[MontelLUG] Autenticazione mista squid

Luca 'remix_tj' Lorenzetto lorenzetto.luca a gmail.com
Sab 7 Gen 2012 17:04:15 CET 

2012/1/7 Samuele <samuele.zanin a tiscali.it>:
>  Un dubbio sull'autenticazione squid, prima di mettermi a tirare su proxy e
> relativo domain controller.
> Ho consultato varie guide, ma riportano tutte il "caso standard", cosa che
> ovviamente io non ho.
> Perché squid permetta all'utente di andare in internet intenderei utilizzare
> di default l'autenticazione su active directory.

Assolutamente si, e via kerberos. Ovviamente.



> Ho però altresì una serie di macchine che non possono per vari motivi
> autenticarsi su active directory, per le quali normalmente l'accesso ad
> internet è negato. Però per motivi di manutenzione può presentarsi la
> necessità di farle accedere ad internet. In questi casi, vorrei andando con
> il browser su di una pagina particolare dove immettere username/pwd
> dell'autenticazione basic ed abilitare l'accesso temporaneamente

Perchè complicarsi la vita? Non si autenticano, quindi vanno da sole
in fallback su autenticazione basic, dove mettono username e password
a mano.

<cattiveria>
Scoccia? Scoccia dover mettere robe a mano? ECCO BRAVI. NON COMPRATE
PIU' PC DI MERDA AL MEDIAWORLD CON ROBA HOME PER LAVORO.
</cattiveria>

L'alternativa è che questi abbiano un ip fisso e sistemi
l'autoconfigurazione del proxy via proxy.pac

http://findproxyforurl.com/ per maggiori info

> Mi chiedo se sia altresì possibile, per un utente autenticato tramite active
> directory però appartenente ad un gruppo con restrizioni, fare, sempre per
> manutenzione, login con altre credenziali ed avere libero accesso.
>

NIET. Se è in un gruppo con restrizioni, resta nel gruppo con
restrizioni. Per farlo passare in un gruppo senza lo togli dal gruppo
e fai ricaricare la base dati a squid così decadono le restrizioni.
Altrimenti usi un browser che di default non ha attivo kerberos (es
firefox o chrome)


Allora, ti porto l'esempio della provincia, dove lavoro.

By design esistono dei filtri (squidguard). La base dati degli utenti
è LDAP di Active Directory, l'autenticazione integrata avviene via
Kerberos.

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth
auth_param negotiate children 40
auth_param negotiate keep_alive on

Di default si naviga con restrizioni. Esistono però due ACL:


external_acl_type InetFull children=10 %LOGIN
/usr/lib/squid3/squid_ldap_group -R -b "dc=prov, dc=tv, dc=local" -D
"cn=ldapconnect, cn=Users, dc=prov, dc=tv, dc=local" -w
"OMFGLOLWUTPSWD!!!!" -f "(&(objectclass=person) (userPrincipalName=%v)
(memberof=cn=%a, ou=Utenti, ou=SantArtemio, dc=prov, dc=tv,
dc=local))" -h dc.prov.tv.local

external_acl_type NoInternet children=10 %LOGIN
/usr/lib/squid3/squid_ldap_group -R -b "dc=prov, dc=tv, dc=local" -D
"cn=ldapconnect, cn=Users, dc=prov, dc=tv, dc=local" -w
"OMFGLOLWUTPSWD!!!!" -f "(&(objectclass=person) (userPrincipalName=%v)
(memberof=cn=NoInternet, ou=Utenti, ou=SantArtemio, dc=prov, dc=tv,
dc=local))" -h dc.prov.tv.local

Che ricavano gli user presenti nei gruppi NoInternet e InetFullAccess.
Se sei nel primo non vedi na mazza, se sei nel secondo invece vedi
tutto (anche quelli che normalmente è bloccato)

Le acl sono configurate così:

acl auth proxy_auth REQUIRED
acl InetLibero external InetFull InetFullAccess
acl NoInternet external NoInternet NoInternet

Che sono abbinate a queste istruzioni:


redirector_access deny InetLibero <- salta l'accesso a squidguard =
niente filtri

http_access deny !auth <- se non sei autenticato ciccia
http_access allow !NoInternet auth <- se sei non sei nel gruppo no
internet e sei autenticato passa
http_access deny all <- se arrivi qua, ciccia.


Per quanto riguarda l'appartenenza al gruppo squid li carica al suo avvio.

squid3 -k reconfigure

fa ricaricare tutto a squid, compreso i membri dei gruppi.
Quindi rimuovere le restrizioni si può fare in questo modo:

schedulo ogni notte un squid3 -k reconfigure (magari con logrotate,
che così fa tutto un giro). Togli l'utente dal gruppo con restrizioni,
fai ricaricare squid e poi lo rimetti nel gruppo, avvisando l'utente
che l'essere senza restrizioni gli durerà fino a sera (il giorno dopo
gli ritornano)
Per un certo periodo abbiamo fatto così anche noi, ma poi abbiamo
visto che il 90% dei casi che venivano sbloccati restavano sbloccati e
quindi non serviva il reconfigure notturno.


Per quanto riguarda se robe ero cintura nera fin a qualche mese fa,
desso perdo qualche colpo :-P

ciao ciao

Luca



-- 
"E' assurdo impiegare gli uomini di intelligenza eccellente per fare
calcoli che potrebbero essere affidati a chiunque se si usassero delle
macchine"
Gottfried Wilhelm von Leibnitz, Filosofo e Matematico (1646-1716)

"Internet è la più grande biblioteca del mondo.
Ma il problema è che i libri sono tutti sparsi sul pavimento"
John Allen Paulos, Matematico (1945-vivente)

Luca 'remix_tj' Lorenzetto, http://www.remixtj.net , <lorenzetto.luca a gmail.com>

More information about the montellug mailing list