[LugBS] NAS + FreeRADIUS + dansguardian e filtri per utente
Francesco Rmp
atomikramp a gmail.com
Mer 14 Ago 2013 11:58:25 UTC
comunque ci sono quasi :)
se a qualcuno interesserà poi vi farò sapere come ho deciso di procedere e
come andrà a finire :)
2013/8/13 Francesco Rmp <atomikramp a gmail.com>
> principalmente perchè il proxy nella tua configurazione non è trasparente.
> perchè gli utenti possono essere utenti che accedono al dominio AD con i
> PC, ma possono anche essere utenti che vanno e vengono con i loro
> portatili, dove l'utente non accede al dominio ma serve solo per la
> navigazione/accesso ad internet e dove tutto deve funzionare senza
> configurare nulla lato client.
>
>
> 2013/8/13 Davide Ronchi <idave a idave.it>
>
>> Ciao.
>>
>> Scusa ma come fanno gli utenti ad autenticarsi sui PC? AD giusto?
>>
>> Perche' allora non seguire questa strada, piu' sicura e affidabile?
>> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
>>
>> Davide
>>
>>
>> 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
>>
>>> Ciao a tutti,
>>> lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la mia
>>> necessità , e vi chiedo se secondo voi una cosa del genere è fattibile.
>>>
>>> Io ho una rete con un NAS (Network access controller) configurato per
>>> autenticare gli utenti tramite username/password verso un server freeRADIUS
>>> collegato ad active directory.
>>>
>>> Ora.
>>> Una volta che gli utenti vengono autorizzati ad accedere ad internet il
>>> loro traffico web viene tutto girato tramite delle regole di iptables verso
>>> un proxy squid+dansguardian per il filtro dei contenuti.
>>>
>>> La configurazione dei proxy fatta in questo modo è transparent, e quindi
>>> di per sè molto comoda in quanto non richiede alcuna configurazione lato
>>> browser da parte dell'utente, e l'autenticazione la ottengo comunque
>>> attraverso il NAS.
>>>
>>> Il problema viene però quando io devo far sì che i filtri sulla
>>> navigazione siano personalizzati per utente: questo perchè ovviamente il
>>> dansguardian (e lo squid) ricevendo il traffico web in maniera trasparente
>>> non gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che
>>> conoscono sono gli IP delle macchine.
>>>
>>> In uno scenario dove però più utenti usano la stessa macchina questo non
>>> mi consente di applicare dei filtri che siano sempre coerenti.
>>>
>>> Che voi sappiate esiste un modo per far capire a dansguardian qual'è
>>> l'utente affinchè poi possa applicare le regola basate su user/groups?
>>>
>>> Partiamo dal presupposto che il radius server logga in un database tutte
>>> le sessioni degli utenti autenticati sul NAS, e per questi ho
>>> - durata della sessione
>>> - mac address della scheda di rete
>>> - indirizzo ip
>>> - nome utente
>>>
>>> secondo voi si riesce a dire a dansguardian di andarsi a leggere questi
>>> dati facendo una query tipo: select username from radacct where
>>> ipaddress="" ?
>>> in modo che quando gli arriva una richiesta il proxy possa mappare l'ip
>>> all'utente?
>>>
>>> scusate per la longaggine e ringrazio in anticipo per l'aiuto
>>> Francesco
>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130814/06754ba7/attachment.html>
Maggiori informazioni sulla lista
Lug
|
