre) ta dando problemas, mesmo liberando a página nas exceções ou liberando tudo, a maldita se recusa a abrir, aparece uma mensagem de erro do IE com a mensagem, "•Este site requer que você faça logon.".

    Alguém sabe o motivo?



  • Vacilei, esqueci de conectar o leitor/token para testar o conectividade  :o

    Mais o problema da tela de block em HTTPS persiste  :-\



  • @castrofrota:

    Mais o problema da tela de block em HTTPS persiste  :-\

    Você só consegue exibir uma página de erro https interceptando o ssl.

    fora isso, só a mensagem de conexão recusada mesmo.