[FUG-BR] OT squid: site sem autenticar, e não pedir autenticação
EnioRM
eniorm em gmail.com
Quinta Agosto 8 21:16:05 BRT 2013
2013/8/8 Luiz Gustavo Costa <luizgustavo em luizgustavo.pro.br>
> * EnioRM (eniorm em gmail.com) wrote:
> > 2013/8/3 Francisco Cardoso <fricardo em bsd.com.br>
> >
> > > Em 2 de agosto de 2013 09:40, EnioRM <eniorm em gmail.com> escreveu:
> > > > Pessoal bom dia... saudações a todos...
> > > > estou com um pequeno problema...
> > > >
> > > > alguns usuários (de um setor) da empresa tem acesso restrito a sites
> > > > específicos (tipo, .gov.br, .med.br e alguns poucos)....
> > > > elaborando uma acl simples permitindo este acesso antes o
> http_access que
> > > > força a autenticação, eu consigo normalmente que estes subdomínios
> sejam
> > > > liberados (e abertos) sem exigir senha do usuário (esse é o
> propósito)
> > > >
> > > > porém quando o usuário tenta acessar outro site, que não seja os tais
> > > > autorizados) o squid solicita a senha. Se o usuário não tem senha,
> não
> > > vai
> > > > autenticar... mas acontece que tais usuários pegam a senha
> "emprestado"
> > > de
> > > > outros, e acabam conseguindo navegar normalmente fora dos restritos a
> > > suas
> > > > funções.
> > > >
> > > > existe uma forma de contornar isso?
> > > >
> > > > gostaria que fosse mais ou menos assim: passa sem senha os sites
> > > liberados,
> > > > e caso tente acessar outro site, já cai no denied e nem pede senha,
> > > > pronto.... isto é aplicado somente a um setor da empresa.
> > > >
> > > > abraço e bom fim de semana galera
> > > >
> > > >
>
> Enio, você tem controle dos MAC's das maquinas ai ? se tiver, pode
> lançar mão de fazer acl baseada em mac address.
>
> se a dificuldade for grande, você poderia recorrer a algum esquema de
> captive portal e gerar sessões da conexão e tratar via radius, alias,
> autenticar o squid via radius... e deixar o radius controlar os logins
> simultaneos, talvez seria outra medida.
>
> enfim.... cents...
>
> ---
> Luiz Gustavo Costa (Powered by BSD)
> *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
> mundoUnix - Consultoria em Software Livre
> http://www.mundounix.com.br
> ICQ: 2890831 / MSN: contato em mundounix.com.br
> Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
> Blog: http://www.luizgustavo.pro.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Boa noite Luiz o próprio Squid já possui uma configuração para limitar os
logins simultâneos, que pode resolver o problema em partes, acredito que
possa dar certo....
Quanto ao MAC, não tenho controle, mas acho que já vi alguma informação
sobre "casar" uma ACL usando o login do usuário+MAC.
Pelo menos nas tentativas que eu fiz de combinar o controle usando IP
(src) + login do usuário, não funcionou.
Pessoal obrigado pelos esclarecimentos!
--
*ENIO R M*
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m*
Mais detalhes sobre a lista de discussão freebsd