Controle de acesso Squid + LTSP4.2

Publicado por Rogério Tomassoni em 03/09/2011

[ Hits: 6.087 ]

1 0

Denuncie Favoritos Indicar Impressora

Controle de acesso Squid + LTSP4.2

Após muitas noites sem sono, e uma indignação incrível em não conseguir controlar o acesso a internet com Squid + LTSP4.2, arrumei uma solução.

O cenário é o seguinte, tenho dois servidores LTSP4.2 e um servidor Squid proxy transparente, o que acontece que as regras aqui são, ou usuário tem acesso restrito em alguns sites ou ele tem acesso total ou simplesmente não tem acesso algum. Todas regras baseadas no IP da estação.

Nesse caso, como os usuários do LTSP saem pelo proxy, o proxy vê o IP do servidor LTSP e não da estação do usuário, isso causa o problema de acesso, pois se eu liberar o IP do servidor LTSP, todos usuários LTSP terão acesso, não conseguia restringir de maneira individual.

A solução

Compile seu Squid com o parâmetro que habilita o protocolo ident (RFC 1413), esse protocolo identifica entre algumas coisas, o usuário que está logado na máquina.

Crie um arquivo cujo conteúdo são os nomes dos usuários que terão acesso.

Nosso caso vamos criar o liberadasLTSP, com o conteúdo:

sis02
sis03

Logo crie a acl no squid.conf assim:

acl usuariosLTSP ident "/home/scripts/squid/liberadasLTSP"
http_access allow usuariosLTSP

Agora no servidor LTSP instale o daemon identd que pode ser encontrado em: Linux Identd - Freshmeat.net (baixe o arquivo linux-identd-1.3.tar.gz).

Para instalar:

# tar -zxvf linux-identd-1.3.tar.gz
# cd linux-identd-1.3
# make && make install

Coloque o daemon para funcionar, eu coloquei dentro de "/etc/rc.local" (Uso RHel5), mas fica a critério de cada um o meio de inicialização.

Podemos ver o processo ident ativo com comando "ps":

# ps aux | grep ident
nobody 3140 0.0 0.0 1692 468 ? Ss 01:03 0:00 /usr/sbin/identd -d

Pronto, faça o Squid fazer o reload do squid.conf:

# squid -k reconfigure

E bingo, agora eu consigo liberar os usuários de modo individual (no nosso caso sis02 e sis03 terão acesso), sem perder a transparência do proxy, pois o usuário não precisa digitar senha, nem nada.

Ai vem o porém, se a senha vazar e as pessoas fizerem mais de um login com a senha, vão ter acesso a internet?, a resposta é, sim, vão ter.

Para contornar isso utilize o script que escrevi para controlar sessões no KDE, ele se encontra aqui no VOL , está dentro da Dica: Limitando sessões KDE LTSP 4.2

Lembre-se se fechar todo tráfego para o IP do LTSP no Squid, depois libere como descrito acima.

Outras dicas deste autor

JPykotaGUI - controle de impressão

Limpando lixeira centralizada do Samba

Resolvendo problema de Nagios + NPC

Suporte remoto com x11vnc

Adicionando módulo LTSP4.2 à árvore do kernel

Leitura recomendada

Bloqueando o chat do Gmail via firewall (iptables) e proxy (Squid) no Linux

Série de Webinars em Segurança da Informação - Destaque para Análise Forense Computacional

Nmap - Exploração de redes e auditorias de segurança (webinar gratuita)

Brakeman - Rails Security Scanner

Serviços desnecessários rodando no S.O. são um risco