Paulo Roberto
Imediatamente
você será direcionado para a página do Package Installer, nele
veremos o progresso da instalação do pacote squid e suas
dependências:
Vamos
inserir as regras para a rede LAN:
OBS.:
LAN net = LAN subnet
Agora vamos no menu Services > Proxy Server:
Na
aba "General" certifique que "Transparent Proxy"
está desmarcada.
Considerando
que seu servidor wk3 está com o IP: 192.168.1.12, a senha do usuário
Administrador é "pwd1admin" e seu domínio é prototipo
Na
aba "Auth Settings" vamos adicionar os
seguintes parâmetros:
Authentication
method: LDAP
LDAP version: 3
LDAP version: 3
Authentication
server: 192.168.1.12
Authentication server port: 389
LDAP server user DN: cn=Administrador,cn=Users,dc=prototipo
LDAP password: pwd1admin
LDAP base domain: dc=prototipo
LDAP username DN attribute: uid
LDAP search filter: sAMAccountName=%s
Authentication server port: 389
LDAP server user DN: cn=Administrador,cn=Users,dc=prototipo
LDAP password: pwd1admin
LDAP base domain: dc=prototipo
LDAP username DN attribute: uid
LDAP search filter: sAMAccountName=%s
OBS:
Meu domínio coloquei somente o nome prototipo, não coloquei nada
como .com.br ou .com
Após este processo o squid estará
buscando os usuários pelo Ad, agora precisamos instalar o SquidGuard
para que ele possa controlar estes usuários na rede.
Vá na aba Blacklist e baixe no site da
shallalist os arquivos, ou cole na blacklist upload:
http://www.shallalist.de/Downloads/shallalist.tar.gz
Vá na aba Common ACL e acesse Target
Rules List e de um Deny no Default access All
Agora vamos adicionar em Group ACL os
grupos que já temos cadastrados no Active directory.
No meu exemplo tenho cadastrado somente
dois, um deles é “Internet-TI” “Internet-Padrao”, deixe-os
com letras maiúsculas ou minúsculas do jeito que postou no Active
Directory.
Note que no campo cliente, possui
alguns usuários, é importante adiciona-los pois o SquidGuard vai
bloquear de acordo com as especificações que você adicionará logo
em Target Rules list
No meu exemplo, o Grupo Internet-TI
terá bloqueado somente webmail.
Para fazer o teste, clique em "save" e
volte para a aba General Settings e deixe de acordo com a tela
abaixo.
Assim que o SquidGuard iniciar ficará
com status Start. Aí é só testar. Para isso utilizei o Internet Explorer.
Vá em Ferramentas > Opções da
Internet > Configurações da LAN
Configure de acordo com o Ip de seu PfSense.
Agora de um Ok e Ok
Feche o navegador e abra-o novamente e agora coloque o login
e senha do grupo que adicionou. No meu caso: Internet-TI
Agora vou acessar um site que contenha webmail. Ex: www.hotmail.com.br
Este é o resultado.
Caso alguém tenha mais alguma ideia para tirar o cadastro de
usuários no SquidGuard, pode postar aqui.
Autor: Marcelo Mangini
Posted in: PFSense
10 comentários:
Paulo, você teve em algum momento que configurar alguma parâmetro via shell? Conseguiu fazer funcionar sem ter que replicar os usuários do grupo do AD para dentro do Squidguard?
Abraço,
Hugo
Esqueci de botar nesse post. Tem sim que colocar na mão. Depois da linha "acl password proxy_auth REQUIRED" vc coloca esse trecho abaixo:
external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 192.168.0.2 -p 389
#LIBERACAO/BLOQUEIO DOS GRUPOS
#Grupo Acesso Padrao: Possui Acesso Limitado
acl ldapPadrao external ldap_group Internet-Padrao
#Grupo Acesso TI: Acesso Full
acl ldapTI external ldap_group Internet-TI
acl bloqueio url_regex -i "/var/squid/acl/bloqueado.acl"
acl liberado url_regex -i "/var/squid/acl/liberado.acl"
http_acess allow ldapTI
http_access deny ldapPadrao !liberado
http_acess deny all
Prezado, bom dia.
Quando você diz: "Note que no campo cliente, possui alguns usuários, é importante adiciona-los pois o SquidGuard vai bloquear de acordo com as especificações que você adicionará logo em Target Rules list" seriam estes usuários todos àqueles já criados no AD e que autenticarão no FPSense?
Não, essa autenticação é por grupos do AD. Pra puxar todos os usuarios do AD você usa esse:
>> http://pauloxmachado.blogspot.com.br/2012/07/pfsense-201-squid-squidguard.html
Olá Paulo, você conseguiu fazer a autenticação transparente, sem aparecer a tela de autenticação?
Pedro, proxy autenticado não tem como ser transparente.
Paulo, rsrsr seria a autenticação transparente, sem a tela de autenticação. Quando logar no domínio já faz a autenticação no proxy.
Ahhh rapaz, tem como fazer. Se não me engano você tem que mexer alguma coisa com kerberos. Aqui eu não uso porque não dá certo, tem vários usuarios pra 1 máquina e níveis diferentes pra poder aplicar esse padrão.
Lí sobre isso mas tem muito tempo e não apliquei nada por falta de necessidade mesmo. Mas se você conseguir e quiser compartilhar fique a vontade =D
Squidblacklist.org is the worlds leading publisher of native acl blacklists tailored specifically for Squid proxy, and alternative formats for all major third party plugins as well as many other platforms. Including SquidGuard, DansGuardian, and ufDBGuard, as well as pfSense and more.
There is room for better blacklists, we intend to fill that gap.
It would be our pleasure to serve you.
Signed,
Benjamin E. Nichols
http://www.squidblacklist.org
Estou com Pfsense 2.1.5 usando Squid e Squidguard autenticando no AD via LDAP. A autenticação funciona mas a integração com o Squidguard deixou de funcionar. Apenas os sites informados na ACLs -> blacklist do Squid é que são bloqueados. A configuração de blacklist do squidguard é ignorada. Alguma dica? Estou querendo algo que está fora das funcionalidades previstas ou é erro?
Postar um comentário