Autenticação por grupo squid não está funcionando

lfernandosg

Pessoal,

Estou testando o pfsense pois venho do squid+iptables do ubuntu/CentOS

uso proxy autenticado por usuário então segui esse tutorial:

http://www.pfsense-br.org/blog/2012/09/1121/

Só que os usuários só abrem os sites que etão no withelist da ava "ACL"

Quando eles tentam abrir um site da que está na lista deles dá acesso negado.

Vejam as telas de configuração:

marcosmassa

siga este
http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/

lfernandosg

Marcos,
Agradeço a ajuda mas,
O link passado é para autenticação através do AD que não é meu caso. Estou fazendo autenticação por ntlm e os grupos são controlados pelo squid.

Se alguém usar autenticação por ntlm e estiver funcionando e puder ajudar, agradeço.

lfernandosg

Pessoal,

Consegui resolver para cada grupo só acessar o que está em withelist(liberados para todos) e conectar somente nos sites liberados para aquele grupo.  Alterei baseado nas configurações atuais que tenho rodando em linux.
Segue alterações que fiz para funcionar:

1)Descubra onde fica o squid.conf usando o shell:

find / |grep squid.conf

/usr/pbi/squid-amd64/local/etc/squid/squid.conf.documented
/usr/pbi/squid-amd64/local/etc/squid/squid.conf.sample
/usr/pbi/squid-amd64/local/etc/squid/squid.conf
/usr/pbi/squid-amd64/local/etc/squid/squid.conf.backup

2)Com isso, para ficar mais fácil para quem não tem costume com shell, vá no edit file e abra o arquivo /usr/pbi/squid-amd64/local/etc/squid/squid.conf

3)Altere o final do arquivo a partir do :

Always allow access to whitelist domains

http_access allow whitelist
auth_param basic program /usr/pbi/squid-amd64/local/libexec/squid/basic_ncsa_auth /var/etc/squid.passwd
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth

Definição ACLs dos Grupos com Seus Respectivos Usuários

acl ti proxy_auth "/var/squid/acl/usuarios_ti.acl"  (caminho onde estão os usuários)

#USER: TI
acl u_ti_url_allow  url_regex -i "/var/squid/acl/sites_ti.acl" (sites liberados para o grupo ti)
http_access allow ti  u_ti_url_allow
acl u_ti_url_deny  url_regex -i "/var/squid/acl/sites_ti_deny.acl" (sites bloqueados para o grupo ti. Nesse caso, dentro desse arquivo digitei somente  ".*" sem aspas falando que está tudo bloqueado exceto todos sites do withelist e do sites_ti.acl)
http_access deny ti  u_ti_url_deny

http_access allow password localnet
http_access deny all (bloqueia tudo)

Default block all to be sure

http_access deny allsrc

Pronto!! funcionando 100%.

Agora vou aprender a configurar o sarg, configurações das páginas de erros como faço no linux. Depois, vai ficar faltando só o firewall bloquear o tráfego pela porta 80 pegando somente pela 3128.

tomaswaldow

Você já reiniciou o pfSense depois fazer estas modificações?
Porque pelo que sei editar esse arquivo diretamente não resolve, pois a cada reinicialização ele é recriado com base no arquivo "config.xml" onde estão todas as configurações do pfSense.
E também se fizer um backup/restauração em instalação nova não vai levar essas alterações junto.

lfernandosg

Já…toda vez que eu fazia algumas alterações, eu reiniciava e também testei dando o comando squid -k reconfigure direto no shell. Só funcionou quando fiz essas regras

marcelloc

Use o campo custom options do squid na primeira aba para incluir suas acls. Desta forme elas sobrevivem ao um reboot ou apply.