[MontelLUG] Autenticazione mista squid

[Samuele]

On 07/01/2012 17:04, Luca 'remix_tj' Lorenzetto wrote:
> 2012/1/7 Samuele<samuele.zanin a tiscali.it>:
>>   Un dubbio sull'autenticazione squid, prima di mettermi a tirare su proxy e
>> relativo domain controller.
>> Ho consultato varie guide, ma riportano tutte il "caso standard", cosa che
>> ovviamente io non ho.
>> Perché squid permetta all'utente di andare in internet intenderei utilizzare
>> di default l'autenticazione su active directory.
>
> Assolutamente si, e via kerberos. Ovviamente.

E su questo non ci piove.


>> Ho però altresì una serie di macchine che non possono per vari motivi
>> autenticarsi su active directory, per le quali normalmente l'accesso ad
>> internet è negato. Però per motivi di manutenzione può presentarsi la
>> necessità di farle accedere ad internet. In questi casi, vorrei andando con
>> il browser su di una pagina particolare dove immettere username/pwd
>> dell'autenticazione basic ed abilitare l'accesso temporaneamente
>
> Perchè complicarsi la vita? Non si autenticano, quindi vanno da sole
> in fallback su autenticazione basic, dove mettono username e password
> a mano.

ok.

> <cattiveria>
> Scoccia? Scoccia dover mettere robe a mano? ECCO BRAVI. NON COMPRATE
> PIU' PC DI MERDA AL MEDIAWORLD CON ROBA HOME PER LAVORO.
> </cattiveria>

Varda... arrivare in un posto e trovare i 3/4 dei pc con xp home...
Cmq, a parte i pc con home, quando che vado li io con il mio pc, di 
sicuro non faccio login sulla mia macchina con un utente di dominio.

> L'alternativa è che questi abbiano un ip fisso e sistemi
> l'autoconfigurazione del proxy via proxy.pac

A parte che questi pc confido che un po' alla volta andranno a morire, 
si sta seriamente valutando di passare quasi tutta la rete (eccetto 
serve e poca altra roba) in dhcp.

> http://findproxyforurl.com/ per maggiori info

OK

>> Mi chiedo se sia altresì possibile, per un utente autenticato tramite active
>> directory però appartenente ad un gruppo con restrizioni, fare, sempre per
>> manutenzione, login con altre credenziali ed avere libero accesso.

>
> NIET.

Eccola qui la fregatura.

> Se è in un gruppo con restrizioni, resta nel gruppo con
> restrizioni. Per farlo passare in un gruppo senza lo togli dal gruppo
> e fai ricaricare la base dati a squid così decadono le restrizioni.
> Altrimenti usi un browser che di default non ha attivo kerberos (es
> firefox o chrome)

Ok, mi pare un compromesso accettabile.


> Allora, ti porto l'esempio della provincia, dove lavoro.
>
> By design esistono dei filtri (squidguard). La base dati degli utenti
> è LDAP di Active Directory, l'autenticazione integrata avviene via
> Kerberos.
>
> auth_param negotiate program /usr/lib/squid3/squid_kerb_auth
> auth_param negotiate children 40
> auth_param negotiate keep_alive on
>
> Di default si naviga con restrizioni. Esistono però due ACL:
>
>
> external_acl_type InetFull children=10 %LOGIN
> /usr/lib/squid3/squid_ldap_group -R -b "dc=prov, dc=tv, dc=local" -D
> "cn=ldapconnect, cn=Users, dc=prov, dc=tv, dc=local" -w
> "OMFGLOLWUTPSWD!!!!" -f "(&(objectclass=person) (userPrincipalName=%v)
> (memberof=cn=%a, ou=Utenti, ou=SantArtemio, dc=prov, dc=tv,
> dc=local))" -h dc.prov.tv.local
>
> external_acl_type NoInternet children=10 %LOGIN
> /usr/lib/squid3/squid_ldap_group -R -b "dc=prov, dc=tv, dc=local" -D
> "cn=ldapconnect, cn=Users, dc=prov, dc=tv, dc=local" -w
> "OMFGLOLWUTPSWD!!!!" -f "(&(objectclass=person) (userPrincipalName=%v)
> (memberof=cn=NoInternet, ou=Utenti, ou=SantArtemio, dc=prov, dc=tv,
> dc=local))" -h dc.prov.tv.local
>
> Che ricavano gli user presenti nei gruppi NoInternet e InetFullAccess.
> Se sei nel primo non vedi na mazza, se sei nel secondo invece vedi
> tutto (anche quelli che normalmente è bloccato)
>
> Le acl sono configurate così:
>
> acl auth proxy_auth REQUIRED
> acl InetLibero external InetFull InetFullAccess
> acl NoInternet external NoInternet NoInternet
>
> Che sono abbinate a queste istruzioni:
>
>
> redirector_access deny InetLibero<- salta l'accesso a squidguard =
> niente filtri
>
> http_access deny !auth<- se non sei autenticato ciccia
> http_access allow !NoInternet auth<- se sei non sei nel gruppo no
> internet e sei autenticato passa
> http_access deny all<- se arrivi qua, ciccia.
>
>
> Per quanto riguarda l'appartenenza al gruppo squid li carica al suo avvio.
>
> squid3 -k reconfigure

Quindi ogni volta che si aggiunge un nuovo utente o si 
abilita/disabilita bisogna far rileggere il db utente?
Io speravo facesse la query ad ogni autenticazione.

> fa ricaricare tutto a squid, compreso i membri dei gruppi.
> Quindi rimuovere le restrizioni si può fare in questo modo:
>
> schedulo ogni notte un squid3 -k reconfigure (magari con logrotate,
> che così fa tutto un giro). Togli l'utente dal gruppo con restrizioni,
> fai ricaricare squid e poi lo rimetti nel gruppo, avvisando l'utente
> che l'essere senza restrizioni gli durerà fino a sera (il giorno dopo
> gli ritornano)
> Per un certo periodo abbiamo fatto così anche noi, ma poi abbiamo
> visto che il 90% dei casi che venivano sbloccati restavano sbloccati e
> quindi non serviva il reconfigure notturno.
>
>
> Per quanto riguarda se robe ero cintura nera fin a qualche mese fa,
> desso perdo qualche colpo :-P
>
> ciao ciao

Thx. Adesso vedo de mettar su un paro de vm par far e prove.

-- 
Vedo la luce in fondo al tunnel. E' il treno che mi sta venendo addosso.
(anonimo)
Ma mi prendesse veramente in pieno una buona volta.
(Samuele)