Académique Documents
Professionnel Documents
Culture Documents
Este tutorial demonstra como utilizar os recursos da biblioteca squid_ldap_group para que o Squid autentique os usurios por grupos cadastrados no Active Directory. Por: Ricardo Pardim Claus 29/07/2011 ags: Squid, pfSense, Active irector!, A , openldap"client, squid#ldap#$roup, squid#ldap#aut%, squid&inc !er"o do sistema e pacotes utilizados# pfSense vers'o 2&0 RC( Squid vers'o 2&7 )indo*s 200( R2 +,iste um -u$ no squid e no openldap"client, am-os nas vers.es anteriores / 2&0 do pfSense& Caso o seu pfSense este0a em produ1'o, e n'o tem como fa2er uma nova instala1'o, dever3 primeiro resolver estes pro-lemas se$uindo estes tutoriais: %ttp://***&fu$&com&-r/content/vie*/459/77/ %ttp://***&vivaolinu,&com&-r/dica/Corri$indo"a"opcao"de" ela!"Pools"e"autenticacao"6dap"do"Squid" 2&7&5#1"no"PfSense"1&2&(Release $ases de %eferencias# %ttp://forum&pfsense&or$/ %ttp://***&squid"cac%e&or$&-r/inde,&p%p7option8com#content9tas:8vie*9id8;09<temid827 %ttp://***&c!-erciti&-i2/tips/%o*to"confi$ure"squid"ldap"aut%entication&%tml %ttp://***&papercut&com/:-/=ain/Confi$urin$SquidPro,!>oAut%enticate)it%Active irector! %ttp://forum&pfsense&or$/inde,&p%p/topic,20205&0&%tml %ttp://***&di$ipedia&pl/man/doc/vie*/squid#ldap#aut%&5 &"os a obra# Primeiramente, o squid n'o pode estar confi$urado em modo pro,! transparente& ?este modo, n'o @ possAvel nem ao menos confi$urar as op1.es de autentica1'o no *e-$ui do pfSense, 03 que pro,! transparente n'o fa2 autentica1'o& ?o Active irector!, crie uma '(, com o nome B)nternetC& ?esta DE, crie 2 $rupos B)nternet* )C, e B)nternet*$ancosC, ou qualquer nome que mais l%e a$radar& D $rupo <nternet"><, tem acesso full, sem nen%um -loqueio& F3 o internet"-ancos, ira nave$ar apenas em sites cadastrados em uma lista Glista -rancaH& ?a DE B(sersC, crie um usu3rio com qualquer nome, aqui utili2ei o usu3rio squid& efina uma sen%a para este usu3rio, e lem-re de marcar a op1'o para n'o e,pirar a sen%a deste usu3rio& ApIs concluir toda a confi$ura1'o indicada neste tutorial, vocJ poder3 criar quantos $rupos dese0ar, e se$uir com os -loqueios e li-era1'o para cada um deles& Supon%o que o seu Squid 03 este0a funcionando com os -loqueios dese0ados& Antes, @ necess3rio alterar as re$ras de fire*all, para que as esta1.es clientes se0am o-ri$adas a utili2arem o pro,! local para ter acesso a internet& ?o menu +ire,all - %ules, as re$ras devem ficar conforme ima$em a-ai,o: '$S: A re$ra importante que desa-ilitei, foi a se$unda re$ra, pois ela permite acesso total a qualquer endere1o de destino& ?ote que no final das re$ras, eu criei uma re$ra semel%ante&
Ki$ura 1 " Re$ras de fire*all A$ora vamos as confi$ura1.es do squid& Acesse o menu Services L Pro,! Server& ?a $uia B.eneralC, desa-ilite a op1'o de B/ro0y ransparenteC& +m se$uida, acesse a $uia BAut1 SettingsC& Altere as re$ras conforme a ima$em a-ai,o:
+igura 2 * 3onfigura4"o da guia Aut1 Settings do Squid +,plicando os valores que utili2ei, para servir como referencia: &eu dominio: dominio&com&-r Servidor AD: 10&0&0&2 (surio squid: +ste usu3rio que far3 a autentica1'o no A , para efetuar as pesquisas na -ase de dados ldap& 5ota: =uitos tutoriais e,istentes na internet, indica para utili2ar um usu3rio Administrator para pesquisar na -ase de dados ldap& =as n'o @ necess3rio que o usu3rio se0a administrador& Crie um usu3rio com um nome qualquer, sem que este se0a administrador do sistema& <sto aumenta a se$uran1a, 03 que a autentica1'o @ feita em te,to puro, sem nen%um tipo de encripta1'o& G!ide se4"o 6 estes e resultados7H ApIs efetuar as altera1.es e salvar, e inclusive o pro,! confi$urado no nave$ador da maquina cliente, o Squid 03 ira solicitar autentica1'o para nave$ar& Autentica4"o por .rupo Kalta confi$urar o squid para autenticar por $rupo, e n'o por usu3rio ou <P& 6em-rando que nen%uma altera1'o deve ser feito no arquivo squid.conf G/usr/local/etc/squid/squid&confH, como @ feito em outras distri-ui1.es linu,& +stas confi$ura1.es s'o so-re escritas sempre que o pfSense for reiniciado, ou qualquer altera1'o feita pela *e-$ui& D correto @ alterar diretamente o arquivo squid.inc&