linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] NAS + FreeRADIUS + dansguardian e filtri per utente

Davide Ronchi idave a idave.it
Mar 13 Ago 2013 16:19:02 UTC 
Ciao.

Scusa ma come fanno gli utenti ad autenticarsi sui PC? AD giusto?

Perche' allora non seguire questa strada, piu' sicura e affidabile?
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos

Davide


2013/8/13 Francesco Rmp <atomikramp a gmail.com>

> Ciao a tutti,
> lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la mia
> necessità, e vi chiedo se secondo voi una cosa del genere è fattibile.
>
> Io ho una rete con un NAS (Network access controller) configurato per
> autenticare gli utenti tramite username/password verso un server freeRADIUS
> collegato ad active directory.
>
> Ora.
> Una volta che gli utenti vengono autorizzati ad accedere ad internet il
> loro traffico web viene tutto girato tramite delle regole di iptables verso
> un proxy squid+dansguardian per il filtro dei contenuti.
>
> La configurazione dei proxy fatta in questo modo è transparent, e quindi
> di per sè molto comoda in quanto non richiede alcuna configurazione lato
> browser da parte dell'utente, e l'autenticazione la ottengo comunque
> attraverso il NAS.
>
> Il problema viene però quando io devo far sì che i filtri sulla
> navigazione siano personalizzati per utente: questo perchè ovviamente il
> dansguardian (e lo squid) ricevendo il traffico web in maniera trasparente
> non gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che
> conoscono sono gli IP delle macchine.
>
> In uno scenario dove però più utenti usano la stessa macchina questo non
> mi consente di applicare dei filtri che siano sempre coerenti.
>
> Che voi sappiate esiste un modo per far capire a dansguardian qual'è
> l'utente affinchè poi possa applicare le regola basate su user/groups?
>
> Partiamo dal presupposto che il radius server logga in un database tutte
> le sessioni degli utenti autenticati sul NAS, e per questi ho
> - durata della sessione
> - mac address della scheda di rete
> - indirizzo ip
> - nome utente
>
> secondo voi si riesce a dire a dansguardian di andarsi a leggere questi
> dati facendo una query tipo: select username from radacct where
> ipaddress="" ?
> in modo che quando gli arriva una richiesta il proxy possa mappare l'ip
> all'utente?
>
> scusate per la longaggine e ringrazio in anticipo per l'aiuto
> Francesco
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130813/9dbd696a/attachment.html>

Maggiori informazioni sulla lista Lug