Squid3 + NTLM + Captive Portal : é possível ?
-
Boa tarde, pessoas !
Estou com o seguinte ambiente :
-
WAN1 : 189.X.XXX.XXX/29
-
WAN2 : 200.XXX.XX.XXX/24
-
LAN : 10.1.0.0/24
-
WIFI : 192.168.46.0/25
Tenho um squid3 + squidGuard-devel + autenticação NTLM c/ Samba rodando perfeitamente e criei uma zona de Captive Portal com bind para a interface WIFI, que é onde meus roteadores e clientes convidados estão trabalhando (há um DHCP nessa interface).
Minha questão é : é possível (e se sim, como) eu ter minha interface LAN autenticando pelo squid e gerando os logs de acesso como é feito hoje (pelo NTLM) e ter meus clientes convidados, pelo DHCP da interface WIFI, autenticando pelo Captive Portal por usuário/senha e/ou vouchers e também logando a navegação ?
Resumindo : dá pra logar a navegação do squid e do Captive Portal, com seus respectivos nomes de usuário, simultaneamente, mantendo a autenticação transparente NTLM do squid pros usuários que estão no domínio ?
Agradeço !
-
-
No pacote atual do Squid que eu saiba não.
-
Existe algum tipo de autenticação transparente pelo Captive Portal ?
-
Aqui na empresa onde trabalho eu fiz o seguinte:
Coloquei os Mac Address do pessoal que pode usar a rede de visitantes sem autenticação e fixei um IP para eles no DHCP.
O roteador é sem senha, e quando eles conectam é totalmente transparente, basta clicar no nome da rede.Ja para os visitantes da empresa que nao tem MAC cadastrado, ele pede o Voucher, que ja é pré impresso na gráfica ( mandei 1000 pra imprimir, rsrs) que o cara pega na recepção.
Assim, os funcionarios eu tenho o controle de saber qual ip é de quem, e nos visitantes, de só quem tem voucher se conectar.
Acho que da pra pensar numa coisa assim, não dá?
-
Aqui na empresa onde trabalho eu fiz o seguinte:
Coloquei os Mac Address do pessoal que pode usar a rede de visitantes sem autenticação e fixei um IP para eles no DHCP.
O roteador é sem senha, e quando eles conectam é totalmente transparente, basta clicar no nome da rede.Ja para os visitantes da empresa que nao tem MAC cadastrado, ele pede o Voucher, que ja é pré impresso na gráfica ( mandei 1000 pra imprimir, rsrs) que o cara pega na recepção.
Assim, os funcionarios eu tenho o controle de saber qual ip é de quem, e nos visitantes, de só quem tem voucher se conectar.
Acho que da pra pensar numa coisa assim, não dá?
Então @andr3.ribeiro … aqui meus usuários utilizam máquinas diferentes com frequência ... cada um tem permissões de acesso distintas no squidGuard (artes, por exemplo, pode acessar WeTransfer; os outros, não), amarradas pelo nome do usuário no AD e, por essa razão, não dá pra eu utilizar filtro por MAC ou IP. Meu Wi-Fi não tem máquinas da empresa, somente visitantes. Preciso inibir o uso pelos funcionários "espertões". Até consigo por um tempo colocando uma senha no roteador mas né ... alguém sempre vaza "sem querer". Os vouchers funcionam perfeitamente porém não consigo "logar" o que o usuário que veio pelo Captive acessou, como é feito pelo squid.
Talvez eu esteja tentando encontrar algo utópico ou talvez eu não esteja explicando de forma clara ou ainda esteja querendo uma coisa que já existe e não encontrei como configurar.
-
Fiz um desenho do meu ambiente. Esse é o "monstro" que eu tenho aqui … todos conectados na mesma rede, uns se comunicando em uma subrede, outros em outra subrede, todos com o "mesmo" gateway físico (em interfaces distintas). Os usuários autenticam via NTLM; os visitantes autenticarão via Captive. Usuários têm configuração de proxy ativo; visitantes não. Há apenas o registro da conexão pelos logs, não da navegação.
-
Isso é possível com alguns hacks no código e configurações.
Já usei em alguns clientes o squid autenticando no captive/AD e na minha opinião fica muito mais rápido que o NTLM.
Não é trivial mas é perfeitamente implementável.