linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] NAS + FreeRADIUS + dansguardian e filtri per utente

Francesco Rmp atomikramp a gmail.com
Mer 14 Ago 2013 14:36:14 UTC 
è ancora tutto molto work in progress, principalmente per via di un
problema che mi sta dando coova nell'invio degli accounting packets


2013/8/14 mattia miglio <miglio.mattia a gmail.com>

> Io sono intetessato :)
>
> Mattia
>
> > Message: 4
> > Date: Wed, 14 Aug 2013 13:58:25 +0200
> > From: Francesco Rmp <atomikramp a gmail.com>
> > To: Linux User Group di Brescia <lug a lugbs.linux.it>
> > Subject: Re: [LugBS] NAS + FreeRADIUS + dansguardian e filtri per
> >         utente
> > Message-ID:
> >         <CAEzDm_enhfjFKKaNSw=
> M0LDcqqjHsQk44eKCh+TKJFyJThWP1A a mail.gmail.com>
> > Content-Type: text/plain; charset="iso-8859-1"
> >
> > comunque ci sono quasi :)
> >
> > se a qualcuno interesserà poi vi farò sapere come ho deciso di procedere
> e
> > come andrà a finire :)
> >
> >
> > 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
> >
> > > principalmente perchè il proxy nella tua configurazione non è
> trasparente.
> > > perchè gli utenti possono essere utenti che accedono al dominio AD con
> i
> > > PC, ma possono anche essere utenti che vanno e vengono con i loro
> > > portatili, dove l'utente non accede al dominio ma serve solo per la
> > > navigazione/accesso ad internet e dove tutto deve funzionare senza
> > > configurare nulla lato client.
> > >
> > >
> > > 2013/8/13 Davide Ronchi <idave a idave.it>
> > >
> > >> Ciao.
> > >>
> > >> Scusa ma come fanno gli utenti ad autenticarsi sui PC? AD giusto?
> > >>
> > >> Perche' allora non seguire questa strada, piu' sicura e affidabile?
> > >> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
> > >>
> > >> Davide
> > >>
> > >>
> > >> 2013/8/13 Francesco Rmp <atomikramp a gmail.com>
> > >>
> > >>> Ciao a tutti,
> > >>> lo so che vi sembrerà una cosa un po' assurda ma vi spiego qual'è la
> mia
> > >>> necessità, e vi chiedo se secondo voi una cosa del genere è
> fattibile.
> > >>>
> > >>> Io ho una rete con un NAS (Network access controller) configurato per
> > >>> autenticare gli utenti tramite username/password verso un server
> freeRADIUS
> > >>> collegato ad active directory.
> > >>>
> > >>> Ora.
> > >>> Una volta che gli utenti vengono autorizzati ad accedere ad internet
> il
> > >>> loro traffico web viene tutto girato tramite delle regole di
> iptables verso
> > >>> un proxy squid+dansguardian per il filtro dei contenuti.
> > >>>
> > >>> La configurazione dei proxy fatta in questo modo è transparent, e
> quindi
> > >>> di per sè molto comoda in quanto non richiede alcuna configurazione
> lato
> > >>> browser da parte dell'utente, e l'autenticazione la ottengo comunque
> > >>> attraverso il NAS.
> > >>>
> > >>> Il problema viene però quando io devo far sì che i filtri sulla
> > >>> navigazione siano personalizzati per utente: questo perchè
> ovviamente il
> > >>> dansguardian (e lo squid) ricevendo il traffico web in maniera
> trasparente
> > >>> non gestiscono direttamente l'auth HTTP, e quindi l'unica cosa che
> > >>> conoscono sono gli IP delle macchine.
> > >>>
> > >>> In uno scenario dove però più utenti usano la stessa macchina questo
> non
> > >>> mi consente di applicare dei filtri che siano sempre coerenti.
> > >>>
> > >>> Che voi sappiate esiste un modo per far capire a dansguardian qual'è
> > >>> l'utente affinchè poi possa applicare le regola basate su
> user/groups?
> > >>>
> > >>> Partiamo dal presupposto che il radius server logga in un database
> tutte
> > >>> le sessioni degli utenti autenticati sul NAS, e per questi ho
> > >>> - durata della sessione
> > >>> - mac address della scheda di rete
> > >>> - indirizzo ip
> > >>> - nome utente
> > >>>
> > >>> secondo voi si riesce a dire a dansguardian di andarsi a leggere
> questi
> > >>> dati facendo una query tipo: select username from radacct where
> > >>> ipaddress="" ?
> > >>> in modo che quando gli arriva una richiesta il proxy possa mappare
> l'ip
> > >>> all'utente?
> > >>>
> > >>> scusate per la longaggine e ringrazio in anticipo per l'aiuto
> > >>> Francesco
> > >>>
> > >>> --
> > >>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
> > >>>
> > >>
> > >>
> > >> --
> > >> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
> > >>
> > >
> > >
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20130814/a98e76fb/attachment.html>

Maggiori informazioni sulla lista Lug