[GTER] Web Filter

Douglas Fischer fischerdouglas at gmail.com
Fri Mar 18 15:49:29 -03 2016 

Acho que o galho está na resposta do AD mesmo...

https://support.microsoft.com/pt-br/kb/315071

MaxPageSize - Este valor controla o número máximo de objetos retornados em
um único resultado de pesquisa, independentemente do tamanho de cada objeto
retornado. Para realizar uma pesquisa em que o resultado possa exceder este
número de objetos, o cliente deve especificar o controle de pesquisa
paginável. Este controle serve para agrupar os resultados retornados em
grupos que não excedam o valor MaxPageSize. Em resumo, MaxPageSize controla
o número de objetos retornados em um único resultado de pesquisa.

Valor padrão: 1,000



Em 18 de março de 2016 15:29, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> ​Acabei de dar uma olhada no patch(muito superficialmente)...
>
> Duas coisas me passaram pela cabeça:
> A) Dependendo da quantidade de atributos que ele traz ($LDAPFieldsToFind),
> somado com o grande número de objetos issopode estourar o tamanho do tipo
> da variável que ele está usando no PHP.
>
> B) O Active Directory entrega esses dados em uma paginação máxima.
>    (Essa foi uma dica de um desenvolvedor que trabalha aqui).
>    Ele disse que para uma determinada consulta em nosso AD, ele teve que
> criar mecanimos de várias consultas, e ele já faz as consultas pedindo de
> 500 em 500.
>
>
>
>
> Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com> escreveu:
>
>> Douglas,
>> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
>> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
>> projeto.
>> Percebi que no grupo geral que tenho para acesso à net, só estava
>> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
>> mais de 2000 mil contas, está aí o problema, várias contas estão sem
>> perfil de internet.
>> Agora basta saber se é uma limitação do PHP ou do ldap que está
>> limitando o resultado na hora da consulta.
>>
>> Em 18 de março de 2016 11:01, Douglas Fischer
>> <fischerdouglas at gmail.com> escreveu:
>> > á tive problema com recursividade de grupos em grupos e permissões de
>> > leitura...
>> >
>> > Teu usuário de consulta é tem nível de privilégios suficientes para ler
>> > TODOS os usuários e grupos(mesmo os globais)?
>> >
>> > Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
>> escreveu:
>> >
>> >> Douglas,
>> >> O escopo é o global, mas o interessante é que lista a maioria, são
>> >> mais de 1500 contas nesse grupo, porém algumas contas não listam, não
>> >> posso afirmar, mas tô achando que é devido a grande quantidade de
>> >> contas no grupo, de alguma forma o patch que o cara fez não está
>> >> lidando bem com essa quantidade de usuários.
>> >>
>> >> Em 18 de março de 2016 08:09, Douglas Fischer
>> >> <fischerdouglas at gmail.com> escreveu:
>> >> > Rogério,
>> >> > eu estou em outros projetos e não tive como por a mão na massa...
>> >> >
>> >> > Mas em outra ferramenta de outro fabricante que faz o
>> IP-User-Mapping eu
>> >> > tive problemas com o uso de Distribution-Group(coisa do cliente
>> maluco).
>> >> >
>> >> > Naquele caso, simplemente criando um SecurityGroup e colocando o
>> >> > Distribution Group dentro e as consultas passaram a desenrolar
>> >> rapidamente.
>> >> >
>> >> > O escopo dos grupos criados? Qual foi?
>> >> >
>> >> >
>> >> >
>> >> >
>> >> > Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
>> >> escreveu:
>> >> >
>> >> >> Douglas,
>> >> >> Acabei de fazer uns testes aqui e não foram satisfatórios, criei 2
>> >> >> perfis, um geral e outro para as redes sociais, infelizmente alguns
>> >> >> usuários não navegam, o squidGuard retorna que o usuário não está em
>> >> >> um grupo, mas no AD o usuário está no grupo. executando na console o
>> >> >> comando que  o patch traz, que lista os grupos e usuários do AD,
>> >> >> realmente alguns usuários está faltando.
>> >> >> Vou reportar no fórum do pfsense e ver no que vai dar.
>> >> >>
>> >> >>
>> >> >> Em 16 de março de 2016 16:15, Douglas Fischer
>> >> >> <fischerdouglas at gmail.com> escreveu:
>> >> >> > Opa!
>> >> >> > Dando uma de coveiro na Thread. Mas nem é tão velha e certamente é
>> >> >> > correlata.
>> >> >> >
>> >> >> >
>> >> >> > Escavando a internet esbarrrei nisso:
>> >> >> >
>> >> >>
>> >>
>> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consulta-ldap-do-squidguard/
>> >> >> >
>> >> >> > Ainda não testei...
>> >> >> > Alguém?
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> > Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
>> escreveu:
>> >> >> >
>> >> >> >> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e
>> 443, e
>> >> no
>> >> >> >> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
>> clientes
>> >> via
>> >> >> >> DHCP.
>> >> >> >>
>> >> >> >> Em 9 de março de 2016 08:10, Antonio Modesto <
>> >> modesto at isimples.com.br>
>> >> >> >> escreveu:
>> >> >> >>
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > On 08-03-2016 13:14, Lucas Dias wrote:
>> >> >> >> >
>> >> >> >> >> Em 8 de março de 2016 08:40, Jonas Odorizzi <
>> >> >> jonas.odorizzi at gmail.com>
>> >> >> >> >> escreveu:
>> >> >> >> >>
>> >> >> >> >> Bom Dia Pessoal.
>> >> >> >> >>>
>> >> >> >> >>> Tudo Bem ?
>> >> >> >> >>>
>> >> >> >> >>> Na opinião de vocês qual a melhor solução de webfilter ou
>> >> controle
>> >> >> de
>> >> >> >> >>> internet
>> >> >> >> >>>   ( custo/beneficio ) para uma empresa com até 60
>> computadores.
>> >> >> >> >>>
>> >> >> >> >>> Gostaria de uma solução que tenha atualização de urls das
>> >> >> categorias.
>> >> >> >> >>>
>> >> >> >> >>> Obrigado !
>> >> >> >> >>>
>> >> >> >> >>> Att Jonas Odorizzi.
>> >> >> >> >>> --
>> >> >> >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >>>
>> >> >> >> >>
>> >> >> >> >> Jonas, la vai minha humilde opinião.
>> >> >> >> >>
>> >> >> >> >> Solução Open: pfSense bem configurado de olho fechado. Tempo
>> é uma
>> >> >> >> >> variável
>> >> >> >> >> que você deve levar em consideração na hora de avaliar custos.
>> >> >> >> >>
>> >> >> >> >> Solução comercial: FortiGate também de olho fechado.
>> >> >> >> >>
>> >> >> >> >> Trabalho com as duas soluções e sempre deixo a disposição do
>> >> cliente
>> >> >> a
>> >> >> >> >> escolha. Há casos que indico pfSense, a outros casos que
>> indico
>> >> >> >> FortiGate.
>> >> >> >> >> Sempre levo em consideração quanto tempo de implementação
>> terei,
>> >> >> qual o
>> >> >> >> >> orçamento médio pra aquisição de recursos, mão de obra,
>> >> manutenção da
>> >> >> >> >> solução, entre outros detalhes.
>> >> >> >> >>
>> >> >> >> >> Falar em custo benefício apenas levando-se em conta que você
>> quer
>> >> uma
>> >> >> >> >> solução para controle de internet e webfilter com atualização
>> de
>> >> URL
>> >> >> é
>> >> >> >> >> complicado, mas como sugestão você tem essas duas opções que
>> >> >> recomendo.
>> >> >> >> >>
>> >> >> >> >> Abraços e que a força esteja com você.
>> >> >> >> >>
>> >> >> >> >
>> >> >> >> > --
>> >> >> >> > Atenciosamente,
>> >> >> >> >
>> >> >> >> > Como o pessoal anda lidando com HTTPS? Uma das maiores
>> >> desvantagens de
>> >> >> >> > manter um proxy HTTP hoje é justamente isso. De nada vale uma
>> >> >> categoria
>> >> >> >> de
>> >> >> >> > URL's  se o proxy não vai conseguir enxergá-las. Fica criando
>> >> >> exceções no
>> >> >> >> > firewall também é muito cansativo na minha opinião.
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > --
>> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >> >
>> >> >> >> --
>> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> >>
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> > --
>> >> >> > Douglas Fernando Fischer
>> >> >> > Engº de Controle e Automação
>> >> >> > --
>> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >> --
>> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > Douglas Fernando Fischer
>> >> > Engº de Controle e Automação
>> >> > --
>> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >> --
>> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> >>
>> >
>> >
>> >
>> > --
>> > Douglas Fernando Fischer
>> > Engº de Controle e Automação
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list