[GTER] RES: Content Filtering Open Source

R0me0 *** knight.neo at gmail.com
Fri Jan 22 06:18:09 -02 2016 

squid.conf

auth_param basic program /usr/local/libexec/squid_ldap_auth -v 3 -R -b
dc=yourdomain,dc=com -D cn=”Squid Authenticator”,ou=IT,ou=”Users and
Groups”,dc=yourdomain,dc=com -W /etc/squid/passfile -f sAMAccountName=%s
10.20.30.1

external_acl_type proxygroup %LOGIN /usr/local/libexec/squid_ldap_group -v
3 -R -b dc=yourdomain,dc=com -D cn=”Squid Authenticator”,ou=IT,ou=”Users
and Groups”,dc=yourdomain,dc=com -W /etc/squid/passfile -f
(&(sAMAccountName=%v)(memberof=cn=%a,ou=Internet,ou=Groups,ou=Organization,ou=”Users
and Groups”,dc=yourdomain,dc=com)) 10.20.30.1

acl ad_auth proxy_auth REQUIRED
acl netaccess external proxygroup url_regex “/etc/squid/group”

…..

http_access deny !ad_auth
http_access allow netaccess

Quick explanation:

 cn=”Squid Authenticator” = Display Name of User account in Active Directory

ou=…., ou… = recursive search to top of domain

/etc/squid/passfile = Contains password of Squid Authenticator account

10.20.30.1 = Ip address of Active Directory

url_regex “/etc/squid/group” = If the group contain spaces, example:
Internet Access, put into file called group, if not use:

acl netaccess external proxygroup InternetAccess
where InternetAccess is name of the group

squid_ldap_group = was used to autheticate users that belong of specific
group


Em 21 de janeiro de 2016 11:55, Willen Borges Coelho <willen at ifes.edu.br>
escreveu:

> Roberval,
>
> Eu só utilizo o squid autenticando em alguma base, quando a base eh ldap
> utilizo ntlm e separo os diferentes perfils pelo grupo do AD, utilizando o
> ext_wbinfo_group_acl que é um script próprio do squid.
>
> Quando utilizo outras bases (mysql), uso o captive portal que fiz no squid
> [1].
>
> Entretanto não curto o pfsense, ele utiliza o kerberos para autenticação
> com o AD e pelo CentOS temos a possibilidade de utilizar o winbind, que pra
> mim eh muito mais estável e simples de configurar.
>
> Atenciosamente,
>
> Willen
>
>
> [1]
> http://www.spawnzao.com.br/2016/01/17/captiveportal-completo-com-o-squid-no-centos-7/
>
> ________________________________________
> De: gter [gter-bounces at eng.registro.br] em nome de Roberval Lustosa [
> r.lustosa at gmail.com]
> Enviado: quarta-feira, 20 de janeiro de 2016 5:28
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Content Filtering Open Source
>
> Na verdade eu nunca testei, apenas vi que no squid3 tem essa opção. Se
> tiver forma de realizar filtros por grupo, provável que seja no radius.
>
> Em 19 de janeiro de 2016 19:15, Rogério Moura <rogerpop at gmail.com>
> escreveu:
>
> > Roberval,
> > Nunca tentei dessa forma, você já fez? consigo consultar grupos no AD
> > dessa forma?
> >
> >
> > Em 19 de janeiro de 2016 15:50, Roberval Lustosa <r.lustosa at gmail.com>
> > escreveu:
> > > Vocês já tentaram autenticar o squid no captive portal?
> > >
> > > Em 19 de janeiro de 2016 15:48, Rogério Moura <rogerpop at gmail.com>
> > escreveu:
> > >
> > >> Em 19 de janeiro de 2016 13:51, Douglas Fischer
> > >> <fischerdouglas at gmail.com> escreveu:
> > >> > Então Rogério.
> > >> >
> > >> > Eu sou um cara que coleciona e otimiza receitas-de-bolo que deram
> > certo.
> > >> > PF-Sense, dentre as opensource, está lá no topo!
> > >> >
> > >> > Mas eu justamente tive esse mesmo problema...
> > >> > Não hora de fazer a junção Usuário<->IP ele se perde todo.
> > >> >
> > >> > Ainda mais com vários DomainControllers.
> > >> > Que é bem o caso desse cliente que estou estudando.
> > >> >
> > >> > Estive pensando em bolar alguma coisa como a Própria Cisco e a
> > Palo-Alto
> > >> > fazem.
> > >> > Um "alguém" no meio de campo recebendo as notificações de
> autenticação
> > >> dos
> > >> > DomainControlles e Mantendo uma tabelinha Usuário_X_IP.
> > >> >
> > >> >
> > >> > Ainda nesse escopo do problema com autenticação, e o Kerberos no
> > >> PF-Sense,
> > >> > como está?
> > >> >
> > >> > .......
> > >> > Mudando de problema:
> > >> > Como está a classificação/atualização do SquidGuard?
> > >> > P.S.: Já passei raiva com isso hein!
> > >> >
> > >> Douglas,
> > >> tentei implementar a autenticação via kerberos, mas o helper que vem
> > >> com o squid está quebrado, primeiro que você tem que editar o arquivo
> > >> squid.inc em php(responsável por gerar o squid.conf) para habilitar o
> > >> kerberos na unha e quando você habilita ele morre reclamando de umas
> > >> libs, ou seja, não está maduro ainda essa função.
> > >>
> > >> Sobre a classificação/atualização do SquidGuard, utilizo a
> > >> shallalist[1] , que como está descrito no FAQ do site, a atualização é
> > >> diária
> > >>
> > >> Infelizmente estou saindo do pfsense devido a esse problema com a
> > >> autenticação, dando uma pesquisada na NET, esse problema dala morrer
> > >> não acontece com kerberos. Então estou montando outro server e
> > >> instalando/configurando tudo no bom e velho jeito (arquivo textual de
> > >> configuração) dai vamos ver como vai se comportar.
> > >>
> > >> [1] http://www.shallalist.de/
> > >>
> > >> >
> > >> > Em 18 de janeiro de 2016 17:00, Rogério Moura <rogerpop at gmail.com>
> > >> escreveu:
> > >> >
> > >> >> Em 12 de janeiro de 2016 10:00, Douglas Fischer
> > >> >> <fischerdouglas at gmail.com> escreveu:
> > >> >> > O tema é recorrente.
> > >> >> > Mas pelo que andei lendo nas threads antigas,
> > >> >> > e pelo que andei vendo de mudanças recentes de tecnologia,
> > >> >> > cabe revisitar o tema.
> > >> >> >
> > >> >> > E aí? O que os colegas tem usado para Content-Filtering e
> > >> >> > Internet-Classification?
> > >> >> >
> > >> >> >
> > >> >> > Meu interesse maior na verdade é na manutenção/atualização do
> > >> catálogo de
> > >> >> > classificação.
> > >> >> > Coisa que o o opensource costuma deixar a desejar
> > >> >> >
> > >> >> >
> > >> >> > Alguém?
> > >> >> >
> > >> >> > --
> > >> >> > Douglas Fernando Fischer
> > >> >> > Engº de Controle e Automação
> > >> >> > --
> > >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >>
> > >> >> Douglas,
> > >> >> Para Content-Filtering, uso [1]pfsense com squid e squidGuard que
> me
> > >> >> permite criar perfis e categorizar o acesso à internet, bem fácil e
> > >> >> com boa documentação da comunidade.
> > >> >>
> > >> >> Só não aconselho usar esse ambiente se for querer habilitar
> > >> >> autenticação no active directory, aqui tenho em média 200 usuários
> > >> >> simultâneos e o NTLM que é responsável pela autenticação abre o
> bico,
> > >> >> mas se usar a filtragem baseada em IP, funciona de boa.
> > >> >>
> > >> >> 1 -
> > >> >>
> > >>
> >
> https://gerati.wordpress.com/2014/06/09/pfsense-squid-squidguard/comment-page-1/
> > >> >> --
> > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> >>
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > Douglas Fernando Fischer
> > >> > Engº de Controle e Automação
> > >> > --
> > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >> --
> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > >>
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> ________________________________
>
> Esta mensagem (incluindo anexos) contém informação confidencial destinada
> a um usuário específico e seu conteúdo é protegido por lei. Se você não é o
> destinatário correto deve apagar esta mensagem.
>
> O emitente desta mensagem é responsável por seu conteúdo e endereçamento.
> Cabe ao destinatário cuidar quanto ao tratamento adequado. A divulgação,
> reprodução e/ou distribuição sem a devida autorização ou qualquer outra
> ação sem conformidade com as normas internas do Ifes são proibidas e
> passíveis de sanção disciplinar, cível e criminal.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list