Autenticação Squid (msnt_auth) + proxy Transparente

[rhed2k]

Pessoal bom dia !

Estou com um problema e só vocês para me ajudar.

O cenário é o seguinte, tenho um Slack12 rodando super bem , estou rodando Squid nele com autenticação via msnt_auth para as máquinas windows da rede, só que de um tempo pra cá, o povo descobriu que tirar o proxy o acesso a net fica sem autenticação e o pior, dai não controlo orkut,youtube,etc... e minha rede fica um gargalo, dai entra msn,jogo online, principalmente os técnicos que usam notebook.

Já configurei uma epoca o proxy transparente no squid, mas qdo fui "obrigado" a ativar a autenticação pela diretoria, os dois juntos não funcionavam a autenticação se perdia.

O que vocês sugerem para que eu consiga fazer uma autenticação do jeito que está, q é ótimo, mas mesmo assim se o usuário desativar o proxy não consiga navegar ?!?!? Já pensei em redirecionamento com iptables mas acabei me perdendo.

Queria também conseguir criar exceções,pois o setor do RH por exemplo precisa acessar aplicativos do governo q não tem opção de proxy, precisam de conexão direta, dai eu precisaria abrir exceções pra determinados IP's da rede, sei também que esses Ip's liberados não causam problema.

Obrigado pessoal.

[Lynx]

Olha, para o proxy transparente funcionar vc precisa redirecionar o trafego da porta 80 do server para a 3128 do SQUID certo? se vc não fizer este redirecionamento para o local certo, o proxy transparente não irá funcionar e o cara não navegará sem o proxy setado...

Se quiser que algumas pessoas acessem sem squid, permita via IPTABLES que o IP deles acesse a porta 80 do servidor...

qualquer dúvida nas regras de iptables e tal, vai postando aqui, que vamos tentando ajudar...

Valew.

Tiago Iahn

[rhed2k]

Tiago Iahn

Valeu pela resposta, mas esse é o problema, quando ativo o redirecionamento das portas, o meu autenticador (msnt_auth) para de funcionar, ele não consegui fazer as autenticações, o msnt_auth funciona através do samba pois meu PDC é Windows 2003, quando ativo o proxy transparente,a janela de autenticação aparece, mas voce digita seu usuario e senha do windows e ele dá acesso negado sempre... nunca libera.
Acredito que deva ter alguma macete para que talvez o samba ou o autenticador aponte para o local correto, de repente seja isso,mas nao vi nada na documentação do autenticador.

De qq forma valeu, se tiver outra sugestão será bem vinda.

[Lynx]

OK, me diz uma coisa, os caras tem o Proxy setado no navegador web? A principio o Squid só pede autenticação quando os usuário colocam a configuração de proxy diretamente no browser... certo?

Então não entendi direito a necessidade de ter proxy transparente... consegue explicar melhor a sua topologia? e como ta funcionando sua autenticação....

Valew e desculpa aew, não ser tão objetivo...


Att
Tiago Iahn

[rhed2k]

Tiago não precisa se desculpar, até parece !! Vamos lá, vou tentar EU ser mais claro:

- Quando o usuário faz logon no domínio, é iniciado um script (vbs) que seta as configurações do proxy no navegador (internet Explorer) isso para rede toda.

- Quando o usuário abre o I.E. a tela de autenticação surge,na verdade qualquer requisição a as portas 80,443,etc.. exceto a 25 e 110 requerem autenticação. Se o usuario está na lista de usuarios liberados ele inclue o login e senha do domínio Windows (não crio usuarios no servidor linux) e obtem acesso, caso contrário dá uma mensagem de acesso negado.

- Problema: Alguns usuários mais espertinhos, principalmente os técnicos que usam notebooks e os mesmos não trabalham logando no servidor windows, ou seja, o script não roda e as GPO do Windows não sao aplicadas, a máquina deles acessa a rede , pega ip pelo Dhcp e navega tranuqilamente, usam msn, acessam orkut,youtube,etc... ao contrário dos demais usuários que possuem politicas de controle de acesso e horário de acesso a determinados sites e serviços.

Eu infelizmente não posso colocar os notebooks para logar no dominio, criando uma conta pra dominio e uma conta pra logon local,por conta de alguns aplicativos especificos que eles usam e as vezes precisam se conectar a rede dentro de outras empresas (eles não técnicos em informatica não) mas precisam de acesso a rede wirelles das empresas q prestamos serviço ou do hotel que eles ficam, mas queria q aqui dentro da rede, mesmo eles sem autenticação, fossem controlados pelo proxy sem precisa alterar nada na máquina deles.

Ocorre aqui alguns funcionários que trazem o notebook de casa, como deixei aberto um range para o dhcp definir ips fora da rede, pegam o ip e conectam e tá tudo certo, a empresa não proibe o uso do notebook, mas proibe a nevageção deliberada....

Consegui entender a situação ?

Obrigado pela atenção.

[Lynx]

Vo da uma pensada melhor... te respondo alguma coisa a tarde... eu uso um sistema de captive portals aqui o NoCat ... mas acho que no seu caso não serve tanto... depois nos falamos...

[rhed2k]

Beleza Lynx !

Abraço.

[Lynx]

Então, seu problema é complexo e realmente as duas coisas proxy autenticado e transparente, não foram feitos para andar juntos, hehe

Mas... (e no linux essa opção de MAS, é interessante)... vc poderia fazer com que seu proxy autenticado, fosse transparente aos usuários... sem usar proxy transparente ao pé da letra.... explico.

Talvez vc já até tenha pensado nesta opção mas no link abaixo, vc tem como configurar proxy automaticamente nas máquinas dos usuários... porem este precisarão ter usuário e senha no AD...

Linux: Configuração automática (mesmo) de proxy com WPAD [Artigo]


Não é muito interessante, mas deve funcionar... realmente eles irão precisar de usuário e senha no server...

Vai ser complicado resolver este "problema", então o jeito é testar estas opções e ver se elas fazem o que vc precisa realmente...

E claro não esqueça de postar resultados dos testes, para que pelo menos fique registrado tentativas e resultados no site...

Valew...

[rhed2k]

Lynx vou ler o artigo e colocar a mão na massa, atingindo resultados esperados ou não eu volto pra dar um feedback. Valeu pela atenção.

[Lynx]

valew... e boa sorte, a principio a utilização deste artigo ali, não é complicada, o maior problema é se realmente vai funcionar do jeito que vc precisa ou pelo menos qse....

Att
Tiago