Squid autenticando no AD e perfis de acesso - Como fazer ?

rbortholin
(usa Debian)

Enviado em 18/02/2013 - 12:21h

Bom dia galera !!

Hoje no escritório, temos o ISA Server, porém vem dando muito trabalho, sendo assim queremos substituir pelo Squid. Já trabalhei com o Squid antes e tive ótimas experiências, porém o escopo que o Squid tem que me atender é o seguinte.

1 - Ter mais de um grupo de acesso, por exemplo, o grupo NET_USUARIOS terá a restrição de pornografia, redes sociais, site de entretenimento, entre outros. o Gupo NET_Gerentes, terá acesso a tudo menos Sites de entretenimento e pornografia. o grupo NET_DIRETORES terá acesso a tudo (somo um escritório de direito, e pornografia é passivel de processos e afins). Além de poder criar outros grupos conforme a necessidad de empresa.

2 - Ser integrado com o AD, ou seja, quando o usuário joao.silva se logar em alguma máquina ele estará associado no AD a navegar pelo NET_USUARIOS. Caso a gerente joana.lopes se logar em qualquer máquina, ela deverá navegar através do NET_GERENTES que estará estipulado no AD.

Isso é possível de se configurar ? Alguém tem algum How-To ???

Obrigado ae galera !

phrich
(usa Slackware)

Enviado em 18/02/2013 - 13:09h

Cara, vc pode fazer isso de 2 maneiras:

1 - Utilizar uma autenticação LDAP e dividir os grupos através de arquivos de texto, onde deverão constar os usuários dentro dos mesmos.

2 - Utilizar LDAP + KERBEROS e então fazer uma integração total com o AD.

Não tenho um how-to específico para isto, mas com esta "luz" fica mais fácil vc procurar aqui mesmo no VOL.

rbortholin
(usa Debian)

Enviado em 18/02/2013 - 13:14h

Entao temos que ir por partes...

Vou começar pelos grupos... ou pela integração ???

Com essa integração consigo fazer transparente ?

phrich
(usa Slackware)

Enviado em 18/02/2013 - 13:21h

Na verdade dá na mesma, pois vc pode fazer na ordem que mais lhe for confortável...

Quanto a ser transparente, não, pois vc tem que escolher, proxy transparent (ilusão pura), ou autenticado.

Como vc usa AD, isso é mole, basta colocar uma GPO para setar o proxy e no iptables, proibir o tráfego, direto da rede interna para a internet.

Se vc quiser ter uma idéia, seria parecido com este artigo, só que vc utilizaria a autenticação via LDAP:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

No artigo acima, utilizamos uma autenticação simples, utilizando o ncsa_auth do apache, mas se vc utilizar o LDAP, ele busca a senha no AD, e toda a vez que o browser for aberto, ele pede usuário e senha.

Se vc utilizar KERBEROS, o usuário e senha não é solicitado e vc não precisa inserir os usuário dentro de arquivos de texto, ele já busca ambos no AD.

phrich
(usa Slackware)

Enviado em 18/02/2013 - 13:23h

1 artigo bom:

http://www.vivaolinux.com.br/artigo/Instalacao-do-Squid-com-autenticacao-NTLM-e-Kerberos

rbortholin
(usa Debian)

Enviado em 21/02/2013 - 13:36h

Bom galera !

Consegui atuenticar, colocar o servidor no dominio e fazer o squid funcionar basicamente !!!

Agora a dúvida vem em relação aos grupos, como faço para o usuário joao.silva que está cadastrado do AD com o perfil de internet NET_USUARIOS, navegue dentro do grupo NET_USUARIOS (BLOQUEIO REDES SOCIAIS, MSN e outros) e que o usuário roberto.gomes que está cadastrado no AD com o perfil NET_GERENTES, navegue dentro do grupo NET_GERENTES (acesso total menos pornografia) ?? Isso tudo de forma transparente que ele utilize as credenciais do login de rede para se autenticar no proxy e navegar pelo grupo definido no AD.

Como disse, o samba está ok, winbind, kerberos, squid e tudo mais !

P.S A distro é DEBIAN !!!

vlw !