Como posso fazer o Squid fornecer credenciais de autenticação para o Zscaler?

Question

Como posso fazer o Squid fornecer credenciais de autenticação para o Zscaler?

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Eu netadmin uma escola. A escola se conecta ao mundo externo por meio de uma VPN implementada em equipamentos fora do meu controle (todos os hosts da escola têm endereços IP 10.x.x.x). A única saída para a Web é por meio de um servidor proxy de filtragem upstream que atende a várias escolas.

A escola tem um proxy Squid local sob meu controle completo, que todos os navegadores escolares estão configurados para usar. Ele está atualmente configurado para usar o proxy upstream como seu pai e passar as credenciais do usuário, exceto por uma lista de permissões de domínios e URLs para os quais eu tenho credenciais predefinidas de fornecimento do Squid. Isso permite, entre outras coisas, tornar vídeos do YouTube selecionados acessíveis para os alunos, embora o filtro upstream (nível de domínio) restrinja o YouTube como um todo à equipe e permita que coisas como verificações de atualizações ocorram silenciosamente sem incomodar os usuários por credenciais inconvenientes vezes.

A Upstream decidiu recentemente interromper o filtro web fornecido pelo ISP para o Zscaler, que não parece usar autenticação HTTP; Ele faz uma dança complicada baseada em navegador com redirecionamento, HTTPS e cookies.

Alguém sabe de uma maneira de configurar o Zscaler para exigir credenciais de autenticação por solicitação, e não por sessão do navegador, e para configurar o Squid para fornecer essas informações?

authentication squid

por flabdablet 14.08.2012 / 15:42

2 respostas

0

Feito no Apache com o módulo SetHeader, com uma string de agente do usuário para o wget, funciona sem falhas. Isso ignora a autenticação, pois o zscaler sabe que o wget nunca poderia fazer sua autenticação fora do padrão.

por 31.01.2014 / 13:50

Tags authentication squid

Hardware de redundância do ISP Compile o PHP com o manipulador Apache 2.4

score 2 · Accepted Answer

Então, acontece que não há, de fato, uma maneira razoável de fazer isso e eu preciso recorrer a um kluge. Não muito ruim de uma kluge, mas uma kluge mesmo assim.

O Zscaler pode identificar proxies que se conectam a ele como "Locais de Gateway da Internet da organização". Para solicitações que chegam ao Zscaler via encadeamento de proxy do servidor proxy local da sua organização, você pode aplicar uma política de filtragem padrão com base no local do gateway, mesmo se o Zscaler não tiver feito nenhuma autenticação baseada em cookie. Isso também é bom, já que os usuários finais podem, na verdade, desabilitar a autenticação baseada em cookies simplesmente configurando seus navegadores para usar uma cadeia falsa do Agente do Usuário.

O administrador do site Zscaler também pode criar "sublocações", permitindo que a política de filtragem padrão seja definida separadamente para vários proxies locais. O Zscaler identifica a localização principal e todas as sublocações pelo endereço IP do servidor proxy que está encadeando a ele. Tudo isso está na página Administração, em "Gateways da Internet e SSL", e uma das opções úteis é a capacidade de desativar a autenticação inteiramente para qualquer local ou sublocação.

Minha escola tem apenas o campus e o servidor proxy do Squid no campus, mas esse proxy agora parece ter quatro pontos de vista do Zscaler. Assim como o endereço IP original estaticamente atribuído a eth0 e registrado no Zscaler como nosso local de gateway da Internet, agora ele tem mais três atribuídos a eth0: 1 , eth0 : 2 e eth0: 3 com sublocações correspondentes (configuração squid , staff e student ) na extremidade do Zscaler, tudo com autenticação desativada.

Agora, posso fazer toda a autenticação de usuário localmente e usar as tags acl proxy_auth no squid.conf para marcar os usuários como funcionários ou alunos e as tags tcp_outgoing_address para escolher os endereços IP que o Zscaler verá minhas solicitações com base nas regras do meu site e do usuário local.

Três sublocações com autenticação somente local, além de um local principal com a permissão Zscaler à esquerda (para funcionários visitantes que vêm com suas próprias credenciais do Zscaler) me dão tanta granularidade quanto eu estava usando em nosso filtro antigo e espero que os usuários do site nem perceberão que algo mudou.