SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

Question

[Godless]

Добрый день, коллеги!
Представим ситуацию есть SQUID.
Есть SquidGuard, который из AD тянет группы у пользователя и пускает или не пускает юзера на сайт.

Мартовское обновление обещает включить SSL/TLS для LDAP (раз, два) и тут возникают вопросы:
1. Авторизация squid - можно ли включить шифрование?
можно.

auth_param basic program /usr/lib/squid/basic_ldap_auth -Z -v 3  ....................

2. SquidGuard - можно ли включить шифрование?
нельзя :-(

И собственно вопросы:
1. Есть обходной путь?
2. Чем заменить SquidGuard (используется 1.6 из реп debian) ?
Есть еще ufdbGuard, но он вообще LDAP не поддерживает...

Answer 1

[athacker]

Строго говоря, Squid умеет всё делать сам. Там есть AD аутентификация, списки фильтрации и т. п. Чем не устроил встроенный функционал Squid'a?

Comments

[Godless]

0. Настраивалось давно, squidGuard всем устраивал, работал шустро, базы готовые, большие и удобные.
1. Списки сайтов огромные, категорий много (порно, реклама, новости и тп). Групп пользователей не много правда. Сервак не оч шустрый.
Не уверен что squid сможет нормально переварить это.
Если не ошибаюсь, squid для каждой строки в файле "dstdom_regex -i FILE" создаст отдельный acl.
Возможна потеря производительности. Или я ошибаюсь?

[CityCat4]

Godless, если проект мертв, то значит и базы мертвые - это во-первых. Очень часто приходится править списки доступа сообразно политике компании - во-вторых, а встроенные ACL куда удобнее. На одном из прежних мест мне пришлось разбанить строку "girls", несмотря на то, что у меня она с лохматых времен в списке порно.
Ответ был прост - контора занималась продажей детской одежды, а там очень часто в ссылках на каталоги фигурировало girls.
"Огромные" - это сколько - тысячи, десятки тысяч? Вы уверены, что столько надо?
Я рассматривал как-то давно-давно включение squidGuard в squid - чтобы страницу запрета немного модифицировать, но показалось сложно да и устраивало все.

[athacker]

Godless, да, на очень больших размерах ACL потеря производительности будет ощутимой. Я в такой ситуации использовал rejic. Там бинарные базы, они работают существенно быстрее. Но производительность сквида у меня стала проблемой на объёмах порядка десятков тысяч ACE в списках -- реализовывали блокировки РКН на базе Squid. Для сотни-другой-третьей записей в ACL, я думаю, встроенного механизма вполне хватит.

[Godless]

athacker, т.е. я прав в том, что сквид почти умрет от асл вида:

dstdom_regex -i FILE

, где FILE размерм 1645247 строк ?
ну и конечно такой acl будет не один, но этот самый огромный

[athacker]

ACL на полтора миллиона записей? Мне кажется, вы что-то не так делаете... :-)

[Godless]

athacker, ok, возможно, тогда чем мне заменить SquidGuard?
Или как фильтровать тонну ресурсов без него?

[athacker]

Я про то, что зачем вам фильтровать половину интернета?

А чем можно воспользоваться -- я уже говорил выше. Я использовал rejik. Вроде как проект ещё жив, и у них тоже есть готовые списки ACL.

[Godless]

athacker,

Я про то, что зачем вам фильтровать половину интернета?

Есть указание от руководства лочить определенные категории ресурсов.
Но кажется я понял вашу идею, можно лочить режиком+dns скажем все что не должно быть доступно для всех (порно, малварь и тп), а остальное толкнуть в acl.

Answer 2

[CityCat4]

Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD

Comments

[Godless]

убедительно вещаете)
на досуге попробую исключить SG из связки.

По поводу "нужности" такого объема тоже подумаем. Может часть в DNS унести на перманентный блок.

[CityCat4]

Godless, Можно оказаться в положении РКН с его "блокировками по IP" :) Вопрос хождения по соцсетям и порно - он не чисто технический, а такой административно-технический. Очень здорово в этом плане помогает наличие статистики доступа, причем так, чтобы все знали, что она есть и руководитель может посмотреть ее в любой момент :)

[Godless]

CityCat4, это все понятно.
к моему великому сожалению, есть пользователи, которые скажем так неподвластны мне и моему руководству.
Хождение по неприличным урлам хоть и запрещено, но даже если их застукать за этим, ничего не предъявишь. Специфика такая у конторы... Естественно никто не приходит и не говорит "у меня fuck.com не открывается", просто ищут в выдаче поисковика то что доступно...
Доходило до того, что я раз в неделю смотрел логи от одного пользователя и добавлял в раздел porn/domains у SG список новых доменов. Примерно через 2 месяца я победил)) Сейчас в файле 1645247 строк (и urls 52919 шт).
PS: офигенно выручила блокировка всего домена .porn в unbound

[CityCat4]

Доходило до того, что я раз в неделю смотрел логи от одного пользователя и добавлял в раздел porn/domains

Когда у меня было больше времени, я периодически ставил себе стандартный доступ и начинал искать порно. И заносил в блокировку урлы с первых двух-трех страниц выдачи. Но у нас с этим проще - сильно наглых нет (а если появляется - можно быстро устроить приватную беседу с директором по безопасности :) )
А что, есть TLD .porn??

[Godless]

CityCat4, есть, и довольно давно. их вообще развелось до неприличия много.

[CityCat4]

Godless, Спасибо, вот мне и работа на понедельник :)

Answer 3

[Alexey Dmitriev]

Мартовское обновление обещало отключить LDAP и оставить только LDAPS.
Но по последней информации MS перенесли это на вторую половину 2020 года.

Comments

[Godless]

Это круто, но это только чуть отсрочит проблему.