Anderson,

    Infelizmente é impossivel remover os usuarios, pois sao notebooks usados 
tambem fora da empresa. A ideia é que quando estiverem dentro da empresa terão 
que seguir a politica de segurança que foi implantada, bem como terem seus 
acessos a internet, msn e skype controlados e logados, isto ja esta 
funcionando, apenas queria que nao fosse possivel utilizar a internet sem logar 
na rede. É claro q estando fora do dominio, ainda sim tera q usar conta do 
dominio pra acessar sites e sera auditado, porem gostaria que isto nao fosse 
possivel dentro da rede. Agradeço a todos pelo valioso debate.

Cordialmente,

Fabio Nery

--- Em qua, 3/9/08, Anderson da Silva Leite <[EMAIL PROTECTED]> escreveu:
De: Anderson da Silva Leite <[EMAIL PROTECTED]>
Assunto: RES: Res: [squid-br] squid+ntlm+acesso negado fora do dominio
Para: [email protected]
Data: Quarta-feira, 3 de Setembro de 2008, 15:43










    
            







Sem começar nenhuma guerra santa, mas, o que o Fábio quer é algo
parecido com as regras que o ISA Server permite fazer, liberar ou negar acessos
e adicionar a diretiva “Authenticated Users” como forma de controle adicional
de quem pode ou não usar aquela regra (pois, o ISA checa se o usuário está
autenticado diretamente no active directory, não pergunta por login e senha se
você informar o proxy manualmente, como no caso do Fábio). 

   

Nunca vi o squid fazer este tipo de controle, pois, mesmo que
ofsse possível setar algo parecido como “password server” do samba, para dizer
onde o daemon iria buscar a autenticação, se o usuário informar manualmente
login e senha, ele terá o acesso liberado. 

   

Pergunta básica: não é possível remover os usuários locais das
máquinas ? Acho que isto te pouparia muito mais trabalho. 

   

Se conseguir fazer o que pretende, por favor, não esqueça de
compartilhar a experiência conosco. 

   

Cumprimentos, 

   

Anderson
da Silva Leite 

Engenheiro
de Comunicações e Segurança

Direcção de
Sistemas de Informação e Tecnologias 

Banco
de Negócios Internacional  

Rua
Major Kanhangulo, nº 134 

Cx.
Posta: 578 

Luanda
- Angola 

Tel: (+244) 222 63 29 00 / (+244) 222 63 29 77 

Telemóvel: (+244) 928 50 94 94 

Fax:
(+244) 222 37 18 87 

   





De: [EMAIL PROTECTED] s.com.br
[mailto:squid- [EMAIL PROTECTED] com.br] Em nome de Marcos Dutra

Enviada em: quarta-feira, 3 de Setembro de 2008 19:07

Para: [EMAIL PROTECTED] s.com.br

Assunto: Res: Res: [squid-br] squid+ntlm+acesso negado fora do dominio 





   











Mas aí não vai ter jeito mesmo Fabio pq vou te explicar o
seguinte:

Até quando o brownser requisitar a acesso e o squid verificar a autenticação,
ele não sabe em qual grupo ou domínio que ele entrou entendeu, a única coisa
que o protocolo ntlm ajuda no processo de autenticação é não mostrar a tela de
autenticação e só. Portanto vc não tem como bloquear um navegador antes de se
autenticar entendeu.



Marcos 





   



----- Mensagem original ----

De: fabio nery <fcosta_nery@ yahoo.com. br>

Para: [EMAIL PROTECTED] s.com.br

Enviadas: Quarta-feira, 3 de Setembro de 2008 14:24:31

Assunto: Re: Res: [squid-br] squid+ntlm+acesso negado fora do dominio 


 
  
  Marcos,

  

       Maquinas no dominio ja recebem GPO de configuraçao
  do browser, o problema nao é maquina no dominio, o problema é o cara logar
  local, ai ele vai la e seta o browser, vai pedir nome de usuario e senha, ai
  ele vai navegar. Eu nao quero q usuarios que loguem fora do dominio consigam
  navegar, mesmo setando o browser, nao quero que solicite nome de usuario e
  senha mesmo setando o browser para quem loga localmente, quero q seja negado
  de cara, sem nem pedir conta.

  

  Abraço,

  

  Fabio

  

  --- Em qua, 3/9/08, Marcos Dutra <[EMAIL PROTECTED] com>
  escreveu: 
  De: Marcos Dutra <[EMAIL PROTECTED] com>

  Assunto: Res: [squid-br] squid+ntlm+acesso negado fora do dominio

  Para: [EMAIL PROTECTED] s.com.br

  Data: Quarta-feira, 3 de Setembro de 2008, 12:44 
  
  
  
  
  Fabio, acho que o esquem é ao invés de criar o esquema no
  squid (acho que não dá) colocar uma GPO no AD para setar o proxy quem estiver
  no grupo e quem não estiver não tem proxy setado, acho que é isso aí, o único
  problema são os browsers tipo opera ou firefox que não pegam as configurações
  via GPO mas aí acho que dá para dar um jeitinho diferente.

  

  Marcos 
  
  
     
  
  ----- Mensagem original ----

  De: fabio nery <fcosta_nery@ yahoo.com. br>

  Para: [EMAIL PROTECTED] s.com.br

  Enviadas: Terça-feira, 2 de Setembro de 2008 10:25:07

  Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio 
  
   
    
    Luiz,

    

         Já fiz este teste e isto não vai evitar que seja
    solicitado nome de usuario e senha, eu quero que logado fora do dominio não
    solicite nome de usuario e senha, é pra negar sem pedir nada, ele esta 
logado
    fora do dominio, entao nao é pra acessar.

    

    Flw,

    

    Fabio

    

    --- Em ter, 2/9/08, Luiz Felipe Ferreira <[EMAIL PROTECTED]
    com> escreveu: 
    De: Luiz Felipe Ferreira <[EMAIL PROTECTED] com>

    Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio

    Para: [EMAIL PROTECTED] s.com.br

    Data: Terça-feira, 2 de Setembro de 2008, 9:57 
    
    
    
    Fabio,

    

    Você pode colocar uma acl asim:

    

    acl acesso proxy_auth REQUIRED (Solicitando a autenticação no domínio)

    http_access allow acesso (Liberando usuários autenticados)

    

    Luiz Felipe Ferreira 
    
    2008/9/2
    fabio nery <fcosta_nery@
    yahoo.com. br> 
    
    
    
    
    
     
      
      Bom dia,

      

            Quero evitar que usuarios que não loguem
      no dominio consigam navegar, qd logar fora do dominio não quero que
      solicite senha, quero que negue o acesso. Logando fora do dominio não é
      pra ter acesso, mesmo q configure o proxy.

      

      Abraço,

      

      Fabio

      

      --- Em ter, 2/9/08, João Júnior <[EMAIL PROTECTED]
      .net> escreveu: 
      De: João Júnior <[EMAIL PROTECTED]
      .net>

      Assunto: Re: [squid-br] squid+ntlm+acesso negado fora do dominio

      Para: [EMAIL PROTECTED]
      s.com.br

      Data: Terça-feira, 2 de Setembro de 2008, 8:35 
      
      
      
      bom dia... 

       

      nas estações fora do dominio , usa-se para o campo usuário:

      DOMINIO\USUARIO 
      Espero
      ter ajudado...

       

      abraços.. 
      
      2008/8/29
      fabio nery <fcosta_nery@
      yahoo.com. br> 
      
      
      
      
      
       
        
        Bom dia a todos,

        

            Alguem sabe me dizer como faço pro squid apresentar
        uma pagina de acesso negado para estações usuarios que não estejam
        logados no dominio? Tenho um squid com autenticaçao ntlm, tudo ta
        funcionando certinho, porem quando pessoas logam fora do dominio e 
configuram
        o proxy no IE ele pede nome de usuario e senha do dominio, o usuario
        digita nome de usuario e senha e navega, gostaria que isto nao fosse
        possivel, gostaria que nem sequer a tela fosse apresentada quando
        logado fora do dominio, mesmo ele configurando o proxy. Alguem ja
        implementou?

        

        Abraço,

        

        Fabio 
        
       
      
         
      
      
      
      Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua 
cara @ymail.com ou @rocketmail.com.  
      
      
      
      
      
      

      

      

      -- 

      ____________ _________ _________

      João Júnior

      GNU/LINUX Analista de Segurança

      e-mail [EMAIL PROTECTED]
      eti.br

      msn [EMAIL PROTECTED]
      .net

      skype xjoaojunior

      Fone: 32-99832248 / 38-91125678 
      
      
      
      
     
    
       
    
    
    
    Novos
    endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara 
@ymail.com ou @rocketmail.com.  
    
    
    
    
    
    
    
    
    
   
  
     
  
  
  
  Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara 
@ymail.com ou
  @rocketmail. com.  
  
  
  
     
  
  
  
  Novos
  endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara 
@ymail.com ou
  @rocketmail. com.  
  
  
  
 


   







Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara 
@ymail.com ou @rocketmail. com.
 







   







Novos endereços, o Yahoo! que você conhece. Crie
um email novo com a sua cara @ymail.com ou @rocketmail. com. 



  







      

    
    
        
         
        
        








        


        
        


      Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua 
cara @ymail.com ou @rocketmail.com.
http://br.new.mail.yahoo.com/addresses

Responder a