Autenticação por grupo squid não está funcionando



  • Pessoal,

    Estou testando o pfsense pois venho do squid+iptables do ubuntu/CentOS

    uso proxy autenticado por usuário então segui esse tutorial:

    http://www.pfsense-br.org/blog/2012/09/1121/

    Só que os usuários só abrem os sites que etão no withelist da ava "ACL"

    Quando eles tentam abrir um site da que está na lista deles dá acesso negado.

    Vejam as telas de configuração:












  • Marcos,
    Agradeço a ajuda mas,
    O link passado é para autenticação através do AD que não é meu caso. Estou fazendo autenticação por ntlm e os grupos são controlados pelo squid.

    Se alguém usar autenticação por ntlm e estiver funcionando e puder ajudar, agradeço.



  • Pessoal,

    Consegui resolver para cada grupo só acessar o que está em withelist(liberados para todos) e conectar somente nos sites liberados para aquele grupo.  Alterei baseado nas configurações atuais que tenho rodando em linux.
    Segue alterações que fiz para funcionar:

    1)Descubra onde fica o squid.conf usando o shell:

    find / |grep squid.conf

    /usr/pbi/squid-amd64/local/etc/squid/squid.conf.documented
    /usr/pbi/squid-amd64/local/etc/squid/squid.conf.sample
    /usr/pbi/squid-amd64/local/etc/squid/squid.conf
    /usr/pbi/squid-amd64/local/etc/squid/squid.conf.backup

    2)Com isso, para ficar mais fácil para quem não tem costume com shell, vá no edit file e abra o arquivo /usr/pbi/squid-amd64/local/etc/squid/squid.conf

    3)Altere o final do arquivo a partir do :

    Always allow access to whitelist domains

    http_access allow whitelist
    auth_param basic program /usr/pbi/squid-amd64/local/libexec/squid/basic_ncsa_auth /var/etc/squid.passwd
    auth_param basic children 5
    auth_param basic realm Please enter your credentials to access the proxy
    auth_param basic credentialsttl 5 minutes
    acl password proxy_auth REQUIRED

    Custom options after auth

    Definição ACLs dos Grupos com Seus Respectivos Usuários

    acl ti proxy_auth "/var/squid/acl/usuarios_ti.acl"  (caminho onde estão os usuários)

    #USER: TI
    acl u_ti_url_allow  url_regex -i "/var/squid/acl/sites_ti.acl" (sites liberados para o grupo ti)
    http_access allow ti  u_ti_url_allow
    acl u_ti_url_deny  url_regex -i "/var/squid/acl/sites_ti_deny.acl" (sites bloqueados para o grupo ti. Nesse caso, dentro desse arquivo digitei somente  ".*" sem aspas falando que está tudo bloqueado exceto todos sites do withelist e do sites_ti.acl)
    http_access deny ti  u_ti_url_deny

    http_access allow password localnet
    http_access deny all (bloqueia tudo)

    Default block all to be sure

    http_access deny allsrc

    Pronto!! funcionando 100%.

    Agora vou aprender a configurar o sarg, configurações das páginas de erros como faço no linux. Depois, vai ficar faltando só o firewall bloquear o tráfego pela porta 80 pegando somente pela 3128.



  • Você já reiniciou o pfSense depois fazer estas modificações?
    Porque pelo que sei editar esse arquivo diretamente não resolve, pois a cada reinicialização ele é recriado com base no arquivo "config.xml" onde estão todas as configurações do pfSense.
    E também se fizer um backup/restauração em instalação nova não vai levar essas alterações junto.



  • Já…toda vez que eu fazia algumas alterações, eu reiniciava e também testei dando o comando squid -k reconfigure direto no shell. Só funcionou quando fiz essas regras



  • Use o campo custom options do squid na primeira aba para incluir suas acls. Desta forme elas sobrevivem ao um reboot ou apply.


Log in to reply