Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este tutorial demonstra como utilizar os recursos da biblioteca squid_ldap_group para que o
Squid autentique os usurios por grupos cadastrados no Active Directory.
Por: Ricardo Pardim Claus
29/07/2011
Tags: Squid, pfSense, Active Directory, AD, openldap-client, squid_ldap_group, squid_ldap_auth, squid.inc
Vero do sistema e pacotes utilizados:
pfSense verso 2.0 RC3
Squid verso 2.7
Windows 2003 R2
Existe um bug no squid e no openldap-client, ambos nas verses anteriores 2.0 do pfSense.
Caso o seu pfSense esteja em produo, e no tem como fazer uma nova instalao, dever primeiro
resolver estes problemas seguindo estes tutoriais:
http://www.fug.com.br/content/view/689/77/
http://www.vivaolinux.com.br/dica/Corrigindo-a-opcao-de-Delay-Pools-e-autenticacao-Ldap-do-Squid2.7.8_1-no-PfSense-1.2.3Release
Bases de Referencias:
http://forum.pfsense.org/
http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&Itemid=27
http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html
http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory
http://forum.pfsense.org/index.php/topic,20208.0.html
http://www.digipedia.pl/man/doc/view/squid_ldap_auth.8
Mos a obra:
Primeiramente, o squid no pode estar configurado em modo proxy transparente. Neste modo, no
possvel nem ao menos configurar as opes de autenticao no webgui do pfSense, j que proxy
transparente no faz autenticao.
No Active Directory, crie uma OU, com o nome Internet.
Nesta OU, crie 2 grupos Internet-TI, e Internet-Bancos, ou qualquer nome que mais lhe agradar.
O grupo Internet-TI, tem acesso full, sem nenhum bloqueio.
J o internet-bancos, ira navegar apenas em sites cadastrados em uma lista (lista branca).
Na OU Users, crie um usurio com qualquer nome, aqui utilizei o usurio squid.
Defina uma senha para este usurio, e lembre de marcar a opo para no expirar a senha deste usurio.
Aps concluir toda a configurao indicada neste tutorial, voc poder criar quantos grupos desejar, e seguir
com os bloqueios e liberao para cada um deles.
Suponho que o seu Squid j esteja funcionando com os bloqueios desejados.
Antes, necessrio alterar as regras de firewall, para que as estaes clientes sejam obrigadas a utilizarem
o proxy local para ter acesso a internet.
No menu Firewall > Rules, as regras devem ficar conforme imagem abaixo:
OBS: A regra importante que desabilitei, foi a segunda regra, pois ela permite acesso total a qualquer
endereo de destino. Note que no final das regras, eu criei uma regra semelhante.