[FUG-BR] RES: [OT] Squid nao bloquei a nada! [RESOLVIDO]
Junior Pires
jrpiresfs em gmail.com
Terça Outubro 9 14:18:33 BRT 2007
Em 09/10/07, Thiago J. Ruiz <thiagojruiz em gmail.com> escreveu:
>
> >vc está usando bash no bsd?
> >entao o path deve ser /usr/local/bin/bash não /bin/bash acredito eu
>
> >abraço
Cara, eu pegue esse script já pronto... Eu nem tenho o bash instalado
aqui...
Dentro do meu squid.conf, eu coloquei essas linhas:
external_acl_type checa_gerente %LOGIN sh
/usr/local/libexec/squid/gerente.sh
acl gerente external checa_gerente
É justamente o que chama esse script ai, onde ele vai checar os usuários...
Em 09/10/07, Junior Pires <jrpiresfs em gmail.com> escreveu:
> >
> > Em 02/10/07, junior em gujao.com <junior em gujao.com> escreveu:
> > >
> > >
> > > > Derrepente um script com uma ACL externa também pode resolver seu
> > > problema
> > > > com muita flexibilidade.
> > > >
> > > > Da uma olha na documentação.
> > > >
> > > > http://www.4newbies.com.br/arts_view.php?id=113
> >
> >
> > Pois é, o artigo pe bom, mas eu estou travado na parte de criar um
> script
> > pra verifuicar o usuário logado qu eé o seguinte:
> >
> >
> > #!/bin/bash
> >
> > *
> > *
> >
> > while read usuario
> >
> > do
> >
> > if [ `grep $usuario /usr/local/squid/etc/gerente` ]
> >
> > then
> >
> > echo OK
> >
> > else
> >
> > echo ERR
> >
> > fi
> >
> > done
> >
> >
> >
> > Simplesmente, quando eu dou um #./script.sh, o sistema me retorna que o
> > comando não é reconhecido...
> >
> >
> > Alguma luz ?
> >
> >
> > obrigado.
> >
> >
> >
> > Cara, pareçe que esse vai cair como uma luva pra mim! É exatamente isso
> o
> > > que eu estav procurando!
> >
> >
> >
> >
> >
> >
> > Vou fazer alguns testes na maquina virtual e posto os resultados.
> > >
> > > Obrigado! =D
> > >
> > > > Abraços
> > > >
> > > > Gilliatt Borges Bastos
> > > >
> > > >
> > > >
> > > >> -----Mensagem original-----
> > > >> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]
> Em
> > > >> nome
> > > >> de Isnard Jaquet
> > > >> Enviada em: terça-feira, 2 de outubro de 2007 15:12
> > > >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > >> Assunto: Re: [FUG-BR] [OT] Squid nao bloquei a nada! [RESOLVIDO]
> > > >>
> > > >> Não precisa junior. Tu pode usar assim:
> > > >>
> > > >> acl users proxy_auth REQUIRED
> > > >> acl users1 proxy_auth usuario_1 usuario_2 #lista de usuários
> > > >> acl users2 proxy_auth usuario_3 usuario_4 #lista de usuários
> > > >>
> > > >> E aí usa em conjunto com as acls que tu precisar a mais.
> > > >>
> > > >> Att.,
> > > >>
> > > >> Isnard
> > > >>
> > > >> On Tue, 2007-10-02 at 14:55 -0300, junior em gujao.com wrote:
> > > >> > > A lista dos usuários está dentro do arquivo passwd, voce
> utiliza
> > o
> > > >> > > htpasswd
> > > >> > > para edita-lo
> > > >> > >
> > > >> > > Se o usuario esta na lista e a senha esta correta, OK.. o
> acesso
> > é
> > > >> > > autorizado, caso não exista ou a senha esteja incorreta.. NOK
> > > >> > Até ai tudo bem, eu já sabia como fazer, mas tem como eu criar
> duas
> > > >> acl's
> > > >> > dessa de autenticação cada uma com um grupo de usuários num
> arquivo
> > > >> passwd
> > > >> > diferente ?
> > > >> >
> > > >> > >
> > > >> > > Imagino que voce nao consiga fazer com o pam_auth pelo fato de
> > > >> autorizar
> > > >> > > qualquer usuário que exista... a nao ser que vc crie um
> programa
> > > que
> > > >> faca
> > > >> > > a
> > > >> > > validacao do usuario (mas isso tem que ser externo ao squid)
> > > >> > >
> > > >> > > abraços
> > > >> > >
> > > >> > > On 10/2/07, junior em gujao.com <junior em gujao.com> wrote:
> > > >> > >>
> > > >> > >>
> > > >> > >> > É possível sim..
> > > >> > >> >
> > > >> > >> > Aqui ta um exemplo pra fazer a autenticacao...
> > > >> > >> >
> > > >> > >> > Depois vc pode criar acl's para autorizar alguns sites
> > > >> especificos
> > > >> > >> (sem
> > > >> > >> a
> > > >> > >> > necessidade de senha) ou entao em horarios pre-determinados
> > > >> > >> >
> > > >> > >> > ----
> > > >> > >> >
> > > >> > >> > auth_param basic program /usr/sbin/ncsa_auth
> /etc/squid/passwd
> > > >> > >> No caso ai, eu teria que criar usuários adicionando-os nesse
> > > passwd
> > > >> que
> > > >> > >> está indicado ai no caminho né ?
> > > >> > >>
> > > >> > >> Não teria como eu fazer isso com o pam_auth ?
> > > >> > >> > auth_param basic children 5
> > > >> > >> > auth_param basic realm Acesso a Internet
> > > >> > >> > auth_param basic credentialsttl 2 hours
> > > >> > >> >
> > > >> > >> > acl proxyUsers proxy_auth REQUIRED
> > > >> > >> Onde está o nome dos usuários ai ?
> > > >> > >> Eu teria que criar um http_access deny NOMEDOUSUÁRIO ?
> > > >> > >>
> > > >> > >> >
> > > >> > >> > http_access allow proxyUsers
> > > >> > >> > http_access deny all
> > > >> > >> >
> > > >> > >> > ----
> > > >> > >>
> > > >> > >>
> > > >> > >>
> > > >> > >>
> > > >> > >>
> > > >> > >> >
> > > >> > >> > abraços
> > > >> > >> >
> > > >> > >> > ps: como já foi citado, não funciona com proxy transparente
> > > >> > >> >
> > > >> > >> > On 10/2/07, junior em gujao.com <junior em gujao.com> wrote:
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >> >> > -----BEGIN PGP SIGNED MESSAGE-----
> > > >> > >> >> > Hash: SHA1
> > > >> > >> >> >
> > > >> > >> >> > junior em gujao.com escreveu:
> > > >> > >> >> >> Resolvi a questão do squid qua não bloqueava nada...
> Refiz
> > > >> minhas
> > > >> > >> >> >> ACL's e ficou tudo blz.
> > > >> > >> >> >>
> > > >> > >> >> >> Agora, gpstaria de saber da lista, uma coisa que estou
> > > >> querendo
> > > >> > >> >> >> implementar aqui que é o seguinte:
> > > >> > >> >> >>
> > > >> > >> >> >> Desejo colocar um squid autenticado o qual já sei como
> > > fazer,
> > > >> mas
> > > >> > >> a
> > > >> > >> >> >> questão, é que eu gostaria de bloquear o cesso de um
> > > >> determinado
> > > >> > >> >> >> grupo de usuários durante o horário de expediente e
> > liberar
> > > >> para
> > > >> > >> >> >> eles acesso à sites que sejam realmente necessários à
> > > >> empresa.
> > > >> > >> >> >>
> > > >> > >> >> >> O que eu gostaria, é que eu não fosse feito o bloqueio
> > pelo
> > > >> IP
> > > >> da
> > > >> > >> >> >> máquina mas sim pelo nome do usuário quando ele se
> > > >> autentica...
> > > >> > >> >> >>
> > > >> > >> >> >> Tem como fazer isso ? Se sim, alguém indica um bom
> > material
> > > >> que
> > > >> eu
> > > >> > >> >> >> possa seguir ?
> > > >> > >> >> >>
> > > >> > >> >> >> Grato.
> > > >> > >> >> >
> > > >> > >> >> >
> > > >> > >> >> > Bom dia,
> > > >> > >> >> > Talvez isso não seja possível, pois o squid não autentica
> > > >> nada,
> > > >> ele
> > > >> > >> >> > usa um software de terceiro para fazer a autenticação e
> > esse
> > > >> > >> software
> > > >> > >> >> > retorna ok ou não simplesmente para ele, e por esse
> motivo
> > o
> > > >> squid
> > > >> > >> não
> > > >> > >> >> > sabe quem é o pedro, joão, etc. Lembre-se de que a
> > utilização
> > > >> do
> > > >> > >> squid
> > > >> > >> >> > autenticado não é possível em proxy transparente, e na
> > minha
> > > >> > >> opinião
> > > >> > >> >> > isso é valido para rede onde existe um AD configurado,
> pois
> > é
> > > >> mais
> > > >> > >> >> > simples manipular os navegadores dos clientes.
> > > >> > >> >> >
> > > >> > >> >> > OBS: sempre se faz importante organizar as mensagens
> quando
> > > >> > >> realizar
> > > >> > >> >> > posts na lista, como diz no rodapé dessa mensagem "Sair
> da
> > > >> Lista".
> > > >> > >> >> >
> > > >> > >> >> > Abraço,
> > > >> > >> >> Obrigado.
> > > >> > >> >>
> > > >> > >> >> >
> > > >> > >> >> >
> > > >> > >> >> > -----BEGIN PGP SIGNATURE-----
> > > >> > >> >> > Version: GnuPG v1.4.5 (MingW32)
> > > >> > >> >> >
> > > >> > >> >> >
> > > iD8DBQFHAj8/bjyCr4Ixg0wRAlpOAJ9T62ux2IuU/xW1KS9iQwdgaLpuqwCeIzG9
> > > >> > >> >> > V4bRRzG5fss1HELcT8evBVQ=HSBq
> > > >> > >> >> > -----END PGP SIGNATURE-----
> > > >> > >> >> >
> > > >> > >> >> > -------------------------
> > > >> > >> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> >> > Sair da lista:
> > > https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >> >> >
> > > >> > >> >> > --
> > > >> > >> >> > Esta mensagem foi verificada pelo sistema de antivírus e
> > > >> > >> >> > acredita-se estar livre de perigo.
> > > >> > >> >> >
> > > >> > >> >> >
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >> >> --
> > > >> > >> >> Junior Pires
> > > >> > >> >> Encarregado de TI
> > > >> > >> >> Gujão Alimentos
> > > >> > >> >> Tel: (75) 3244-2121 Ramal 218
> > > >> > >> >>
> > > >> > >> >>
> > > >> > >> >> --
> > > >> > >> >> Esta mensagem foi verificada pelo sistema de antivírus e
> > > >> > >> >> acredita-se estar livre de perigo.
> > > >> > >> >>
> > > >> > >> >> -------------------------
> > > >> > >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> >> Sair da lista:
> > https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >> >>
> > > >> > >> > -------------------------
> > > >> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> > Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >> >
> > > >> > >> > --
> > > >> > >> > Esta mensagem foi verificada pelo sistema de antivírus e
> > > >> > >> > acredita-se estar livre de perigo.
> > > >> > >> >
> > > >> > >> >
> > > >> > >>
> > > >> > >>
> > > >> > >> --
> > > >> > >> Junior Pires
> > > >> > >> Encarregado de TI
> > > >> > >> Gujão Alimentos
> > > >> > >> Tel: (75) 3244-2121 Ramal 218
> > > >> > >>
> > > >> > >>
> > > >> > >> --
> > > >> > >> Esta mensagem foi verificada pelo sistema de antivírus e
> > > >> > >> acredita-se estar livre de perigo.
> > > >> > >>
> > > >> > >> -------------------------
> > > >> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >>
> > > >> > > -------------------------
> > > >> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >> > >
> > > >> > > --
> > > >> > > Esta mensagem foi verificada pelo sistema de antivírus e
> > > >> > > acredita-se estar livre de perigo.
> > > >> > >
> > > >> > >
> > > >> >
> > > >> >
> > > >> > --
> > > >> > Junior Pires
> > > >> > Encarregado de TI
> > > >> > Gujão Alimentos
> > > >> > Tel: (75) 3244-2121 Ramal 218
> > > >> >
> > > >> >
> > > >>
> > > >> -------------------------
> > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > --
> > > > Esta mensagem foi verificada pelo sistema de antivírus e
> > > > acredita-se estar livre de perigo.
> > > >
> > > >
> > >
> > >
> > > --
> > > Junior Pires
> > > Encarregado de TI
> > > Gujão Alimentos
> > > Tel: (75) 3244-2121 Ramal 218
> > >
> > >
> > > --
> > > Esta mensagem foi verificada pelo sistema de antivírus e
> > > acredita-se estar livre de perigo.
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Thiago J. Ruiz
> http://thiagoruiz.blogspot.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd