DANSGUARDIAN + SQUID

riav
(usa Debian)

Enviado em 04/12/2007 - 21:50h

Olá pessoal, estou com um seguinte problema:

Configurei meu squid para autenticar no AD 2003, tudo blz.

Dai quiz colocar um filtro externo para controlar melhor meus acessos, porem o dansguardian não consegue enviar ao squid qual usuario esta tentando acessar a pagina, com isso o squid abre a tela de logon, para o usuarios ja logado no dominio.

Gostaria de saber se o dansguardian envia o usuario ao squid?, pois como esta nos tutoriais, eu configuro o broser para apontar pro dansguardian, ai depois ele chama o squid e liberar o acesso de acordo com as regras.

Aguardo a ajuda de vcs!!!!

sombrasoares
(usa Kurumin)

Enviado em 05/12/2007 - 19:19h

riav, tem como vc colocar aqui no forum o seu dans.conf para q possamos da um olhada. Pois pelo q entendei na sua mensagem, vc sya usando Proxy Autenticado. Mas enquanto isso, de um revisa nas regras de autenticação do Squid para ver se esta tudo certo, com respeito a vc usar a porta 8080 em vez da 3128.

sombrasoares
(usa Kurumin)

Enviado em 06/12/2007 - 16:35h

Riav para vc fazer com q o Dans use a autenticação o Squid, tenho em vista que o Dansguardian não faz autenticaçao, mas sim usa a o Squid tem de habilitar a seguinte linha do Dansguardian.conf.
Linha: usernameidmethodproxyauth = on (Para usar a autenticação do Squid deve-se habilitar este parâmento).

riav
(usa Debian)

Enviado em 06/12/2007 - 19:46h

reportinglevel = 3
languagedir = '/etc/dansguardian/languages'
language = 'portuguese'
loglevel = 3
logexceptionhits = on
logfileformat = 3
loglocation = '/var/log/dansguardian/access.log'
filterip =
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
accessdeniedaddress = 'http://IP_DO_SERVIDOR/cgi-bin/dansguardian.pl'
nonstandarddelimiter = on
usecustombannedimage = 1
custombannedimagefile = '/etc/dansguardian/transparent1x1.gif'
filtergroups = 1
filtergroupslist = '/etc/dansguardian/filtergroupslist'
bannediplist = '/etc/dansguardian/bannediplist'
exceptioniplist = '/etc/dansguardian/exceptioniplist'
banneduserlist = '/etc/dansguardian/banneduserlist'
exceptionuserlist = '/etc/dansguardian/exceptionuserlist'
showweightedfound = on
weightedphrasemode = 2
urlcachenumber = 3000
urlcacheage = 900
phrasefiltermode = 2
preservecase = 0
hexdecodecontent = 0
forcequicksearch = 0
reverseaddresslookups = on
reverseclientiplookups = on
createlistcachefiles = on
maxuploadsize = -1
maxcontentfiltersize = 256
usernameidmethodproxyauth = on
usernameidmethodntlm = off # **NOT IMPLEMENTED**
usernameidmethodident = off
preemptivebanning = on
forwardedfor = off
usexforwardedfor = off
logconnectionhandlingerrors = on
maxchildren = 120
minchildren = 8
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 500
ipcfilename = '/tmp/.dguardianipc'
urlipcfilename = '/tmp/.dguardianurlipc'
nodaemon = off
nologger = off
softrestart = off
virusscan = on
virusengine = 'clamav'
tricklelength = 32768
forkscanlength = 32768
firsttrickledelay = 10
followingtrickledelay = 10
maxcontentscansize = 41904304
virusscanexceptions = on
urlcachecleanonly = on
virusscannertimeout = 60
notify = 0
emaildomain = 'mail.com.br'
postmaster = 'user@mail.com.br'
emailserver = 'smtp.mail.com.br:25'
downloaddir = '/tmp/dgvirus'
clmaxfiles = 1500
clmaxreclevel = 3
clmaxfilesize = 10485760
clblockencryptedarchives = off
cldetectbroken = off
clamdsocket = /var/run/clamav/clamd.ctl
avesocket = '/var/run/aveserver'
trophiesocket = '/var/run/trophie'
sophiesocket = '/var/run/sophie'
icapsocket = 'localhost:1344'
icapservice = 'icap://localhost/avscan'

riav
(usa Debian)

Enviado em 06/12/2007 - 19:50h

Eu creio que o tipo de autenticacao que o dans implementa nao seja compativel com a que o squid usa.

O squid usa NTLM:

(Esse eh minha conf de autenticacao)

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm MEU SERVIDOR PROXY
auth_param basic credentialsttl 24 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds

Porem creio que esse tipo de autenticacao pro dans nao seja caeito, gostaria de saber se existe outro tipo de autenticacao que eu possa integrar SQUID + AD + DANS.

um abraço...

Muito obrigado pea forca.

riav
(usa Debian)

Enviado em 06/12/2007 - 20:16h

Eu creio ter descoberto a solucao, ou seja uma gambi, rsrsr
ter duas instacias do squid..
um q autentica o cara antes de enviar do dans e depois outra que recebe os pacotes vindos do dans.

cliente -> squid1 -> dans -> squid2 -> net

eu vou testar hj pra ve se funfa..

um abraço...

sombrasoares
(usa Kurumin)

Enviado em 07/12/2007 - 17:24h

Riav, o Dansguardian, naõ faz autenticção, tendo em vista que ele é apenas um burocrata, ele trabalha em conjunto com Squid, isso quer dizer q todas as regras de navegação são dadas pelo squid, o Dans tem apenas a funçaõ de ler os acessos e dai libera ou bloquear o acesso ao squid, levando em conta os banned e exception do Dans. Mas se vc conseguiu uma Gambiarra ai, blz. Qualquer coisa é so postar ai. Ok.

riav
(usa Debian)

Enviado em 07/12/2007 - 19:44h

sombrasoares, eh como vc disse.
O dans nao autentica nada, ou seja ele tem que receber de alguem a autenticacao.
Qual foi a solucao encontrada e usadas por muitos que vi na net.

cria duas instancias do squid na mesma maquina ou usar maquinas distintas.

o 1 squid vai autenticar, sem fazer cache ou o minimo possivel, pois creio que o squid nao permita zero de cache.

dai ele manda a requisicao pro dans, atraves da hieraquia de proxy(cache_peer).

depois seque o fluxo normal, o dans encaminha pro squid 2, onde nao ha mais autenticacao pois o squid 1 ja o fez, e libera a net pra rede.

seque esse fluxo:

cliente -> squid1(autentica) -> dans(que recebe o usuario do squid1) -> squid2(s/ autemticacao) -> net

estou em fase de teste de performace dessa solução, mas ate aqui tudo esta ok.

Quando terminar, escreverei um tuto completo da implementacao.

So tenho a agradecer sua força, muito obrigado mesmo.

E viva a cultura SL.

Um forte abraço.

mauriciotaveira
(usa Debian)

Enviado em 26/09/2008 - 19:46h

Olá Pessoal,

Riav estou passando por este problema, consegui resolver da forma que postou anteriormente...
Coloque pra nos como conseguiu... Se alguem souber de algo e bem vindo.
A proposito o dansguardian tão renomado como é deveria prover esta solução, mas nem tudo são mar de rosas, vale uma contribuição pra galera...

Abraço.