linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] NAS + FreeRADIUS + dansguardian e filtri per utente

Francesco Rmp atomikramp a gmail.com
Mar 13 Ago 2013 11:48:04 UTC 
Ciao a tutti,
lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la mia
necessità, e vi chiedo se secondo voi una cosa del genere è fattibile.

Io ho una rete con un NAS (Network access controller) configurato per
autenticare gli utenti tramite username/password verso un server freeRADIUS
collegato ad active directory.

Ora.
Una volta che gli utenti vengono autorizzati ad accedere ad internet il
loro traffico web viene tutto girato tramite delle regole di iptables verso
un proxy squid+dansguardian per il filtro dei contenuti.

La configurazione dei proxy fatta in questo modo è transparent, e quindi di
per sè molto comoda in quanto non richiede alcuna configurazione lato
browser da parte dell'utente, e l'autenticazione la ottengo comunque
attraverso il NAS.

Il problema viene però quando io devo far sì che i filtri sulla navigazione
siano personalizzati per utente: questo perchè ovviamente il dansguardian
(e lo squid) ricevendo il traffico web in maniera trasparente non
gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che conoscono
sono gli IP delle macchine.

In uno scenario dove però più utenti usano la stessa macchina questo non mi
consente di applicare dei filtri che siano sempre coerenti.

Che voi sappiate esiste un modo per far capire a dansguardian qual'è
l'utente affinchè poi possa applicare le regola basate su user/groups?

Partiamo dal presupposto che il radius server logga in un database tutte le
sessioni degli utenti autenticati sul NAS, e per questi ho
- durata della sessione
- mac address della scheda di rete
- indirizzo ip
- nome utente

secondo voi si riesce a dire a dansguardian di andarsi a leggere questi
dati facendo una query tipo: select username from radacct where
ipaddress="" ?
in modo che quando gli arriva una richiesta il proxy possa mappare l'ip
all'utente?

scusate per la longaggine e ringrazio in anticipo per l'aiuto
Francesco
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130813/a47af414/attachment.html>

Maggiori informazioni sulla lista Lug