Squid+SquidGuard+Autenticação LDAP - Falha ao bloquear usuários



  • Olá a todos!

    Utilizo o Pfsene com Squid + SquidGuard autenticando via LDAP para aproximadamente 2.000 usuários. Tenho cinco grupos criados no AD para difinir no SquidGuard o nível de acesso dos usuários, ex: AcessoRestrito, AcessoTotal, AcessoRedesSociais.

    Tudo funciona muito bem, consigo restringir os acessos dos usuários conforme definido nos grupos, mas descobri que se um usuário do AD não fizer parte de um dos grupos criados, ele se autentica no proxy e consegue navegar livremente na internet.

    Como posso fazer para que o usuário que não estiver em um dos grupos tenha a navegação automaticamente bloqueada?

    Já fui em Commom ACL no squidGuard e coloquei a Target Rules List com a opção Default Access como DENNY, e com segui bloquear os usuários que não estão em nenhum grupo, mas quando faço isso tenho problemas nos acessos dos usuários que estão corretamente nos grupos, como por exemplo quem esta no grupo acessototal. Pelo que percebi, as permissões de Common ACL tem prioridade sobre Groups ACL.

    Agradeço a atenção.

    Sds,
    Márcio.



  • Estou como o mesmo problema.
    Você conseguiu alguma solução?



  • Isso depende de como foi configurado. Se o mesmo endereço aparece num determinado grupo como Deny e como Allow a prioridade é do Deny. Você pode fazer um teste e colocar todos os acessos do grupo que tem liberação total como Whitelist. Acho que pode dar certo.

    Mas em todo caso acho que o problema pode ser outro. No Squid tem uma aba que chama real time, lá você consegue ver o que está sendo bloqueado e por que está sendo bloqueado.

    É sempre bom fazer uma lista branca e deixar como Whitelist na Common ACL.

    Caso precise, acabei de fazer um tutorial sobre isso. Se quiser dar uma olhada.

    http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/