{"id":29,"date":"2016-05-02T10:53:47","date_gmt":"2016-05-02T13:53:47","guid":{"rendered":"http:\/\/xaxowareti.com.br\/?p=29"},"modified":"2023-10-16T09:36:23","modified_gmt":"2023-10-16T12:36:23","slug":"squid-autenticacao-ncsa-controle-de-acesso-por-grupos","status":"publish","type":"post","link":"https:\/\/xaxowareti.com.br\/?p=29","title":{"rendered":"Squid + Autentica\u00e7\u00e3o NCSA + Controle de Acesso por Grupos"},"content":{"rendered":"

Squid + Autentica\u00e7\u00e3o NCSA + Controle de Acesso por Grupos<\/a><\/h2>\n

Esse tutorial busca ajudar aqueles que necessitam montar um servidor proxy aonde os usu\u00e1rios precisem ser autenticados, separados por grupos e que cada grupo tenha uma lista espec\u00edfica de sites liberados para acesso, de uma forma pr\u00e1tica e r\u00e1pida sem ter que usar algum tipo de integra\u00e7\u00e3o como o AD, Samba ou LDAP.<\/p>\n

\n

Parte 1 \u2013 Instala\u00e7\u00e3o do Squid<\/strong><\/p>\n

V\u00e1 no menu \u201dSystem > Packages\u201d<\/strong>, na tela que se segue clique em \u201dAvailable Packages\u201d<\/strong> e procure na lista o Squid. Clique na setinha ao lado da linha do Squid para instalar o pacote. Com a instala\u00e7\u00e3o bem sucedida do Squid vamos \u00e0 pr\u00f3xima etapa.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 1: Menu System > Packages<\/p>\n<\/div>\n

\"Figura<\/a><\/p>\n

Figura 2: Pacote do Squid<\/p>\n<\/div>\n

\"Figura<\/a><\/p>\n

Figura 3: Instala\u00e7\u00e3o bem sucedida do Squid.<\/p>\n<\/div>\n

Parte 2 \u2013 Configura\u00e7\u00f5es B\u00e1sicas do Squid<\/strong><\/p>\n

Vamos realizar a configura\u00e7\u00e3o b\u00e1sica do nosso Proxy. Para isso vamos acessar as configura\u00e7\u00f5es do Squid no menu \u201dServices > Proxy Server\u201d<\/strong>.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 4: Configura\u00e7\u00f5es B\u00e1sicas do Squid.<\/p>\n<\/div>\n

Na aba \u201cGeneral\u201d<\/strong>, est\u00e3o localizadas as configura\u00e7\u00f5es b\u00e1sicas do nosso servidor proxy. Geralmente n\u00e3o \u00e9 preciso alterar nada para que o proxy funcione. Ent\u00e3o vamos deixar os valores como padr\u00e3o para a maioria dos campos, alterando somente o campo\u201dLanguage\u201d<\/strong> para \u201cPortuguese\u201d<\/strong> (isso far\u00e1 com que o Squid exiba as p\u00e1ginas de erro em Portugu\u00eas) e um pouco mais abaixo vamos marcar a op\u00e7\u00e3o \u201dSupress Squid Version\u201d<\/strong>(para que o Squid n\u00e3o mostre a sua vers\u00e3o na p\u00e1gina de erros). E por fim clicamos em\u201dSave\u201d<\/strong> para guardar nossas configura\u00e7\u00f5es.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 5: Continua\u00e7\u00e3o das Configura\u00e7\u00f5es B\u00e1sicas do Squid<\/p>\n<\/div>\n

\"Figura<\/a><\/p>\n

Figura 6: Continua\u00e7\u00e3o das Configura\u00e7\u00f5es B\u00e1sicas do Squid<\/p>\n<\/div>\n


\nParte 3 \u2013 Configura\u00e7\u00f5es de Autentica\u00e7\u00e3o do Squid<\/strong><\/p>\n

Ainda nas configura\u00e7\u00f5es do Squid, vamos at\u00e9 a aba \u201cAuth Settings\u201d<\/strong>. Aqui vamos configurar nosso Squid para que ele utilize a base de dados Local. Ent\u00e3o vamos at\u00e9 o campo \u201dAuthentication Method\u201d<\/strong> e vamos escolher a op\u00e7\u00e3o \u201cLocal\u201d<\/strong>.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 7: Configura\u00e7\u00f5es de Autentica\u00e7\u00e3o do Squid<\/p>\n<\/div>\n

Ainda nessa tela temos 3 campos importantes:<\/p>\n

\u201cAuthentication prompt\u201d:<\/strong> Texto que vai ser exibido na janela que pede o usu\u00e1rio e a senha.
\n\u201cAuthentication processes\u201d:<\/strong> N\u00famero de autentica\u00e7\u00f5es simult\u00e2neas. Ajuste conforme preciso.
\n\u201cAuthentication TTL\u201d:<\/strong> Este campo define o tempo de vida da sess\u00e3o de um usu\u00e1rio autenticado.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 8: Configura\u00e7\u00f5es de Autentica\u00e7\u00e3o do Squid<\/p>\n<\/div>\n

Clicamos em \u201dSave\u201d<\/strong> e vamos \u00e0 pr\u00f3xima etapa.<\/p>\n

Parte 4 \u2013 Cadastro de novos usu\u00e1rios<\/strong><\/p>\n

Nas configura\u00e7\u00f5es do proxy na aba \u201cLocal Users\u201d<\/strong>, vamos cadastrar os 3 usu\u00e1rios para utilizarmos no nosso exemplo. Para cadastrar um usu\u00e1rio clique no \u00edcone da setinha marcado na figura abaixo.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 9: Cadastros de Usu\u00e1rios no Squid<\/p>\n<\/div>\n

Na tela que se abre, temos 2 campos obrigat\u00f3rios: \u201dUsername\u201d<\/strong> e \u201dPassword\u201d<\/strong>. J\u00e1 o campo \u201cDescription\u201d<\/strong> \u00e9 opcional, por\u00e9m \u00e9 muito \u00fatil para car\u00e1ter administrativo. No nosso exemplo eu usei esse campo para definir qual departamento o usu\u00e1rio pertence. Clicamos em \u201cSave\u201d<\/strong> para finalizar essa etapa de cadastro.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 10: Continua\u00e7\u00e3o dos Cadastros de Usu\u00e1rios no Squid<\/p>\n<\/div>\n

Parte 5 \u2013 Administrando Usu\u00e1rios: Remover Usu\u00e1rio e Troca de Senha<\/strong><\/p>\n

Ainda em \u201cLocal Users\u201d<\/strong>, podemos perceber que na listagem dos usu\u00e1rios cadastrados no sistema, ao lado aparece dois pequenos \u00edcones, eles s\u00e3o a fun\u00e7\u00e3o editar e deletar.<\/p>\n

No bot\u00e3o editar voc\u00ea poder\u00e1 trocar o nome de usu\u00e1rio e a senha. E no de remover, exclu\u00edmos o usu\u00e1rio do sistema.<\/p>\n

No caso de alterar o dados do usu\u00e1rio, o pfSense traz o mesmo formul\u00e1rio s\u00f3 que preenchido com os Dados Originais bastando voc\u00ea alterar aonde necess\u00e1rio.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 11: Cadastros de Usu\u00e1rios no Squid<\/p>\n<\/div>\n

Parte 6 \u2013 Definindo os Grupos e seus respectivos Sites Liberados<\/strong><\/p>\n

Finalmente chegou a hora de fazermos a autentica\u00e7\u00e3o por grupos no pfSense. Vamos no menu \u201cDiagnostics > Edit File\u201d<\/strong>. No campo que aparece vamos digitar:\u201c\/usr\/local\/pkg\/squid.inc\u201d<\/strong> e apertar no bot\u00e3o \u201cLoad\u201d<\/strong>. Uma vez\u00a0 conte\u00fado do arquivo carregado, vamos procurar (Control + F) pelo seguinte conte\u00fado: \u201cacl password proxy_auth REQUIRED\u201d<\/strong> (sem as aspas).<\/p>\n

\"Figura<\/a><\/p>\n

Figura 12: Alterando o squid.inc<\/p>\n<\/div>\n

Entre a linha \u201cacl password proxy_auth REQUIRED\u201d<\/strong> e a \u201cEOD;\u201d<\/strong> vamos inserir o c\u00f3digo abaixo:<\/p>\n

### Defini\u00e7\u00e3o ACLs dos Grupos com Seus Respectivos Usu\u00e1rios ###<\/strong>
\nacl COMERCIAL proxy_auth \u201c\/var\/squid\/acl\/usuarios_comercial.acl\u201d
\nacl FINANCEIRO proxy_auth \u201c\/var\/squid\/acl\/usuarios_financeiro.acl\u201d
\nacl ADMINISTRATIVO proxy_auth \u201c\/var\/squid\/acl\/usuarios_administrativo.acl\u201d<\/p>\n

### Defini\u00e7\u00e3o das ACLs dos Sites Liberados para Cada Grupo ###<\/strong>
\nacl SITES_COMERCIAL url_regex \u201c\/var\/squid\/acl\/sites_comercial.acl\u201d
\nacl SITES_FINANCEIRO url_regex \u201c\/var\/squid\/acl\/sites_financeiro.acl\u201d
\nacl SITES_ADMINISTRATIVO url_regex \u201c\/var\/squid\/acl\/sites_administrativo.acl\u201d<\/p>\n

### Libera\u00e7\u00e3o do Acesso para os Grupos ###<\/strong>
\nhttp_access allow password COMERCIAL SITES_COMERCIAL
\nhttp_access allow password FINANCEIRO SITES_FINANCEIRO
\nhttp_access allow password ADMINISTRATIVO SITES_ADMINISTRATIVO
\nhttp_access deny all<\/p>\n

Agora salvamos o arquivo \u201csquid.inc\u201d<\/strong> alterado.<\/p>\n

OBSERVA\u00c7\u00c3O<\/strong><\/p>\n

Em nosso ambiente de implementa\u00e7\u00e3o de autentica\u00e7\u00e3o por grupos, cada grupo tem a sua pr\u00f3pria lista de site permitidos, h\u00e1 um detalhe muito importante a real\u00e7ar.<\/p>\n

Na interface de configura\u00e7\u00e3o do Squid, em \u201cServices > Proxy Server\u201d<\/strong> na aba \u201cAccess Control\u201d<\/strong> temos os campos \u201cWhitelist\u201d<\/strong> e \u201cBlacklist\u201d<\/strong>.<\/p>\n

Essas duas listas tem preced\u00eancia sobre as demais libera\u00e7\u00f5es ou bloqueios que usamos no \u201csquid.inc\u201d<\/strong>.<\/p>\n

DICA<\/strong><\/p>\n

Particularmente, eu uso esse campo \u201cWhitelist\u201d<\/strong> para cadastrar os sites que ser\u00e3o dispon\u00edveis para todos os grupos, ou seja, os sites em comum a todos eles. Pois todos ter\u00e3o acesso. Restando a lista personalizada de cada grupo somente \u00e0queles sites que s\u00e3o acessados s\u00f3 por aquele grupo em espec\u00edfico.<\/p>\n

Parte 7 \u2013 Cria\u00e7\u00e3o dos arquivos que definem o grupo e os sites que podem ser visitados<\/strong><\/p>\n

O pr\u00f3ximo passo \u00e9 criar e popular os arquivos que referenciamos nas ACLs de grupos e de sites. Vou dar um exemplo com a cria\u00e7\u00e3o de ambos arquivos para o Grupo Comercial:<\/p>\n

Vamos trocar o endere\u00e7o \u201c\/usr\/local\/pkg\/squid.inc\u201d<\/strong> para o endere\u00e7o\u201d\/var\/squid\/acl\/usuarios_comercial.acl\u201d<\/strong> e ent\u00e3o apertamos o bot\u00e3o \u201cLoad\u201d<\/strong>.<\/p>\n

O pfSense vai dar a seguinte mensagem avisando que o arquivo n\u00e3o existe: \u201cFile does not exist or is not a regular file.\u201d<\/strong>. Vamos ignorar essa mensagem e iremos povoar o arquivo com o nome do usu\u00e1rio do departamento Comercial, no caso \u201cjoao\u201d<\/strong>.<\/p>\n

Se houver mais de um usu\u00e1rio por Departamento, iremos manter sempre o padr\u00e3o de um usu\u00e1rio por linha. Ao t\u00e9rmino do processo vamos apertar em \u201cSave\u201d<\/strong>. Notaremos ent\u00e3o que a mensagem de arquivo inexistente ir\u00e1 ser alterada para \u201cFile Save Sucessfully\u201d<\/strong>. Isso ir\u00e1 nos informar que nosso arquivo agora existe e que foi criado com sucesso.<\/p>\n

\"Figura<\/a><\/p>\n

Figura 14: Cria\u00e7\u00e3o do Arquivo de Grupo com o Usu\u00e1rio<\/p>\n<\/div>\n

Agora vamos repetir o processo acima alterando o arquivo a ser criado para:\u201c\/var\/squid\/acl\/sites_comercial.acl\u201d<\/strong> que \u00e9 o arquivo que cont\u00e9m a lista dos sites liberados para esse grupo.<\/p>\n

Nesse arquivo vamos continuar mantendo o padr\u00e3o de um site cadastrado por linha.<\/p>\n

.uol.com.br\/*<\/strong><\/p>\n

\"Figura<\/a><\/p>\n

Figura 15: Cadastro de Sites por Grupo<\/p>\n<\/div>\n

Iremos repetir os processos acima para os grupos restantes e suas respectivas listas de sites liberados:<\/p>\n

Grupos:<\/p>\n

\/var\/squid\/acl\/usuarios_financeiro.acl<\/strong>
\n\/var\/squid\/acl\/usuarios_administrativo.acl<\/strong><\/p>\n

Sites Liberados:<\/p>\n

\/var\/squid\/acl\/sites_financeiro.acl<\/strong>
\n\/var\/squid\/acl\/sites_administrativo.acl<\/strong><\/p>\n

Com tudo devidamente criado, vamos acessar o menu \u201dServices > Proxy Server\u201d<\/strong>, vamos apenas rolar a tela para baixo e apertar no bot\u00e3o \u201dSave\u201d<\/strong>. Isso far\u00e1 que o Squid tenha as suas regras recarregadas, eliminando a necessidade de reiniciar o pfSense ou parar\/recarregar o servi\u00e7o do Squid.<\/p>\n

Se tudo foi feito corretamente seu Squid estar\u00e1 funcionando com a autentica\u00e7\u00e3o NCSA e pol\u00edticas de controle de acesso por grupos. Parab\u00e9ns!<\/p>\n

Parte 8 \u2013 Solu\u00e7\u00f5es de Problemas<\/strong><\/p>\n

Caso o seu Squid n\u00e3o esteja funcionando, vamos at\u00e9 o menu \u201dStatus > Services\u201d<\/strong>. Aqui saberemos o servi\u00e7o do Squid est\u00e1 iniciado ou parado.<\/p>\n

Outra dica importante \u00e9 ir em \u201cStatus > System Logs\u201d<\/strong>, na aba \u201cSystem\u201d<\/strong> temos os \u00faltimos 50 registros de logs do sistema. E ali provavelmente ser\u00e1 mostrado o erro do Squid caso o mesmo n\u00e3o venha a ser iniciado corretamente. Se for um erro na ACL ele ir\u00e1 lhe dizer qual a ACL est\u00e1 com o problema.<\/p>\n

Criado Por: Daniel Herzer
\nFortaleza, 25 de Setembro de 2012
\nE-mail: herzer@caisnetwork.com.br<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Squid + Autentica\u00e7\u00e3o NCSA + Controle de Acesso por Grupos Esse tutorial busca ajudar aqueles que necessitam montar um servidor proxy aonde os usu\u00e1rios precisem ser autenticados, separados por grupos e que cada grupo tenha uma lista espec\u00edfica de sites liberados para acesso, de uma forma pr\u00e1tica e r\u00e1pida sem ter que usar algum tipo […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-29","post","type-post","status-publish","format-standard","hentry","category-pfsense"],"_links":{"self":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/29","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=29"}],"version-history":[{"count":1,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/29\/revisions"}],"predecessor-version":[{"id":30,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=\/wp\/v2\/posts\/29\/revisions\/30"}],"wp:attachment":[{"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=29"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=29"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xaxowareti.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=29"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}