Autenticação por grupo squid não está funcionando
-
Pessoal,
Estou testando o pfsense pois venho do squid+iptables do ubuntu/CentOS
uso proxy autenticado por usuário então segui esse tutorial:
http://www.pfsense-br.org/blog/2012/09/1121/
Só que os usuários só abrem os sites que etão no withelist da ava "ACL"
Quando eles tentam abrir um site da que está na lista deles dá acesso negado.
Vejam as telas de configuração:
-
siga este
http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/ -
Marcos,
Agradeço a ajuda mas,
O link passado é para autenticação através do AD que não é meu caso. Estou fazendo autenticação por ntlm e os grupos são controlados pelo squid.Se alguém usar autenticação por ntlm e estiver funcionando e puder ajudar, agradeço.
-
Pessoal,
Consegui resolver para cada grupo só acessar o que está em withelist(liberados para todos) e conectar somente nos sites liberados para aquele grupo. Alterei baseado nas configurações atuais que tenho rodando em linux.
Segue alterações que fiz para funcionar:1)Descubra onde fica o squid.conf usando o shell:
find / |grep squid.conf
/usr/pbi/squid-amd64/local/etc/squid/squid.conf.documented
/usr/pbi/squid-amd64/local/etc/squid/squid.conf.sample
/usr/pbi/squid-amd64/local/etc/squid/squid.conf
/usr/pbi/squid-amd64/local/etc/squid/squid.conf.backup2)Com isso, para ficar mais fácil para quem não tem costume com shell, vá no edit file e abra o arquivo /usr/pbi/squid-amd64/local/etc/squid/squid.conf
3)Altere o final do arquivo a partir do :
Always allow access to whitelist domains
http_access allow whitelist
auth_param basic program /usr/pbi/squid-amd64/local/libexec/squid/basic_ncsa_auth /var/etc/squid.passwd
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIREDCustom options after auth
Definição ACLs dos Grupos com Seus Respectivos Usuários
acl ti proxy_auth "/var/squid/acl/usuarios_ti.acl" (caminho onde estão os usuários)
#USER: TI
acl u_ti_url_allow url_regex -i "/var/squid/acl/sites_ti.acl" (sites liberados para o grupo ti)
http_access allow ti u_ti_url_allow
acl u_ti_url_deny url_regex -i "/var/squid/acl/sites_ti_deny.acl" (sites bloqueados para o grupo ti. Nesse caso, dentro desse arquivo digitei somente ".*" sem aspas falando que está tudo bloqueado exceto todos sites do withelist e do sites_ti.acl)
http_access deny ti u_ti_url_denyhttp_access allow password localnet
http_access deny all (bloqueia tudo)Default block all to be sure
http_access deny allsrc
Pronto!! funcionando 100%.
Agora vou aprender a configurar o sarg, configurações das páginas de erros como faço no linux. Depois, vai ficar faltando só o firewall bloquear o tráfego pela porta 80 pegando somente pela 3128.
-
Você já reiniciou o pfSense depois fazer estas modificações?
Porque pelo que sei editar esse arquivo diretamente não resolve, pois a cada reinicialização ele é recriado com base no arquivo "config.xml" onde estão todas as configurações do pfSense.
E também se fizer um backup/restauração em instalação nova não vai levar essas alterações junto. -
Já…toda vez que eu fazia algumas alterações, eu reiniciava e também testei dando o comando squid -k reconfigure direto no shell. Só funcionou quando fiz essas regras
-
Use o campo custom options do squid na primeira aba para incluir suas acls. Desta forme elas sobrevivem ao um reboot ou apply.