SquidNT restricción por autenticación
http://leo-on.redimidas.com/squidnt/squidnt-restriccion-por-autenticacion/
Esta obra está bajo una licencia de Creative Commons.
Autor: Francisco Leonel Rubio Quintanilla (rubioq)
Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales. c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra.
Para usar la autenticación en squid existen varios métodos, de momento pondré el primero que pruebo en squidnt con resultados satisfactorios, además es muy simple de implementar pues ya se incluye lo necesario en los binarios.
El método en cuestión es usando los grupos de usuarios de Windows.
Partimos considerando que tienes tu SquidNT funcionando correctamente. Si no es así revisa el siguiente HOWTO SquidNT.
1.- Cree un grupo de usuarios que desee autenticar.
Inicio>Panel de Control>Herramientas Administrativas>Administración de Equipos
Una vez allí selecciona la carpeta grupos, se pone en la misma clic en botón derecho después le aparecerá un menú y selecciona grupo nuevo, pongale el nombre y descripción que desee para nuestro caso squidnt.
2.- Asigne usuarios al grupo, esto es asigne solo quienes desee que puedan usar el Proxy, si no tiene los usuarios dados de alta en la PC es un buen momento para hacerlo.
Una vez ya con nuestro grupo de usuarios armado comenzamos ahora a configurar squidnt.
3.- Buscamos las siguientes líneas en nuestro arhivo de configuracion squid.conf.
#auth_param basic program
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
Una vez que las encontremos agregamos esta al inicio las mismas.
auth_param basic program c:/squid/libexec/win32_auth.exe -A squidnt
Donde –A significa restricción por grupo de usuarios de Windows.
Squidnt es el nombre del grupo que usaremos para autenticar a los usuarios. Recuerda que puedes usar otro nombre de grupo o incluso grupos ya creados en Windows como por ejemplo usuarios o administradores grupos que se crean por default en Windows.
4.- Una vez hecho esto buscamos nuestra lista de acl´s y agregamos la siguiente.
acl password proxy_auth REQUIRED
Donde password es el nombre que le daremos a la acl de autenticación.
5.- A continuación vamos a nuestras reglas de acceso y usamos la autenticación donde queramos.
Por ejemplo si queremos que no deje navegar a nadie si no esta autenticado ponemos antes de todas nuestras reglas de acceso la restricción. Es indispensable que este comando este antes de todas las instrucciones http_access que tengas implementadas para lograr este efecto.
http_access deny ¡password
Para poner en funcionamiento la autenticación no olvide reiniciar el servicio de SquidNT después de implementar este manual.
20 Comments:
Hola Leonel.
Soy Robinxon Mendoza, desde Colombia. Le cuento que sus "cursitos" para montar SquidNT son muy buenos. He aprendido mucho. Espero aportarle preguntas con las que se puedan resolver dudas de "webmasters" como yo, los cuales no queremos que los usuarios se las den de "abejas" y quieran hacer lo que quieran. Gracias.
Gracias Robinxon, me agrada que los manuales te hayan sido de utilidad, espero en el futuro poderlos seguir ampliando.
Hola Leonel... hey agradezco que te tomes un poco de tiempo para publicar esos manuales, porque me ha ayudado a configurar un squid para windows que yo no sabia que se podia en win y aqui lo he encontrado... ahora estoy utilizando squidnt en windows muy bien gracias a ti, y gracias por tu aporte Salu2 desde Nicaragua... gelmin01@hotmail.com
Gracias, tengo pendiente de publicar y escribir algunas cosas mas sobre esto mismo, pero de momento el tiempo me lo impide.
Una pregunta, has probado la autenticacion contra un dominio en Active Directory? Sabes como lo puedo hacer?
Cuando bajas SquidNT, almenos en las versiones 10 vienen los archivos y un readme para hacerlo, eso si, en ingles, lamentablemente no he tenido oportunidad de probarlo.
hola que tal amigo Leonel, primeramente un saludo y una felicitacion por estas aportaciones que son de gran ayuda para la comunidad, sabes me gustaria saber si con SquiNT tambien se puede implementar al igual que en linux, que unos usuarios tengan acceso a cierto tipo servicios y otros no por ejemplo que unos usuarios si puedan accesar al msn y otros no....
de ante mano muchas gracias.
jose aguilar
S.L.P., Mexico
je_agme@hotmail.com
me gustaria saber si con SquiNT tambien se puede implementar al igual que en linux, que unos usuarios tengan acceso a cierto tipo servicios y otros no por ejemplo que unos usuarios si puedan accesar al msn y otros no.... en teoria si se puede, pero nunca lo e implementado...
Aun.
Hola Leonel, gracias por tus manuales ya q me han servido, fijate q tengo un problema con la autenticación, configuré tal y como esta en el manual, pero no me funcionó y me puse a analizar las configuraciones entonces tuve duda de buscar la aplicación que usa squidNT para autenticar en este caso c:/squid/libexec/win32_auth.exe pero resulta que el archivo no existe dentro del squid, debo utilizar otra aplicación?
Perdon, pero se me olvido preguntarte algo, sabes si puedo usar la autenticación en SquidNT usando archivos de texto con los datos de usuario?
c:/squid/libexec/win32_auth.exe pero resulta que el archivo no existe dentro del squid, debo utilizar otra aplicación?
Baja la version de squid mas nueva, tal vez estes usando una compilacion antigua que no lo incluia.
http://squid.acmeconsulting.it/download/squid-2.5.STABLE14-NT-bin-DELAYP.zip
sabes si puedo usar la autenticación en SquidNT usando archivos de texto con los datos de usuario?
Tengo entendido que no esta implementada, pero si lo intentas no dejes de avisarme, de momento no he podido experimentar con eso.
Buenas Noches Leonel:
Hast tenido la oportunidad de implementar el Squid con el active directory? me urge poder implementar esta solucion
gracias y saludos
Diego
dieponce@hotmail.com
hola.. desde Colombia.. instale el squid con el How to para windows que tienes colgado y perfecto..me funciono muy bien.
trate de hacer lo mismo con el how to de autenticacion, pero no me funciona, que puedo estar haciendo mal.
nota: lo quiero implementar en un dominio 2003 server. gracias
Hola soy Christian
desde Ecuador llevo ya un tiempo usando Squid e instale el squid con el How to para windows que pusiste y me funciono perfecto.
A continuacion trate de implementar el how to de autenticacion, subio el squid sin errores y todo bien, en los navegadores me sale un cuadro de dialogo para el usuario y el password, pero no se como definir estos.
Estoy usando un dominio en server 2003. si pudieras poner un manual gracias
favor necesito que puedo configurar con squid es decir que servicios me ouede prestar realmente aparte de autentificaciones usuario y ip y otros sencillos necesito aber realmente las fortalezas de squid y contra cual proy lo puedo comparar en windows de similares caracteristicas en caso positivo donde lo descargo o compro urgentemente franciscojoseru@hotmail.com
Hola Leonel, desde ya te agradezco todos tus manuales, porque me han servido mucho a la hora de configurar mi servicio de squid. Te queria comentar que logre hacer funcionar la validacion por medio del AD.
Les comento las modificaciones y como quedaria el squid.conf:
"TEST" es el nombre del dominio que he creado
Con el parametro "-O" hago referencia contra que dominio quiero validar a los usuarios.
auth_param basic program c:/squid/libexec/mswin_auth.exe -O TEST children 5
auth_param basic program c:/squid/libexec/mswin_auth.exe -O TEST realm Squid proxy-caching web server
auth_param basic program c:/squid/libexec/mswin_auth.exe -O TEST credentialsttl 2 hours
auth_param basic program c:/squid/libexec/mswin_auth.exe -O TEST casesensitive off
acl password proxy_auth REQUIRED
acl ip_validas src "C:\squid\etc\ip_validas"
http_access allow ip_validas password
http_access deny !password
Espero que les sirva. Un saludo grande
Lucas
hola instale la revision 16 de squid
pero tengo problemas para que mi red salga a internet
en la maquina local funciona perfecto
pero la red no esta saliendo
Nota mi red es de 21 equipos
si me pueden ayudar lo agadeceria infinitamente
Estimado Leonel, primero un millón de gracias por los tips, me han resultado increiblemente útiles. Mi pregunta es: Como restringir el acceso hacia un grupo de sitios a un rango definido de direcciones IP de mi red. Tengo restricciones de sitios para toda la red pero quiero implementar restriciones solo para algunos IP. como hago esto?
Mil gracias.
Hola soy guillermo de cuba y le estoy tratando de dar respuesta al amigo que tiene la version 16 de squid el pregunta porque el la PC local si sale el proxy y en el resto de la red no , existen varios factores q pudiesen dar al traste con eto q dices , pero bueno verifica q dentro de el fichero etc de squid tienes un ficherito q puede llamarse permitidos o como desees , ahí vas a poner las ips de las maquinas q tu quieres q naveguen dentro de tu red sin eso no debes de salir , aunque debes dar mas argumentos porque en verdad no se te entiende muy bien , si quieres conctacta conmigo , guillermo13022@pri.jovenclub.cu
Hola leonel disculpa q le responda al amigo Cristian del ecuador , pero al parecer el amigo ya tiene su Squid funcionando en perfectas condiciones solo le resta definir los usuarios para Squid , (Los q van a navegar )existen varias formas para hacer esto , una puede ser contra el Active Directory de windows y otra puede ser contra un ficherito de apache q te encripte los pass de los users ya q estos en Squid viajan en texto plano y si no quieres tener fallas de seguridad debes hacerlo así , ponte en contacto conmigo y depende de lo q utilizes te ayudo
guillermo13022@pri.jovenclub.cu
existen más maneras de hacer esto solo cité estas 2 por poner ejemplos salu2s guille
Publicar un comentario
<< Pagina principal