Controle de acesso Squid + LTSP4.2

Publicado por Rogério Tomassoni em 03/09/2011

[ Hits: 5.639 ]

 


Controle de acesso Squid + LTSP4.2



Após muitas noites sem sono, e uma indignação incrível em não conseguir controlar o acesso a internet com Squid + LTSP4.2, arrumei uma solução.

O cenário é o seguinte, tenho dois servidores LTSP4.2 e um servidor Squid proxy transparente, o que acontece que as regras aqui são, ou usuário tem acesso restrito em alguns sites ou ele tem acesso total ou simplesmente não tem acesso algum. Todas regras baseadas no IP da estação.

Nesse caso, como os usuários do LTSP saem pelo proxy, o proxy vê o IP do servidor LTSP e não da estação do usuário, isso causa o problema de acesso, pois se eu liberar o IP do servidor LTSP, todos usuários LTSP terão acesso, não conseguia restringir de maneira individual.

A solução

Compile seu Squid com o parâmetro que habilita o protocolo ident (RFC 1413), esse protocolo identifica entre algumas coisas, o usuário que está logado na máquina.

Crie um arquivo cujo conteúdo são os nomes dos usuários que terão acesso.

Nosso caso vamos criar o liberadasLTSP, com o conteúdo:

sis02
sis03

Logo crie a acl no squid.conf assim:

acl usuariosLTSP ident "/home/scripts/squid/liberadasLTSP"
http_access allow usuariosLTSP

Agora no servidor LTSP instale o daemon identd que pode ser encontrado em: Linux Identd - Freshmeat.net (baixe o arquivo linux-identd-1.3.tar.gz).

Para instalar:

# tar -zxvf linux-identd-1.3.tar.gz
# cd linux-identd-1.3
# make && make install


Coloque o daemon para funcionar, eu coloquei dentro de "/etc/rc.local" (Uso RHel5), mas fica a critério de cada um o meio de inicialização.

Podemos ver o processo ident ativo com comando "ps":

# ps aux | grep ident
nobody 3140 0.0 0.0 1692 468 ? Ss 01:03 0:00 /usr/sbin/identd -d

Pronto, faça o Squid fazer o reload do squid.conf:

# squid -k reconfigure

E bingo, agora eu consigo liberar os usuários de modo individual (no nosso caso sis02 e sis03 terão acesso), sem perder a transparência do proxy, pois o usuário não precisa digitar senha, nem nada.

Ai vem o porém, se a senha vazar e as pessoas fizerem mais de um login com a senha, vão ter acesso a internet?, a resposta é, sim, vão ter.

Para contornar isso utilize o script que escrevi para controlar sessões no KDE, ele se encontra aqui no VOL , está dentro da Dica: Limitando sessões KDE LTSP 4.2

Lembre-se se fechar todo tráfego para o IP do LTSP no Squid, depois libere como descrito acima.

Outras dicas deste autor

Limitando sessões KDE LTSP 4.2

Adicionando módulo LTSP4.2 à árvore do kernel

Suporte remoto com x11vnc

JPykotaGUI - controle de impressão

Resolvendo problema de Nagios + NPC

Leitura recomendada

Confira o Cuckoo Sandbox. Analisador de malware!

Extensões do Firefox para auditorias de segurança

Desativar tty extra no Ubuntu 10.04

Buffer Overflow para Pentesters - Vídeo aula

Como proteger seus dados no computador e smartphone?

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts