Squid com grupo de usuários e computadores
Publicado por Ronaldo em 22/04/2013
[ Hits: 6.768 ]
Squid com grupo de usuários e computadores
Squid autenticado com acesso autorizado em uma lista de computadores por grupos e um login por vez.
Vou mostrar aqui como resolver um problema de compartilhamento de senha pelos usuários do Squid, mas descreverei apenas o que foi acrescentado em uma configuração funcional do Squid autenticado. Assim, não disponibilizarei o ".conf" completo.
Senário: tenho um servidor proxy Squid configurado como proxy autenticado que provê acesso à Internet a cerca de 300 usuários.
Há um filtro de bloqueio por URL, site e palavra-chave externo DansGuardian, mas não vou entrar neste assunto agora.
Voltando ao Squid, com o sistema em produção, notamos alguns desvios de conduta dos usuários, sendo:
Do total de usuários dos computadores, nem todos possuíam acesso à Internet, assim, em um mesmo computador, temos usuários com acesso liberado e outros sem acesso, e o controle feito pelo uso de autenticação.
Durante um bom tempo isto foi o suficiente, mas os usuários passaram a salvar suas senhas nos computadores, assim, qualquer um que utilizasse o computador tinha acesso à Internet. Havia casos onde uma mesma senha estava salva em vários computadores e até em setores de trabalho diferentes.
Também verificamos o uso compartilhado de senha, ou seja, um usuário informava seu login e senha para outros usuários.
Para resolver os problemas, foram aplicadas duas regras ao Squid, que dependem que a configuração dos IPs das estações sejam estáticos.
1. Limitamos o tempo de login em 6 minutos e permitimos apenas um login por vez, assim, para um usuário trocar de computador para acesso à Internet, ele deve fechar qualquer programa que esteja acessando a Internet em seu login e aguardar 6 minutos até poder acessar em outro computador.
2. Foi criada uma pasta contendo grupos de usuários e computadores, sendo:
E um script para verificação destes arquivos:
Script shell "checa.sh":
Aquivos de grupos criados em uma pasta chamada "grupos" dentro das configurações do Squid:
O conteúdo dos arquivos de grupos são, para os usuários o nome que o usuário autentica e para as máquinas os IPs de cada computador, sendo um item por linha, exemplo:
arquivo "contabilidade.usuarios":
arquivo "contabilidade.maquinas":
Assim, o acesso pelo Squid ficou limitado a um login por vez e restrito a um grupo de computadores ao qual o usuário pertence.
Também o script gera um log em /var/log/squid/login.log, contendo os acessos aceitos e bloqueados.
Este é meu primeiro tutorial no Viva o Linux.
Desde já, obrigado.
Ronaldo Maia.
Vou mostrar aqui como resolver um problema de compartilhamento de senha pelos usuários do Squid, mas descreverei apenas o que foi acrescentado em uma configuração funcional do Squid autenticado. Assim, não disponibilizarei o ".conf" completo.
Senário: tenho um servidor proxy Squid configurado como proxy autenticado que provê acesso à Internet a cerca de 300 usuários.
Há um filtro de bloqueio por URL, site e palavra-chave externo DansGuardian, mas não vou entrar neste assunto agora.
Voltando ao Squid, com o sistema em produção, notamos alguns desvios de conduta dos usuários, sendo:
Do total de usuários dos computadores, nem todos possuíam acesso à Internet, assim, em um mesmo computador, temos usuários com acesso liberado e outros sem acesso, e o controle feito pelo uso de autenticação.
Durante um bom tempo isto foi o suficiente, mas os usuários passaram a salvar suas senhas nos computadores, assim, qualquer um que utilizasse o computador tinha acesso à Internet. Havia casos onde uma mesma senha estava salva em vários computadores e até em setores de trabalho diferentes.
Também verificamos o uso compartilhado de senha, ou seja, um usuário informava seu login e senha para outros usuários.
Para resolver os problemas, foram aplicadas duas regras ao Squid, que dependem que a configuração dos IPs das estações sejam estáticos.
1. Limitamos o tempo de login em 6 minutos e permitimos apenas um login por vez, assim, para um usuário trocar de computador para acesso à Internet, ele deve fechar qualquer programa que esteja acessando a Internet em seu login e aguardar 6 minutos até poder acessar em outro computador.
#Configurações do squid
authenticate_ip_ttl 6 minutes
acl maxlogin max_user_ip -s 1
http_access deny maxlogin
authenticate_ip_ttl 6 minutes
acl maxlogin max_user_ip -s 1
http_access deny maxlogin
2. Foi criada uma pasta contendo grupos de usuários e computadores, sendo:
- nome_do_grupo.usuarios
- nome_do_grupo.maquinas
E um script para verificação destes arquivos:
#configurações do squid
external_acl_type usuarios children=10 %LOGIN %SRC /etc/squid/checa.sh
acl checar external usuarios
http_access deny !checar
external_acl_type usuarios children=10 %LOGIN %SRC /etc/squid/checa.sh
acl checar external usuarios
http_access deny !checar
Script shell "checa.sh":
#!/bin/bash
CAMINHO="/etc/squid/grupos"
RETORNO="ERR"
LISTA=$( ls $CAMINHO/*.maquinas )
while read linha ; do
NOME=$( echo $linha | cut -f1 -d" ")
IP=$( echo $linha | cut -f2 -d" ")
if cat $CAMINHO/planejamento_informatica.usuarios | grep -iq ^$NOME$ ; then
RETORNO="OK"
else
for GRUPOS in $LISTA; do
GRUPO=`expr match "$GRUPOS" '\(.*\.\)'`
USUARIOS="$GRUPO""usuarios"
MAQUINAS="$GRUPO""maquinas"
if [ -e $USUARIOS ] && [ -e $MAQUINAS ] ; then
if cat $USUARIOS | grep -iq ^$NOME$ && \
cat $MAQUINAS | grep -iq ^$IP$; then
RETORNO=OK
fi
fi
done
fi
if [ $RETORNO == "OK" ] ; then
echo "Sucesso `date` Nome->$NOME IP->$IP">>/var/log/squid/login.log; echo OK
else
echo "Falha `date` Nome->$NOME IP->$IP">>/var/log/squid/login.log ; echo ERR
fi
done
CAMINHO="/etc/squid/grupos"
RETORNO="ERR"
LISTA=$( ls $CAMINHO/*.maquinas )
while read linha ; do
NOME=$( echo $linha | cut -f1 -d" ")
IP=$( echo $linha | cut -f2 -d" ")
if cat $CAMINHO/planejamento_informatica.usuarios | grep -iq ^$NOME$ ; then
RETORNO="OK"
else
for GRUPOS in $LISTA; do
GRUPO=`expr match "$GRUPOS" '\(.*\.\)'`
USUARIOS="$GRUPO""usuarios"
MAQUINAS="$GRUPO""maquinas"
if [ -e $USUARIOS ] && [ -e $MAQUINAS ] ; then
if cat $USUARIOS | grep -iq ^$NOME$ && \
cat $MAQUINAS | grep -iq ^$IP$; then
RETORNO=OK
fi
fi
done
fi
if [ $RETORNO == "OK" ] ; then
echo "Sucesso `date` Nome->$NOME IP->$IP">>/var/log/squid/login.log; echo OK
else
echo "Falha `date` Nome->$NOME IP->$IP">>/var/log/squid/login.log ; echo ERR
fi
done
Aquivos de grupos criados em uma pasta chamada "grupos" dentro das configurações do Squid:
- informatica.usuarios
- informatica.maquinas
- contabilidade.usuarios
- contabilidade.maquinas
- atendimento.usuarios
- atendimento.maquinas
- rh.usuarios
- rh.maquinas
- almoxarifado.usuarios
- almoxarifado.computadores
O conteúdo dos arquivos de grupos são, para os usuários o nome que o usuário autentica e para as máquinas os IPs de cada computador, sendo um item por linha, exemplo:
arquivo "contabilidade.usuarios":
maria
jose
jose
arquivo "contabilidade.maquinas":
192.168.1.10
192.168.1.15
192.168.1.33
192.168.1.78
192.168.1.15
192.168.1.33
192.168.1.78
Assim, o acesso pelo Squid ficou limitado a um login por vez e restrito a um grupo de computadores ao qual o usuário pertence.
Também o script gera um log em /var/log/squid/login.log, contendo os acessos aceitos e bloqueados.
Este é meu primeiro tutorial no Viva o Linux.
Desde já, obrigado.
Ronaldo Maia.
Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada
Openfire autenticando com AD via browser
Métodos para descobrir modelo da placa-mãe no Linux
Resolvendo problemas de caracteres e idiomas no Debian Etch AMD64 e Dreamlinux MMGL 2.2
Configuração de servidor DHCP no Ubuntu Server 17.04
Comentários
[1] Comentário enviado por ovudo em 23/04/2013 - 04:31h
parabéns, isso era uma duvida q por conscidência tive a 3 dias atrás, pois agora estou implementando um servidor squid sem auxilio do dominio windows, com isso percebi q alguns usuários 'safadinhos' estavam compartilhando suas senhas.
mas ai, nessa semana eu vou implementar a sua solução!
obrigado
parabéns novamente, ótima dica (sendo o primeiro ja começou ótimo)
parabéns, isso era uma duvida q por conscidência tive a 3 dias atrás, pois agora estou implementando um servidor squid sem auxilio do dominio windows, com isso percebi q alguns usuários 'safadinhos' estavam compartilhando suas senhas.
mas ai, nessa semana eu vou implementar a sua solução!
obrigado
parabéns novamente, ótima dica (sendo o primeiro ja começou ótimo)
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Agora temos uma assistente virtual no fórum!!! (247)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
redirecionando saida de comando touch para o AWK[AJUDA] (4)
Microfone do meu headset não é recinhecido. Meu notebook é um Acer Asp... (1)
iso de sistema 32 bit em atividade (18)
Top 10 do mês
-
Xerxes
1° lugar - 74.882 pts -
Fábio Berbert de Paula
2° lugar - 60.232 pts -
Clodoaldo Santos
3° lugar - 46.495 pts -
Buckminster
4° lugar - 26.646 pts -
Sidnei Serra
5° lugar - 26.188 pts -
Daniel Lara Souza
6° lugar - 18.319 pts -
Alberto Federman Neto.
7° lugar - 17.942 pts -
Mauricio Ferrari
8° lugar - 17.753 pts -
Diego Mendes Rodrigues
9° lugar - 15.871 pts -
edps
10° lugar - 15.394 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
