linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] NAS + FreeRADIUS + dansguardian e filtri per utente

Francesco Rmp atomikramp a gmail.com
Mar 13 Ago 2013 17:43:39 UTC 
principalmente perchè il proxy nella tua configurazione non è trasparente.
perchè gli utenti possono essere utenti che accedono al dominio AD con i
PC, ma possono anche essere utenti che vanno e vengono con i loro
portatili, dove l'utente non accede al dominio ma serve solo per la
navigazione/accesso ad internet e dove tutto deve funzionare senza
configurare nulla lato client.


2013/8/13 Davide Ronchi <idave a idave.it>

> Ciao.
>
> Scusa ma come fanno gli utenti ad autenticarsi sui PC? AD giusto?
>
> Perche' allora non seguire questa strada, piu' sicura e affidabile?
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
>
> Davide
>
>
> 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
>
>> Ciao a tutti,
>> lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la mia
>> necessità, e vi chiedo se secondo voi una cosa del genere è fattibile.
>>
>> Io ho una rete con un NAS (Network access controller) configurato per
>> autenticare gli utenti tramite username/password verso un server freeRADIUS
>> collegato ad active directory.
>>
>> Ora.
>> Una volta che gli utenti vengono autorizzati ad accedere ad internet il
>> loro traffico web viene tutto girato tramite delle regole di iptables verso
>> un proxy squid+dansguardian per il filtro dei contenuti.
>>
>> La configurazione dei proxy fatta in questo modo è transparent, e quindi
>> di per sè molto comoda in quanto non richiede alcuna configurazione lato
>> browser da parte dell'utente, e l'autenticazione la ottengo comunque
>> attraverso il NAS.
>>
>> Il problema viene però quando io devo far sì che i filtri sulla
>> navigazione siano personalizzati per utente: questo perchè ovviamente il
>> dansguardian (e lo squid) ricevendo il traffico web in maniera trasparente
>> non gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che
>> conoscono sono gli IP delle macchine.
>>
>> In uno scenario dove però più utenti usano la stessa macchina questo non
>> mi consente di applicare dei filtri che siano sempre coerenti.
>>
>> Che voi sappiate esiste un modo per far capire a dansguardian qual'è
>> l'utente affinchè poi possa applicare le regola basate su user/groups?
>>
>> Partiamo dal presupposto che il radius server logga in un database tutte
>> le sessioni degli utenti autenticati sul NAS, e per questi ho
>> - durata della sessione
>> - mac address della scheda di rete
>> - indirizzo ip
>> - nome utente
>>
>> secondo voi si riesce a dire a dansguardian di andarsi a leggere questi
>> dati facendo una query tipo: select username from radacct where
>> ipaddress="" ?
>> in modo che quando gli arriva una richiesta il proxy possa mappare l'ip
>> all'utente?
>>
>> scusate per la longaggine e ringrazio in anticipo per l'aiuto
>> Francesco
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130813/9833cf4e/attachment.html>

Maggiori informazioni sulla lista Lug