Após muitas noites sem sono, e uma indignação incrível em não conseguir controlar o acesso a internet com Squid + LTSP4.2, arrumei uma solução.
O cenário é o seguinte, tenho dois servidores LTSP4.2 e um servidor Squid proxy transparente,
o que acontece que as regras aqui são, ou usuário tem acesso restrito em alguns sites ou ele
tem acesso total ou simplesmente não tem acesso algum. Todas regras baseadas no IP da estação.
Nesse caso, como os usuários do LTSP saem pelo proxy, o proxy vê o IP do servidor LTSP e
não da estação do usuário, isso causa o problema de acesso, pois se eu liberar o IP do servidor
LTSP, todos usuários LTSP terão acesso, não conseguia restringir de maneira individual.
A solução
Compile seu Squid com o parâmetro que habilita o protocolo ident (RFC 1413), esse protocolo
identifica entre algumas coisas, o usuário que está logado na máquina.
Crie um arquivo cujo conteúdo são os nomes dos usuários que terão acesso.
Nosso caso vamos criar o liberadasLTSP, com o conteúdo:
sis02
sis03
Logo crie a acl no squid.conf assim:
acl usuariosLTSP ident "/home/scripts/squid/liberadasLTSP"
http_access allow usuariosLTSP
Agora no servidor LTSP instale o daemon identd que pode ser encontrado em:
Linux Identd - Freshmeat.net
(baixe o arquivo linux-identd-1.3.tar.gz).
Para instalar:
# tar -zxvf linux-identd-1.3.tar.gz
# cd linux-identd-1.3
# make && make install
Coloque o daemon para funcionar, eu coloquei dentro de "/etc/rc.local" (Uso RHel5),
mas fica a critério de cada um o meio de inicialização.
Podemos ver o processo ident ativo com comando "ps":
# ps aux | grep ident
nobody 3140 0.0 0.0 1692 468 ? Ss 01:03 0:00 /usr/sbin/identd -d
Pronto, faça o Squid fazer o reload do squid.conf:
# squid -k reconfigure
E bingo, agora eu consigo liberar os usuários de modo individual (no nosso caso sis02 e sis03 terão acesso), sem
perder a transparência do proxy, pois o usuário não precisa digitar senha, nem nada.
Ai vem o porém, se a senha vazar e as pessoas fizerem mais de um login com a senha, vão ter
acesso a internet?, a resposta é, sim, vão ter.
Para contornar isso utilize o script que escrevi para controlar sessões no KDE, ele se
encontra aqui no VOL , está dentro da
Dica: Limitando sessões KDE LTSP 4.2
Lembre-se se fechar todo tráfego para o IP do LTSP no Squid, depois libere como descrito acima.
Nenhum comentário foi encontrado.