SquidNT restricción por autenticación
Esta obra está bajo una licencia de Creative Commons.
Autor: Francisco Leonel Rubio Quintanilla (rubioq)
Para usar la autenticación (acceso por password o clave) en squid existen varios métodos, de momento pondré el primero que pruebo en squidnt con resultados satisfactorios, además es muy simple de implementar pues ya se incluye lo necesario en los binarios.
El método en cuestión es usando los grupos de usuarios de Windows.
Nota: Actualizado, probado con la version 2.7 stable 6.
Partimos considerando que tienes tu SquidNT funcionando correctamente. Si no es así revisa el siguiente HOWTO SquidNT.
1.- Cree un grupo de usuarios que desee autenticar.
Inicio>Panel de Control>Herramientas Administrativas>Administración de Equipos
Una vez allí selecciona la carpeta grupos, se pone en la misma clic en botón derecho después le aparecerá un menú y selecciona grupo nuevo, pongale el nombre y descripción que desee para nuestro caso squidnt.
2.- Asigne usuarios al grupo, esto es asigne solo quienes desee que puedan usar el Proxy, si no tiene los usuarios dados de alta en la PC es un buen momento para hacerlo.
Nota: Asigne un password o clave a los usuarios, si deja la clave en blanco le puede ocasionar otros problemas con este manual.
Una vez ya con nuestro grupo de usuarios armado comenzamos ahora a configurar squidnt.
3.- Buscamos las siguientes líneas en nuestro arhivo de configuracion squid.conf.
| #auth_param basic program
auth_param basic children 5 |
Una vez que las encontremos agregamos esta al inicio las mismas.
| auth_param basic program c:/squid/libexec/mswin_auth.exe -A squidnt |
Nota: Si habías leído la versión anterior podrás ver que el nombre de la aplicación que hace la autenticación ha cambiado.
Donde –A significa restricción por grupo de usuarios de Windows.
Squidnt es el nombre del grupo que usaremos para autenticar a los usuarios. Recuerda que puedes usar otro nombre de grupo o incluso grupos ya creados en Windows como por ejemplo usuarios o administradores grupos que se crean por default en Windows.
4.- Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente.
| acl password proxy_auth REQUIRED |
Donde password es el nombre que le daremos a la acl de autenticación.
5.- A continuación vamos a nuestras reglas de acceso y usamos la autenticación donde queramos.
Por ejemplo si queremos que no deje navegar a nadie si no esta autenticado ponemos antes de todas nuestras reglas de acceso la restricción. Es indispensable que este comando este antes de todas las instrucciones http_access que tengas implementadas para lograr este efecto.
| http_access deny password |
Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de SquidNT después de implementar este manual.
Entradas (RSS)
Hola, he seguido los pasos pero no me funciona, tengo dos tarjetas de red una por donde entra el internet y la otra para la lan, podrian ayudarme mi dificultad? gracias.
Teclea squid -z y pegas en un comentario el resultado.
He creado tres grupos de usuarios en Windows para el proxy, pensando en que cada uno tenga una serie de restricciones, AccTotal (Grupo que puede ver todo), AccParcial (puede ver todo, menos X paginas) y AccLimitado (solo puede ver X paginas). El problema lo tengo a la hora de autentificar los usuarios, lo hago así:
auth_param basic program c:/squid/libexec/mswin_auth.exe -A AccTotal
auth_param basic program c:/squid/libexec/mswin_auth.exe -A AccParcial
auth_param basic program c:/squid/libexec/mswin_auth.exe –A AccLimitado
Cuando se conecta alguien del grupo Acctotal, pone su usuario y contraseña y entra ok, pero si se conecta alguien de los grupos AccParcia o AccLimitdo no les valida el usuario. Si cambio el orden de las líneas siempre funciona el grupo de la primera pero el de las otras no. Que hago mal???
Hola leo hace ya rato que no te leo, un gusto saludarte.
Ahora vengo con un nuevo reto, esta es la situacion:
Es una empresa donde tienen una matriz y una sucursal estas se unen mediante un enlaze inalambrico y se unen las 2 redes, en la matriz tenemos una conexion asdl el cual la tenemos administrada con un servidor win2003 el squid 2.7 stable7 y funcionando bien, restringiendo a ambas redes.
El reto es el siguiente:
Del otro lado (en la sucursal) tenemos tambien una conexion adsl y tengo ahi un servidor de archivos com win2003, lo que queremos hacer es que cuando tenga algun problema con mi adsl en la matriz automaticamnte el el servidor principal tome el internet de la sucursal.
He intentado lo siguiente:
he configurado el servidor2 con 2 tarjetas de red en la cual una tenga el adsl y la otra a la LAN y en el servidor1 en el dhcp he puesto que agrege a la puerta de enlace y dns la ip del servidor2, es decir, que a mis clientes les pone por ejemplo la siguiente ip
ip 192.168.1.100
mask 255.255.255.0
puerta de enlace 192.168.1.1 (serv1)
192.168.1.2 (serv2)
dns 192.168.1.1 (serv1)
192.168.1.2 (serv2)
si deshabilito el squid funciona bien, desconecto uno de los adsl y sigue conectados y viceversa, el detalle esta que con el squid habilitado si corto el adsl del servidor1 no agarra el del servidor2 me manda que el tiempo se agoto y no puede mostrar la pagina, mi idea es algo de los dns_nameserver o con un squid hijo, pero no he dado en el clavo.
¿que ideas se te ocurren?
saludos.
Honestamente, no se como podrias hacer el balanceo de cargas con windows, con linux existen algunas herramientas y formas de hacerlo, pero con windows no se me ocurre.
no deseo hacer balanceo de cargas si no que cuando el squid en servidor1 no tenga internet por su propia linea busque el otro modem y salga por ahi.
sabes algo sobre squid padre e hijo?
Hola Manuel He leido varias veces tu redaccion, lo que quieres hacer se conoce como balanceo de enlaces, respecto a hacerlo con squid padre o hermanos no se si te resulte.
Squid hermanos:
cache_peer ipservidor-hermano sibling 8080 3130 proxy-only
Para esto deberias tener los dos squid activados en un servidor de cada lado y esta linea en ambos squid para que se reconoscan a si mismo como hermanos, lo que no se es que sucede cuando se corta el internet en uno de los lados.
Squid Padre:
cache_peer ip-servidor-padre parent 8080 3130 proxy-only
Buenas tardes, una consulta: Esta configuración sólo funciona para grupos creados en Windows a nivel local?? O también funciona para grupos creados en el Active Directory de un Windows 2K Server?
Lo menciono porque en el ejemplo que proporcionas veo la venta de Administración de Equipos local del Windows… es factible en un Windows Server?
Teoricamente, tambien funciona con active Server, pero no he tenido la oportunidad de probarlo.
Estimado Leonel, fenomenal el manual que has compartido, sin embargo ya tenia funcionando el squid con politias de restriccion de paginas, asi como filtrado por MAC Address y control de ancho de banda por grupos, sin embargo al momento de implementar este ultimo paso, las anteriores dejaron de funcionar. Habria alguna manera de que ambas coexistan?
Saludos cordiales
Podrias postear tu squid.conf?
Buenas a todos. Soy bastante nuevo en este tema pero voy avanzando. Leí los post de este tema y me gustaria saber amigo Luis si podrias recomendarme algun manual que sea bastante explicativo, para filtrar los acceso por MAC Address. Claro en squid sobre windows. Muchas Gracias.
Alguien resolvio el problema de ecarin
He creado tres grupos de usuarios en Windows para el proxy, pensando en que cada uno tenga una serie de restricciones, AccTotal (Grupo que puede ver todo), AccParcial (puede ver todo, menos X paginas) y AccLimitado (solo puede ver X paginas). El problema lo tengo a la hora de autentificar los usuarios, lo hago así:
auth_param basic program c:/squid/libexec/mswin_auth.exe -A AccTotal
auth_param basic program c:/squid/libexec/mswin_auth.exe -A AccParcial
auth_param basic program c:/squid/libexec/mswin_auth.exe –A AccLimitado
Cuando se conecta alguien del grupo Acctotal, pone su usuario y contraseña y entra ok, pero si se conecta alguien de los grupos AccParcia o AccLimitdo no les valida el usuario. Si cambio el orden de las líneas siempre funciona el grupo de la primera pero el de las otras no. Que hago mal???
Hola Avion, disculpa la tardanza…
Creo que lo que necesitas hacer es algo asi…
auth_param basic program c:/squid/libexec/mswin_auth.exe -A grupodetodoslosusuarios
luego crear una acl para cada tipo de usuario con las siguientes caracteristicas.
acl usuariosbasicos proxy_auth “c:/etc/squid/usuariosbasicos.txt”
acl gerentes proxy_auth “c:/etc/squid/gerentes.txt”
Obiamente dentro de cada archivo de texto tendras la lista de usuarios escrita tal cual como se usan en el grupo de winbugs.
http_access allow usuariosbasicos ACLCORRESPONDIENTE !all
http_access allow gerentes all !usuariosbasicos
http_access deny all
Te comento que esto lo hice asi sin investigarle mucho, solo me fusile algo de lo que se usa con otro tipo de autenticacion para el manejo de grupos, existen otros modulos para el manejo de grupos mswin_check_ad_group y mswin_check_lm_group, si no te funciona esto, me avisas para ponerle mas enfasis en la revision de grupos con alguno de estos modulos, Saludos.
Leon, soy nuevo en Linux por lo tanto el Squid tambien es nuevo para mi y su forma de config tambien, yo necesito configurar mi SquidNT como proxy de autenticacion de usuarios, pero no se en que lugar de las lineas se debe escribir o configuar el mismo, ya que todas salen por default comentadas y aparecen en ejemplos otras, mi duda es si podias decirme como saber las lineas que forman parte de los parametros de configuracion…gracias…
Hola Hrey Todo lo que necesitas saber esta en este manual y los demas, solo es cuestion de que los sigas paso a paso, primero por el howto, luego por el de autenticacion.
Saludos.
Gracias…mira la duda que tengo es la siguiente:
donde pongo el proxy padre, segundo donde como limito por un grupo del active directory y lo terecero como agrego mi subred para que salgan por el proxy…ya que la tengo fuera del seg de red del router y entonces tengo el server con dos mip la del router segmento y la subnet…puedes explicarme algo…
Leo te voy a detallar mi objetivo para que me ayudes a resolver el problema…..
Tengo un servidor DNS AC Windows Srver 2008 r2, y quiero montar mi squid que ya lo hice, pero no funciona….
lo tengo en el mismo servidor de IP:192.168.10.1 este es el dns tambien y 10.1.1.2 en el mismo servidor, la Ip primera es de la red local con la que quiero que las maquinas se conecten a Internet, y la segunda es el segmento del router, en mi config de la tarjeta estan las ip 1 y la ip 2, y mi puerta de enlace, en las demas no hay ip2 por seguridad.
Yo me conecto a travez de un proxy sin autrenticacion que es proxy.lobtec.cu:8080 y dns:10.1.2.1 y yo quiero que el squid mio lleve autenticacion contra mi servidor AC de un grupo que cree Full Limited y Correo
Full-Acceso sin restrinccion a internet
Limited -Acceso con restricciones a internet
Correo-Acceso solo al servidor externo que nos proporciona correo
Servidor WServer 2008:
IP1: 192.168.10.1/255.255.255.0 Red de dominio Local labtec.ido.cu
IP2: 10.1.1.2/255.255.255.0 Red del router para acceder a internet.
Gateway: 10.1.1.1/255.255.255.0 Router para Internet
DNS prefer1: 192.168.10.1/255.255.255.0
DNS prefer2: 10.1.2.1 DNS externo que me resuelve las ip internet
proxy al que me conecto: proxy.lobtec.cu:8080
proxy que estoy creando: server:3128 en squidNT
Que quiero:
1 Conectar mi squid con el proxy que me da acceso a internet(no tiene autenticacion)
2 Darle acceso a mis maquinas qu estan fuera del segmento del router a internet por el proxy que estoy creando.
3 Autenticar los accesos a internet por los usuarios contra mi Active Directory en los grupos creados y el que no aparesca se le deniegue el acceso.
4 Las contraseñas sean las mismas con las que se loguean en el inicio de sesion.
5 Bloquear el acceso a una lista de sitio
6 Bloquear el acceso a todos los sitios excepto 1 que es el de correo a los que no tienen mas que correo.
7 Instalar el SARG y configurarrlo para que tire a mi web local los analisis de las trazas o log.
8 Gestionar el sistema de compresion de logs por dia, algoi asi como una salva…
como veras es una gran tarea pero de no ser porque estoy hasta el cuello no te molestaría con semejante pedido…solo te piod me ayudes….ssi puedes has un squid.config con estos datos y enviamelo tya configurado a mi email….gracias…nos vemos mañana
Para la cache padre.
cache_peer nombre/IP parent puerto_http puerto_icp no-query opciones
Ejemplo
cache_peer parent.foo.net parent 3128 3130 proxy-only default
Mas informacion.
Lo de el grupo y active directory es algo que desconosco.
Para agregar la subred solo tienes que añadir el segmento de direcciones ip al proxy.
acl subnet scr xx.xx.xx.0/24
Para que esto funcione las subredes deben de comunicarse.
Comenzemos por lo mas basico…
El Proxy funciona localmente en la Pc que lo instalaste? (jamas lo e instaldado en W2008).
Una vez que lo eches a andar, funciona en los clientes? abriste el puerto?
Hola, muy buenos estos comentarios, estoy iniciandome en esto del squid ahora y me ha servido mucho este sitio. Leo te felicito por el trabajo realizado. Yo necesito hacer algo parecido a lo que quiere Hrey con la autenticación con Active Directory. Tengo un server 2003 con Active Directory y quiero que el acceso a internet sea contra los usuarios creados en mi Active Directory, es decir tengo un Grupo en AD con los usuarios que tienen permiso para navegar, si el usuario no está en ese grupo el squid no le da acceso.
Saludos y gracias por ayuda.
Por Enesima vez, no he tenido oportnidad de experiemntar nada en Active Directory.
Buenas que tal, saludos desde Venezuela, antes que nada Leo gracias por la informacion compartida. Pero como no todo es recibir aqui va nuestro aporte:
Para los que han preguntado por Active Directory, lo probe en Windows Server 2008 R2 con estaciones Windows 7 e Internet Explorer 9 y funciona perfectamente. Para implementarlo:
En la carpeta “libexec” hay dos ejecutables que se requieren:
1. “mswin_auth.exe”
2. “mswin_check_ad_group.exe”
El primero(1) sirve para utenticar contra usuarios del dominio (o de un grupo de usuarios local)
El segundo(2) sirve para asociar las ACL (Reglas) a un grupo de usuarios.
Si solo quieres autenticar usuarios del dominio con el primero basta, si ademas quieres definir reglas para grupos (muy util) de usuarios entonces debes usar el segundo tambien. En ambos casos el primero (1) es necesario.
1. Primero abran una consola CMD, preferiblemente con privilegios de administrador ir a: C:\Windows\System32 y alli localizar el archivo “CMD”, clic derecho y colocar “Ejecutar como Administrador”.
2. Prueben que con los programas autentica correctamente los usuarios:
Eso lo hacen ejecutando el archivo (1) desde consola. Si quieren ver la ayuda escriban despues del nombre del archivo el parametro “-h” algo asi: mswin_auth -h
Para probar coloquen: mswin_auth -O NOMBREDOMINIO
Luego quedara el cursor introduzcan: USUARIO CONTRASEÑA
NOMBREDOMINIO es el nombre de su dominio
usuario y contraseña deben estar separados por un espacio.
Si dice OK entonces habra utenticado y todo esta correcto, si dice ERR entonces tienen un problema con la autenticacion en su dominio y ya eso no tiene que ver con SQUID.
Una vez el anterior de OK, prueben el (2) es decir el de los grupos, para ello:
Escriben: mswin_check_ad_group -G -D NOMBREDOMINIO
Luego quedara el cursor introduzcan: USUARIO CONTRASEÑA GRUPO
Si dice OK entonces habra utenticado y todo esta correcto, si dice ERR entonces tienen un problema con la autenticacion en su dominio y ya eso no tiene que ver con SQUID.
Si todo funciona vamos con el siguiente paso. Si algo no trabaja entonces el problema no sera de SQUID.
3. Agregue las lineas correspondientes a su archivo squid.conf:
auth_param basic program c:/squid/libexec/mswin_auth.exe -O NOMBREDOMINIO
external_acl_type AD_global_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -G -D NOMBREDOMINIO
acl usuarios external AD_global_group NOMBREDOMINIO\GRUPO
acl password proxy_auth REQUIRED
Un Ejemplo, aqui denegamos a los usuarios que no son del grupo gerencia algunas URL y coincidencias con palabras, “suratec” es el nombre del dominio, “gerencia” es un grupo de active Directory, “nogerencia” es otro grupo de Active Directory:
#auth_param basic program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param basic program c:/squid/libexec/mswin_auth.exe -O suratec
external_acl_type AD_global_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -G -D suratec
#external_acl_type NT_local_group %LOGIN c:/squid/libexec/mswin_check_ad_group.exe
acl GProxyUsers external AD_global_group suratec\gerencia
acl nogerencia external AD_global_group suratec\nogerencia
#acl LProxyUsers external NT_local_group LProxyUsers
acl all src all
acl manager proto cache_object
#acl src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl url_denegadas url_regex “C:/squid/acl/url_denegadas.txt”
acl palabras url_regex “C:/squid/acl/palabras_denegadas.txt”
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl password proxy_auth REQUIRED #src 192.168.0.0/16
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow password GProxyUsers
http_access allow password nogerencia !url_denegadas !palabras
http_access allow password usuarios
espero que les sirva y comportan la informacion mientras mas usemos SQUID y compartamos su uso mas vivo se mantendra el proyecto y por tanto los beneficios que nos trae. Pueden escribir al correo de nuestra empresa si necesitan ayuda: soporte@suratec.com.ve
Saludos,
Gracias por compartir, ¿la puedo poner como tema aparte?
Si, como no adelante, lo que si te agradeceria es que colocaras mi nombre y la pagina web, Tu sabes algo de publicidad no esta de mas
. Saludos.
autentificacion de Active directory usando un grupo en el misma maquina del proxy y dividiendo este grupo principal en otros grupos mas pequeños para el manejo de diferentes reglas acls(permisos)
lo que yo hice es:
1.- cree un grupo en la maquina que es el proxy (en administrador de equipo) con los usuarios de mi dominio, teniendo cuidado al agregar a los usuarios en dicho grupo. con esta forma: nombreDominio\nombreusuario, ejm. redempresa\julio
2.-cree diferentes txt, uno para cada grupo, que quiero crear(usando los usuarios que agregue en el grupo de usuarios de la maquina proxy, en el paso 1). ejm. gerentes.txt contratador.txt
Dentro de cada txt agrego los usuario que deseo; Sigo guardando la forma de: nombreDominio\nombreusuario
3.-agrego en squid.conf los siguientes comandos:
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
auth_param basic program c:/squid/libexec/mswin_auth.exe -A nombreDominio
Algo sumamente importante, que inclusive se debio hacer como primer paso es probar el funcionamiento de mswin_auth.exe con nuestros usuarios en el dominio. Para probar entramos al cmd, cuando estemos en esta direccion c:/squid/libexec/
insertamos: mswin_auth.exe -A nombreDomion
presionamos enter
cuando parpade el cursor ingresamos nombreDominio\nombreusuario y su contraseña separadas por un espacio en blanco. ejm.
redempresa\julio litosss
litosss es el password de julio
presionamos enter si da OK, funciona, sino algo anda mal con el dominio o usuario o el password, no con el squid.
4.-agregue al squid.conf los grupos que cree en txt, usando reglas acl:
acl usuariogentes proxy_auth “C:/squid/grupos/gerentes.txt”
presten atencion en la direccion donde crearon sus txt.
5.-finalmente permite mi regla acl(en squid.conf):
http_access allow usuariogerentes
6.- Cuando ya esten en las maquinas de los usuarios (no olvidar direccionar el navegador al proxy) cuando les pida la autentificacion del usuario usar la misma forma, es decir, nombreDominio\usuario; redempresa\julio
Es ahy donde me plante, no se como puedo configurar para no poner el nombre del domio, osea cuando nos pida la autentificacion en la maquina del usuario, este solo ponga su usario (ya no el nombre del dominio)
ejm julio ya no redempresa\julio
Si alguien sabe algo, graciasssss.
Espero les sirva y espero sugerencias.
me olvide de aclarar en el paso 3 en la linea de comando del squid.conf:
auth_param basic program c:/squid/libexec/mswin_auth.exe -A nombreDominio
el nombreDominio es el nombre del grupo que creamos en la misma maquina del proxy (en administracion de equipos-usuarios locales y grupos), no confundir con el nombre del dominio de la red (sorry, debi utilizar otro nombre para evitar confusiones)
Lo que dice Pedro Montesino, funciona bien y permite al Squid la autenticación contra el AD, pero hay un tema que talvez no se hayan percatado o al menos que a mi me esta sucediendo: Despues de leer en Internet tanto sobre Squid y gracias a todos los amigos blogueros como LEO_ON, logre montar mi Windows Server 2008 con Squid, y seguidamente todo empezo a trabajar, el problema surgio cuando los usuarios que no se encontraban en los grupos para Intenet tambien podían navegar:
OU Internet G1 LIMITADO
OU Internet G2 TOTAL
OU Internet G3 CORREO
o sea los que eran miembros del grupo usuarios se autenticaban y ya, sin necesidad de estar dentro de este grupo, que de hecho estan configurado en el squid.conf como access allow y el grupo usuarios deny….pero por gusto……
les agradecería me ayudaran con el tema…….
Hrey Podrias subir tu archivo squid.conf?
Yo tengo la autentificacion de los usuarios de windows …pero necesito tambien filtrar por mac …hasta ahi todo me funciono bien….pero ademas necesito q las mac permitidas naveguen en horarios diferentes….y ahi no he logrado q funcione…declare las ACL de MAC y las de Horario pero no se como puedo combinar ambas en el http_acces…puedes ayudarme …subo el squid.conf…pero ahi solo estan 2 usuarios de prueba. Gracias desde ya
slds
[file]http://leo-on.redimidas.com/wp-content/uploads/2012/01/squid.doc[/file]
Buenas Noches.
Actualmente tengo montado squid 3.2 en un server 2003, tengo varias unidades organizativas creadas pero el proxy solo estoy aplicando para una unidad mi caso esta ªAdministrativosª, como puedo hacer que el proxy me vea varias unidades organizativas con diferentes privilegios de acceso
Administrativos (Limitado y deseado)
Supervi (Limitado y deseado)
Soporte (ilimitado)
Muchas Gracias Por su Apoyo
No entiendo a que te refieres con “unidades organizativas”
hola leo muchisimas gracias por todos tus post son buenisimos..
pero ya tengo mi squid funciona todo bien ,pero me restringe todas las paginas a todos los usuarios de mi red..como hago para crear en cada usuario politocas diferentes ejemplo..mi usuario contabilidad..no tenga acceso a dichas paginas..pero mi usuario diseño si…como hago eso te lo agradeceria muchisimo….espero yu respuesta..gracias..
Hay dos formas… o mas pero las mas basicas es por autenticacion y la otra segun la ip.