linux user group brescia

Io sono intetessato :)

Mattia

> Message: 4
> Date: Wed, 14 Aug 2013 13:58:25 +0200
> From: Francesco Rmp <atomikramp a gmail.com>
> To: Linux User Group di Brescia <lug a lugbs.linux.it>
> Subject: Re: [LugBS] NAS + FreeRADIUS + dansguardian e filtri per
>         utente
> Message-ID:
>         <CAEzDm_enhfjFKKaNSw=
M0LDcqqjHsQk44eKCh+TKJFyJThWP1A a mail.gmail.com>
> Content-Type: text/plain; charset="iso-8859-1"
>
> comunque ci sono quasi :)
>
> se a qualcuno interesserà poi vi farò sapere come ho deciso di procedere e
> come andrà a finire :)
>
>
> 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
>
> > principalmente perchè il proxy nella tua configurazione non è
trasparente.
> > perchè gli utenti possono essere utenti che accedono al dominio AD con i
> > PC, ma possono anche essere utenti che vanno e vengono con i loro
> > portatili, dove l'utente non accede al dominio ma serve solo per la
> > navigazione/accesso ad internet e dove tutto deve funzionare senza
> > configurare nulla lato client.
> >
> >
> > 2013/8/13 Davide Ronchi <idave a idave.it>
> >
> >> Ciao.
> >>
> >> Scusa ma come fanno gli utenti ad autenticarsi sui PC? AD giusto?
> >>
> >> Perche' allora non seguire questa strada, piu' sicura e affidabile?
> >> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
> >>
> >> Davide
> >>
> >>
> >> 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
> >>
> >>> Ciao a tutti,
> >>> lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la
mia
> >>> necessità , e vi chiedo se secondo voi una cosa del genere è fattibile.
> >>>
> >>> Io ho una rete con un NAS (Network access controller) configurato per
> >>> autenticare gli utenti tramite username/password verso un server
freeRADIUS
> >>> collegato ad active directory.
> >>>
> >>> Ora.
> >>> Una volta che gli utenti vengono autorizzati ad accedere ad internet
il
> >>> loro traffico web viene tutto girato tramite delle regole di iptables
verso
> >>> un proxy squid+dansguardian per il filtro dei contenuti.
> >>>
> >>> La configurazione dei proxy fatta in questo modo è transparent, e
quindi
> >>> di per sè molto comoda in quanto non richiede alcuna configurazione
lato
> >>> browser da parte dell'utente, e l'autenticazione la ottengo comunque
> >>> attraverso il NAS.
> >>>
> >>> Il problema viene però quando io devo far sì che i filtri sulla
> >>> navigazione siano personalizzati per utente: questo perchè ovviamente
il
> >>> dansguardian (e lo squid) ricevendo il traffico web in maniera
trasparente
> >>> non gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che
> >>> conoscono sono gli IP delle macchine.
> >>>
> >>> In uno scenario dove però più utenti usano la stessa macchina questo
non
> >>> mi consente di applicare dei filtri che siano sempre coerenti.
> >>>
> >>> Che voi sappiate esiste un modo per far capire a dansguardian qual'è
> >>> l'utente affinchè poi possa applicare le regola basate su user/groups?
> >>>
> >>> Partiamo dal presupposto che il radius server logga in un database
tutte
> >>> le sessioni degli utenti autenticati sul NAS, e per questi ho
> >>> - durata della sessione
> >>> - mac address della scheda di rete
> >>> - indirizzo ip
> >>> - nome utente
> >>>
> >>> secondo voi si riesce a dire a dansguardian di andarsi a leggere
questi
> >>> dati facendo una query tipo: select username from radacct where
> >>> ipaddress="" ?
> >>> in modo che quando gli arriva una richiesta il proxy possa mappare
l'ip
> >>> all'utente?
> >>>
> >>> scusate per la longaggine e ringrazio in anticipo per l'aiuto
> >>> Francesco
> >>>
> >>> --
> >>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
> >>>
> >>
> >>
> >> --
> >> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
> >>
> >
> >
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130814/165c2be3/attachment.html>