Squid3 + NTLM + Captive Portal : é possível ?



  • Boa tarde, pessoas !

    Estou com o seguinte ambiente :

    Tenho um squid3 + squidGuard-devel + autenticação NTLM c/ Samba rodando perfeitamente e criei uma zona de Captive Portal com bind para a interface WIFI, que é onde meus roteadores e clientes convidados estão trabalhando (há um DHCP nessa interface).

    Minha questão é : é possível (e se sim, como) eu ter minha interface LAN autenticando pelo squid e gerando os logs de acesso como é feito hoje (pelo NTLM) e ter meus clientes convidados, pelo DHCP da interface WIFI, autenticando pelo Captive Portal por usuário/senha e/ou vouchers e também logando a navegação ?

    Resumindo : dá pra logar a navegação do squid e do Captive Portal, com seus respectivos nomes de usuário, simultaneamente, mantendo a autenticação transparente NTLM do squid pros usuários que estão no domínio ?

    Agradeço !



  • No pacote atual do Squid que eu saiba não.



  • Existe algum tipo de autenticação transparente pelo Captive Portal ?



  • Aqui na empresa onde trabalho eu fiz o seguinte:
    Coloquei os Mac Address do pessoal que pode usar a rede de visitantes sem autenticação e fixei um IP para eles no DHCP.
    O roteador é sem senha, e quando eles conectam é totalmente transparente, basta clicar no nome da rede.

    Ja para os visitantes da empresa que nao tem MAC cadastrado, ele pede o Voucher, que ja é pré impresso na gráfica ( mandei 1000 pra imprimir, rsrs) que o cara pega na recepção.

    Assim, os funcionarios eu tenho o controle de saber qual ip é de quem, e nos visitantes, de só quem tem voucher se conectar.

    Acho que da pra pensar numa coisa assim, não dá?



  • @andr3.ribeiro:

    Aqui na empresa onde trabalho eu fiz o seguinte:
    Coloquei os Mac Address do pessoal que pode usar a rede de visitantes sem autenticação e fixei um IP para eles no DHCP.
    O roteador é sem senha, e quando eles conectam é totalmente transparente, basta clicar no nome da rede.

    Ja para os visitantes da empresa que nao tem MAC cadastrado, ele pede o Voucher, que ja é pré impresso na gráfica ( mandei 1000 pra imprimir, rsrs) que o cara pega na recepção.

    Assim, os funcionarios eu tenho o controle de saber qual ip é de quem, e nos visitantes, de só quem tem voucher se conectar.

    Acho que da pra pensar numa coisa assim, não dá?

    Então @andr3.ribeiro … aqui meus usuários utilizam máquinas diferentes com frequência ... cada um tem permissões de acesso distintas no squidGuard (artes, por exemplo, pode acessar WeTransfer; os outros, não), amarradas pelo nome do usuário no AD e, por essa razão, não dá pra eu utilizar filtro por MAC ou IP. Meu Wi-Fi não tem máquinas da empresa, somente visitantes. Preciso inibir o uso pelos funcionários "espertões". Até consigo por um tempo colocando uma senha no roteador mas né ... alguém sempre vaza "sem querer". Os vouchers funcionam perfeitamente porém não consigo "logar" o que o usuário que veio pelo Captive acessou, como é feito pelo squid.

    Talvez eu esteja tentando encontrar algo utópico ou talvez eu não esteja explicando de forma clara ou ainda esteja querendo uma coisa que já existe e não encontrei como configurar.



  • Fiz um desenho do meu ambiente. Esse é o "monstro" que eu tenho aqui … todos conectados na mesma rede, uns se comunicando em uma subrede, outros em outra subrede, todos com o "mesmo" gateway físico (em interfaces distintas). Os usuários autenticam via NTLM; os visitantes autenticarão via Captive. Usuários têm configuração de proxy ativo; visitantes não. Há apenas o registro da conexão pelos logs, não da navegação.




  • Isso é possível com alguns hacks no código e configurações.

    Já usei em alguns clientes o squid autenticando no captive/AD e na minha opinião fica muito mais rápido que o NTLM.

    Não é trivial mas é perfeitamente implementável.


Log in to reply