SquidNT restricción por autenticación
| 25 lecturas |
Enviar por correo
| 
Ver para imprimir
| Esta obra está bajo una licencia de Creative Commons.
Autor: Francisco Leonel Rubio Quintanilla (rubioq)
Para usar la autenticación (acceso por password o clave) en squid existen varios métodos, de momento pondré el primero que pruebo en squidnt con resultados satisfactorios, además es muy simple de implementar pues ya se incluye lo necesario en los binarios.
El método en cuestión es usando los grupos de usuarios de Windows.
Nota: Actualizado, probado con la version 2.7 stable 6.
Partimos considerando que tienes tu SquidNT funcionando correctamente. Si no es así revisa el siguiente HOWTO SquidNT.
1.- Cree un grupo de usuarios que desee autenticar.
Inicio>Panel de Control>Herramientas Administrativas>Administración de Equipos
Una vez allí selecciona la carpeta grupos, se pone en la misma clic en botón derecho después le aparecerá un menú y selecciona grupo nuevo, pongale el nombre y descripción que desee para nuestro caso squidnt.
2.- Asigne usuarios al grupo, esto es asigne solo quienes desee que puedan usar el Proxy, si no tiene los usuarios dados de alta en la PC es un buen momento para hacerlo.
Nota: Asigne un password o clave a los usuarios, si deja la clave en blanco le puede ocasionar otros problemas con este manual.
Una vez ya con nuestro grupo de usuarios armado comenzamos ahora a configurar squidnt.
3.- Buscamos las siguientes líneas en nuestro arhivo de configuracion squid.conf.
| #auth_param basic program
auth_param basic children 5 |
Una vez que las encontremos agregamos esta al inicio las mismas.
| auth_param basic program c:/squid/libexec/mswin_auth.exe -A squidnt |
Nota: Si habías leído la versión anterior podrás ver que el nombre de la aplicación que hace la autenticación ha cambiado.
Donde –A significa restricción por grupo de usuarios de Windows.
Squidnt es el nombre del grupo que usaremos para autenticar a los usuarios. Recuerda que puedes usar otro nombre de grupo o incluso grupos ya creados en Windows como por ejemplo usuarios o administradores grupos que se crean por default en Windows.
4.- Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente.
| acl password proxy_auth REQUIRED |
Donde password es el nombre que le daremos a la acl de autenticación.
5.- A continuación vamos a nuestras reglas de acceso y usamos la autenticación donde queramos.
Por ejemplo si queremos que no deje navegar a nadie si no esta autenticado ponemos antes de todas nuestras reglas de acceso la restricción. Es indispensable que este comando este antes de todas las instrucciones http_access que tengas implementadas para lograr este efecto.
| http_access deny password |
Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de SquidNT después de implementar este manual.
No hay etiquetas para esta entrada.Temas similares (lo mismo pero menos rollo)
(Sin calificaciones)
Loading ...
Loading...
Entradas (RSS)
c:/squid/libexec/win32_auth.exe …. este archivo no se encuentra en esa carpeta,como la agrego.
Creo que de aqui…
http://squid.acmeconsulting.it/download/NCSAsupport.zip
Irving el manual esta desactualizado ya no es funcional….
Buenas , estuve leyendo el manual para configuracion el proxy por usuario, quisiera saber si se pude hacer los mismo para win2003.
Saludos
Miguel el manual actualizado esta provado en Windows 2003.
Buenas tardes Leo…
Donde puedo ver el manual de autentificación por usuario para Windows 2003
Pues no he publicado ningun hasta ahora…
Buenas tardes Leo
Por fin pude autentificar los usuarios del Active Directory del 2003 para el servidor, con estas sentencias:
auth_param basic program c:/squid/libexec/mswin_auth.exe -A WebAccess children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -A WebAccess realm Squid proxy-caching web server
auth_param basic program c:/squid/libexec/mswin_auth.exe -A WebAccess credentialsttl 2 hours
auth_param basic program c:/squid/libexec/mswin_auth.exe -A WebAccess casesensitive off
acl password proxy_auth REQUIRED
http_access allow password
http_access allow localnet !Permitidos
El cual, cada vez que entro a IE/Opera/Firefox, me pide el usuario y la contraseña.
El problema actual y me topo con mis usuarios es que es fastidioso poner a cada rato el usuario y clave o que les aparezaca la ventana de autentificación. Lo quise arreglar cambiando el parametro mswin_auth.exe -A por mswin_auth.exe -D en el cual supuestamente queda registrado para el acceso a internet. Sabes cual podría ser el problema?
Saludos.
Draco, cuando implemente la autenticacion NCA el internet explorer guardaba las contraseñas, en ese caso no tenian nada que ver con la configuracion de squid que se guardaran o no.
Ignoro porque este caso sea diferente.
Tío, una pregunta, si creo un grupo para los usuario de los proxys, por ejemplo squidnt, teniendo el server proxy en windows 2003 x ejemplo habría algún inconveniente si mi cliente es una mac, es decir, lo que mencionas es sólo válido para máquina NT y si tengo clientes en Linux, Unix, Sun o Mac qué pasaría, trabajaría normal?
Percy, el asunto es que este manual ya esta desactualizado para las versiones nuevas de SquidNT, si puedes encontrar la que corresponde a este manual, solo sera cuestion de crear grupos y usuarios en la Pc donde lo instales, independientemente que las maquinas clienten corran sobre Mac, Linux, o cualquier plataforma.
Buenas noches Percy, estoy de acuerdo con Leo_On la solución que ponia solo me funcionaba con equipos NT, pero también había visto la solución que pone Leo_On, y a decir verdad, es más sencillo hacer eso, que tratar de hacer una autentificación con el WS2003.
Saludos.
Les informo que el manual de restriccion por autenticacion ha sido actualizado.
SquidNT restricción por autenticación
Gracias de antemano por sus comentarios, dudas, criticas, mentadas, etc…
una consulta se pude definir mas grupos de usuarios como por ejemplo contabilidad solo accede a paginas de contadores, estos se logena por el grupo de contabilidad y el gripo gerencia no tiene restricciones
Si se puede, de principio tal vez te resulte un poco lioso lograr definir bien los permisos pero si se puede hacer eso.
Q’tal a todos, tngo una pregunta si me pueden ayudar. Hice todo tal cual dice el manual, pero el ie me pide un nombre de usuario y contraseña tal cual debería, mismos que están ya dados de alta dentro de los usuarios de windows y dentro del grupo al cual nombre squid. Pero no me reconoce ninguna de las contraseñas y siempre me manda mensaje de error.
Q’tal a todos, tngo una pregunta si me pueden ayudar. Hice todo tal cual dice el manual, pero el ie me pide un nombre de usuario y contraseña tal cual debería, mismos que están ya dados de alta dentro de los usuarios de windows y dentro del grupo al cual nombre squid. Pero no me reconoce ninguna de las contraseñas y siempre me manda mensaje de error. Espero me puedan ayudar. Gracias. Como generalidades les comento que tengo WinXP Pro internet explorer 8 y squid-2.7.STABLE5-bin
si hiciste todo lo que dice el manual no deberia aparecer ese error, revisa lo siguiente…
El grupo que generaste en windows y donde asignaste los usuarios debe llamarse exactamente igual que como lo definiste en squid.conf
auth_param basic program c:/squid/libexec/mswin_auth.exe -A squidnt
Asi mismo, asegurate de tener en ese grupo asignados los usuarios… haaa y el usuario debe terner contraseña si es un usuario sin contraseña no funciona.
Si esto esta correcto y sige sin funcionar teclea squid -z y revisa si hay errores.
Muy buen tutorial, mis felicitaciones.
Tengo una duda respecto a las autenticaciones, las he implementado y funcionan de maravilla, pero me ha surgido un dilema, en ocaciones se necesita tener acceso total sin las restricciones del squid y me gustaria saber ¿como dar de alta un usuario que cuando se logee no tenga ninguna restriccion independientemente del equipo donde haga el logeo?.
Basicamente seria asi….
acl gerentes proxy_auth juan pedro roberto
http_access deny !gerentes
Donde en gerentes: pondrias a todos tus usuarios con privilegios..
Luego mediante un http_access deny bloqueo1 !genrentes
Evitas que los gerentes pasen por los bloqueos…
Nota: Los nombres de los gerentes deben estar dfinidos previamente en el grupo de usuarios tal como lo especifica el manual.
Hola de nuevo.
Me ha funcionado muy bien las restricciones, ahora todos pueden navegar con las restricciones y cuando se intenta entrar en alguna restriccion pide el usuario y la contraseña en caso contrario les deniega el acceso y en caso afirmativo me deja navegar sin las restricciones. quedo muy bien. agradezco la ayuda muy buen blog, me gustaria agregarlo a mi pagina web http://www.spicibernetico.com, ahora surge otro dilema con respecto al autlook los usuarios que lo necesitan no pueden acceder a sus cuentas de correo, lo he solucionado de la siguiente manera:
En el servidor donde tengo el squid he compartido la conexion a internet y he usado el programa perfectbandwithsoftware para redirigir los puertos ya que con eso puedo usar el proxi transparente y he redirigido los puertos 25 y 110 a que no pasen por el squid si no a la conexion compartida por internet hasta ahi todo va bien mis usuarios tienen las restricciones y pueden trabajar con el outlook ahora en las maquinas clientes he tenido que poner un dns que es la misma puerta de enlace del squid por que no resolvia los nombres con el squi rasnparente si ponia la ip de google si entraba a la pagina pero no por el nombre, intente poner el dns en la seccion de dns_nameserver pero no funciono, lo solucione poniendo en cada cliente el dns la misma que la puerta de enlace. ¿habra alguna solucion mas simple?
Pregunta Link… Tus PCs tienen IPs Dinamicas (asignadas mediante un servidor DHCP) o estaticas (asignadas manualmente en cada equipo)?
Tengo ambas cosas, la mayoria tienen ips estaticas, peor hay algunas laptops donde tienen dinamicas.
El asunto es que los dns no se los asigna squid, ni el router en si, sino un servidor DChCP, (la mayoria de los routers tienen uno), la unica forma de no asignarles los DNS manualmente es poner un servidor de estos para que les asigne las ips tanto como los DNS.
Lo que pasa es que para que lo pudiera poner trasnparente tube que instalar el programa softperfectbandwith para redirigir los puertos pero me di cuenta que no funcionaba si no activava la conexion compartida a internet, ya que como te decia sin tener el dhcp activado y al ponerlo trasnparente el IE no resolvia los nombres, si ponia la ip del sitio si funcionaba pero al poner el http://www.nombre.com no desplegaba la pagina, entonces al momento de activar la conexion compartida a internet si podia resolver los nombres correctamente.
Por otro lado tengo una duda, si quisiera crear una regla para usar las direcciones mac en vez de las ips ¿como tendria que crear las reglas y los accesos?
Saludos.
Tienes todo un hibrido Raro link…
Te propondria que intentes desactivando la conexion compartida a internet e instalando algun servidor DCHCP en conjunto con el Squid y el softperfectbandwith.
Respecto a lo de usar Mac Adress…
acl pc1 arp 34:12:sd:15:39:19
Donde…
pc1 = nombre de la regla.
arp = Comando para trabajar con Mac Adress.
34:12:sd:15:39:19 = Mac Adress
Lo que no se es si ese comando te funcione en squid para Winows… ya que para que funcione en squid se debe instalar/compilar con la opcion –enable-arp-acl.
Buenas ademas de saludarlos envio mis mas grandes deseos de feliz año nuevo… soy nuevo en este sitio quisiera no desilucionarlos pero fijense que no e esta sirviendo el manual lo hice todo al correcto cuando me pide la autenticacion del usuario me envia la ventana varias veces y luego me dice cache access denied los usuarios estan en el grupo y tienen contraseña he vuelto a crear el cache con squid -z y no me da ningun error cuando veo el log me dice que con el usuario que estoy intentando es denegado el acceso ha comprado la configuracion de la siguiente manera osea asi tengo ni squid.conf
auth_param basic program c:/squid/libexec/mswin_auth.exe -A squid
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/10 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
http_access deny password
nos e que este haciendo mal espero que me puedan ayudar
saludos
Faltan las reglas de acceso… ponlas
no entiendo cuales serian esas reglas de acceso por que estoy haciendo todo como el manual… me podrias explicar un poco mas y perdona el abuso
Estas son las reglas que tengo y son las que trae por defecto el squid.conf te digo antemano que la unica modificacion que le he hecho al squid es esta la del manual de autenticacion no he movido nada mas
http_access deny password
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
Tienes…. http_access deny password
Intenta poner: http_access deny !password
jeje nada sigue igual lo que no entiendo es lo siguiente la primera que me pide la contraseña pareciera que me la valida y se queda cargando la pagina pero luego de un rato me vuelve a salir la ventanita de logueo coloco la contraseña y nada me sale otra vez y a esa tercera vez me da el error de cache access denied
saludos
disculpen que repita mi respuesta es que se me olvido preguntar si existia otra forma de crear la autenticacion por usuario en squidnt que no sea esta misma saber si existe algun tutorial aparte de este y con otra forma
saludos
Angel, hay por lo menos dos formas mas de autenticacion, una es en cierta forma igual, usando los grupos y usuarios de windows y la otra es diferente, lamentablemente no tengo la documentacion escrita, de echo ni la he probado, revisa la carpeta docs de squid y revisa alli el archivo ncsa_auth, alli viene otro metodo, lamentablemente, en windows no lo he usado.
Angel, ese comportamiento que describes indica que no esta autenticando, revisa usuarios y passwords.
Hola a todos de nuevo, me ha surgido una nueva duda tengo instalado en un servidor windows 2003 small bussines y cuando quiero crear el grupo squidnt me surge la siguiente duda, en w2003sb la seccion del active directory me aparece lo siguiente:
usuarios y equipos de active directory
builtin
computers
domain controllers
foreingsecurityprincipals
mybussines
computers
distributions groups
security groups
users
users
donde debo crear al grupo squidnt, por que ya he hecho todolo demas y lo he creado en diferentes lados y si me pide la autenticacion pero no funciona al parecer no encuentra mi nombre de usuario y password. ¿que deberia hacer?
La primer pregunta seria… si estas usando active directory o no.. de alli derivaria la forma de hacer los grupos y el metodo de autenticacion a usar.
si estoy usando el directorio activo, tambien tengo otra duda, en otro equipo tengo windows xp con el squid, es posble hacer algunmetodo de autenticacion bajo xp?
De echo el metodo que se detalla qui es el metodo simple.. es decir mediante grupos de Windows sin Active Directory.
Busca en la carpeta Squid\Docs el archivo…. mswin_check_ad_group.txt alli viene un metodo para Active Directory.
Hola de nuevo, voy a investigar acerca de ese metodo que mencionas y comentare como me fue. Por otro lado he tenido problemas con uno de mis servidores con squid, es donde tengo el hibrido algunos son ip fijas y otro con ipdinamicas, el detalle esta en que como necesitan usar el outlook la unica manera de hacerlo funcionar fue compartiendo la concexion de internet y colocando trasnpoarete el squid, pero ha sucedido que los bloqueos ahorano funcionan, ninguno aunque ponga el proxy en el navegadro y ponga las ips fijas como que no pasa por el squid y sale por la conexion compartida, he intentado buscar algun software dhcp pero no he hayado ninguno donde yo pueda mnediante la mac asignarle siempre una direccion ip que yo decida, ¿que me sugieres que haga en este caso Leo?.
Que dejes de mesclar link.. es ovio que si tienes dos modos de compartir el internet y no tienes control sobre el que quieres que usen tus usuarios, cualquier restriccion que quieras hacer sale sobrando.
eso estoy haciedo pero me veo en el problema de quienes usan el outlook pues con el squid no funciona y no se como darle esa solucion.
se m olvidaba comentar, tambien necesito conectarme a un escritorio remoto windows 2003 como debo configurar el squid para que deje conectarme?
Lnik el problema no es que squid te deje o no comunicarte con el outlook sino que ese tipo de servicios como pop3, smtp, imap que son los que usa Outlook no son compatibles con el uso de proxys (squid es un proxy), al igual que hasta donde tengo entendido el uso de servidor de terminales, escritorio remoto o Terminal Server no son compatibles hasta donde yo se con el uso de proxys.
Asi que por mas de que le muevas a squid sera imposible, a no ser que exista algun addon que te permita hacerlo o en su defecto la redireccion de puertos, cosa que no se como se haga en windows…
Si te interesa existe una opcion para redireccionar puertos pero el requisito es que el servidor al que deseas que se conecte cualquiera de tus PCS internas sea uno solo y el mismo para todas.
El software se llama Portmaper
perfecto voy a investigar sobre ese programa y les comento, por otra parte y ultima duda queme queda es que uno de mis clientes necesita entrar a la siguiente direccion https://credit.shotsonline.com.mx:12100/ReportesOLB/ es para realizar pagos de nextel pero el proxy me saca el siguiente error de “las regras de acceso impiden ver esta pagina” tengo la autenticacion pero nunca me pide usuario y contraseña, he quitado todas las restricciones y aun asi me sigue conlo mismo, ¿crees que sea por ser https? aun asi si podemos acceder a portales bancarios https y funcionan sin problemas.
El echo de que sean portales https normalmente no es problema tienes que…
1a.- Añadir el puerto como valido en el comando: acl SSL_ports port 12100
2a.- Si tienes esta otra linea… http_access deny CONNECT !SSL_ports solo es cuestion de reiniciar, si no la tienes es cuestion de añadirla.
Reinicias el servicio de squid y debe funcionar.
excelentisimo, funciono de maravilla era agregar ese puerto y listo. esta semana voy a probar lo del mapeo de puertos y les comento por aqui. saludos mil gracias..