[GTER] Web Filter

Alex Montoanelli alex.montoanelli at unetvale.net
Fri Mar 18 16:11:10 -03 2016


Do lado do PHP ( se estiver limitando ), quem é o responsável é a parte
client LDAP.

Na maior parte dos casos,  /etc/ldap/ldap.conf, na variável SIZELIMIT (man
ldap.conf) resolve (reiniciar apache/fpm).

Mas o server ( tanto open-ldap como ad ) podem ter suas próprias limitações;

Abraço

Em sex, 18 de mar de 2016 às 15:55, Douglas Fischer <
fischerdouglas at gmail.com> escreveu:

> Acho que o galho está na resposta do AD mesmo...
>
> https://support.microsoft.com/pt-br/kb/315071
>
> MaxPageSize - Este valor controla o número máximo de objetos retornados em
> um único resultado de pesquisa, independentemente do tamanho de cada objeto
> retornado. Para realizar uma pesquisa em que o resultado possa exceder este
> número de objetos, o cliente deve especificar o controle de pesquisa
> paginável. Este controle serve para agrupar os resultados retornados em
> grupos que não excedam o valor MaxPageSize. Em resumo, MaxPageSize controla
> o número de objetos retornados em um único resultado de pesquisa.
>
> Valor padrão: 1,000
>
>
>
> Em 18 de março de 2016 15:29, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > ​Acabei de dar uma olhada no patch(muito superficialmente)...
> >
> > Duas coisas me passaram pela cabeça:
> > A) Dependendo da quantidade de atributos que ele traz
> ($LDAPFieldsToFind),
> > somado com o grande número de objetos issopode estourar o tamanho do tipo
> > da variável que ele está usando no PHP.
> >
> > B) O Active Directory entrega esses dados em uma paginação máxima.
> >    (Essa foi uma dica de um desenvolvedor que trabalha aqui).
> >    Ele disse que para uma determinada consulta em nosso AD, ele teve que
> > criar mecanimos de várias consultas, e ele já faz as consultas pedindo de
> > 500 em 500.
> >
> >
> >
> >
> > Em 18 de março de 2016 14:08, Rogério Moura <rogerpop at gmail.com>
> escreveu:
> >
> >> Douglas,
> >> Fui dar uma lida no código do patch que o marcelo coutinho fez, esse
> >> cara é um dos desenvolvedores do pfsense, tem muita contribuição no
> >> projeto.
> >> Percebi que no grupo geral que tenho para acesso à net, só estava
> >> listando 1500 usuários, mas fazendo uma consulta direto no AD, tem
> >> mais de 2000 mil contas, está aí o problema, várias contas estão sem
> >> perfil de internet.
> >> Agora basta saber se é uma limitação do PHP ou do ldap que está
> >> limitando o resultado na hora da consulta.
> >>
> >> Em 18 de março de 2016 11:01, Douglas Fischer
> >> <fischerdouglas at gmail.com> escreveu:
> >> > á tive problema com recursividade de grupos em grupos e permissões de
> >> > leitura...
> >> >
> >> > Teu usuário de consulta é tem nível de privilégios suficientes para
> ler
> >> > TODOS os usuários e grupos(mesmo os globais)?
> >> >
> >> > Em 18 de março de 2016 10:30, Rogério Moura <rogerpop at gmail.com>
> >> escreveu:
> >> >
> >> >> Douglas,
> >> >> O escopo é o global, mas o interessante é que lista a maioria, são
> >> >> mais de 1500 contas nesse grupo, porém algumas contas não listam, não
> >> >> posso afirmar, mas tô achando que é devido a grande quantidade de
> >> >> contas no grupo, de alguma forma o patch que o cara fez não está
> >> >> lidando bem com essa quantidade de usuários.
> >> >>
> >> >> Em 18 de março de 2016 08:09, Douglas Fischer
> >> >> <fischerdouglas at gmail.com> escreveu:
> >> >> > Rogério,
> >> >> > eu estou em outros projetos e não tive como por a mão na massa...
> >> >> >
> >> >> > Mas em outra ferramenta de outro fabricante que faz o
> >> IP-User-Mapping eu
> >> >> > tive problemas com o uso de Distribution-Group(coisa do cliente
> >> maluco).
> >> >> >
> >> >> > Naquele caso, simplemente criando um SecurityGroup e colocando o
> >> >> > Distribution Group dentro e as consultas passaram a desenrolar
> >> >> rapidamente.
> >> >> >
> >> >> > O escopo dos grupos criados? Qual foi?
> >> >> >
> >> >> >
> >> >> >
> >> >> >
> >> >> > Em 17 de março de 2016 15:39, Rogério Moura <rogerpop at gmail.com>
> >> >> escreveu:
> >> >> >
> >> >> >> Douglas,
> >> >> >> Acabei de fazer uns testes aqui e não foram satisfatórios, criei 2
> >> >> >> perfis, um geral e outro para as redes sociais, infelizmente
> alguns
> >> >> >> usuários não navegam, o squidGuard retorna que o usuário não está
> em
> >> >> >> um grupo, mas no AD o usuário está no grupo. executando na
> console o
> >> >> >> comando que  o patch traz, que lista os grupos e usuários do AD,
> >> >> >> realmente alguns usuários está faltando.
> >> >> >> Vou reportar no fórum do pfsense e ver no que vai dar.
> >> >> >>
> >> >> >>
> >> >> >> Em 16 de março de 2016 16:15, Douglas Fischer
> >> >> >> <fischerdouglas at gmail.com> escreveu:
> >> >> >> > Opa!
> >> >> >> > Dando uma de coveiro na Thread. Mas nem é tão velha e
> certamente é
> >> >> >> > correlata.
> >> >> >> >
> >> >> >> >
> >> >> >> > Escavando a internet esbarrrei nisso:
> >> >> >> >
> >> >> >>
> >> >>
> >>
> http://www.pfsense-br.org/blog/2016/02/patch-corrige-consulta-ldap-do-squidguard/
> >> >> >> >
> >> >> >> > Ainda não testei...
> >> >> >> > Alguém?
> >> >> >> >
> >> >> >> >
> >> >> >> >
> >> >> >> > Em 9 de março de 2016 15:39, Bruno Vane <broonu at gmail.com>
> >> escreveu:
> >> >> >> >
> >> >> >> >> Antonio, aqui é simples: eu bloqueio no firewall portas 80 e
> >> 443, e
> >> >> no
> >> >> >> >> próprio pfsense eu uso WPAD pra autoconfigurar o proxy nos
> >> clientes
> >> >> via
> >> >> >> >> DHCP.
> >> >> >> >>
> >> >> >> >> Em 9 de março de 2016 08:10, Antonio Modesto <
> >> >> modesto at isimples.com.br>
> >> >> >> >> escreveu:
> >> >> >> >>
> >> >> >> >> >
> >> >> >> >> >
> >> >> >> >> > On 08-03-2016 13:14, Lucas Dias wrote:
> >> >> >> >> >
> >> >> >> >> >> Em 8 de março de 2016 08:40, Jonas Odorizzi <
> >> >> >> jonas.odorizzi at gmail.com>
> >> >> >> >> >> escreveu:
> >> >> >> >> >>
> >> >> >> >> >> Bom Dia Pessoal.
> >> >> >> >> >>>
> >> >> >> >> >>> Tudo Bem ?
> >> >> >> >> >>>
> >> >> >> >> >>> Na opinião de vocês qual a melhor solução de webfilter ou
> >> >> controle
> >> >> >> de
> >> >> >> >> >>> internet
> >> >> >> >> >>>   ( custo/beneficio ) para uma empresa com até 60
> >> computadores.
> >> >> >> >> >>>
> >> >> >> >> >>> Gostaria de uma solução que tenha atualização de urls das
> >> >> >> categorias.
> >> >> >> >> >>>
> >> >> >> >> >>> Obrigado !
> >> >> >> >> >>>
> >> >> >> >> >>> Att Jonas Odorizzi.
> >> >> >> >> >>> --
> >> >> >> >> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> >> >>>
> >> >> >> >> >>
> >> >> >> >> >> Jonas, la vai minha humilde opinião.
> >> >> >> >> >>
> >> >> >> >> >> Solução Open: pfSense bem configurado de olho fechado. Tempo
> >> é uma
> >> >> >> >> >> variável
> >> >> >> >> >> que você deve levar em consideração na hora de avaliar
> custos.
> >> >> >> >> >>
> >> >> >> >> >> Solução comercial: FortiGate também de olho fechado.
> >> >> >> >> >>
> >> >> >> >> >> Trabalho com as duas soluções e sempre deixo a disposição do
> >> >> cliente
> >> >> >> a
> >> >> >> >> >> escolha. Há casos que indico pfSense, a outros casos que
> >> indico
> >> >> >> >> FortiGate.
> >> >> >> >> >> Sempre levo em consideração quanto tempo de implementação
> >> terei,
> >> >> >> qual o
> >> >> >> >> >> orçamento médio pra aquisição de recursos, mão de obra,
> >> >> manutenção da
> >> >> >> >> >> solução, entre outros detalhes.
> >> >> >> >> >>
> >> >> >> >> >> Falar em custo benefício apenas levando-se em conta que você
> >> quer
> >> >> uma
> >> >> >> >> >> solução para controle de internet e webfilter com
> atualização
> >> de
> >> >> URL
> >> >> >> é
> >> >> >> >> >> complicado, mas como sugestão você tem essas duas opções que
> >> >> >> recomendo.
> >> >> >> >> >>
> >> >> >> >> >> Abraços e que a força esteja com você.
> >> >> >> >> >>
> >> >> >> >> >
> >> >> >> >> > --
> >> >> >> >> > Atenciosamente,
> >> >> >> >> >
> >> >> >> >> > Como o pessoal anda lidando com HTTPS? Uma das maiores
> >> >> desvantagens de
> >> >> >> >> > manter um proxy HTTP hoje é justamente isso. De nada vale uma
> >> >> >> categoria
> >> >> >> >> de
> >> >> >> >> > URL's  se o proxy não vai conseguir enxergá-las. Fica criando
> >> >> >> exceções no
> >> >> >> >> > firewall também é muito cansativo na minha opinião.
> >> >> >> >> >
> >> >> >> >> >
> >> >> >> >> > --
> >> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> >> >
> >> >> >> >> --
> >> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> >>
> >> >> >> >
> >> >> >> >
> >> >> >> >
> >> >> >> > --
> >> >> >> > Douglas Fernando Fischer
> >> >> >> > Engº de Controle e Automação
> >> >> >> > --
> >> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >> --
> >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >>
> >> >> >
> >> >> >
> >> >> >
> >> >> > --
> >> >> > Douglas Fernando Fischer
> >> >> > Engº de Controle e Automação
> >> >> > --
> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> --
> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > Douglas Fernando Fischer
> >> > Engº de Controle e Automação
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list