Proxy com autenticação

Você pode adicionar uma camada extra de segurança exigindo autenticação no proxy. Este recurso pode ser usado para controlar quem tem acesso à internet e auditar os acessos em caso de necessidade. Quase todos os navegadores oferecem a opção de salvar a senha, de modo que o usuário precisa digitá-la apenas uma vez a cada sessão:

Para ativar a autenticação, você vai precisar de um programa chamado “htpasswd“. Se ele não estiver presente, instale o pacote apache-utils:

# apt-get install apache-utils

Em seguida crie o arquivo que será usado para armazenar as senhas:

# touch /etc/squid/squid_passwd

Cadastre os logins usando o comando:

# htpasswd /etc/squid/squid_passwd kurumin
(onde o “kurumin” é o usuário que está sendo adicionado)

Depois de terminar de cadastrar os usuários, adicione as linhas que ativam a autenticação no “/etc/squid/squid.conf”:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

O “/usr/lib/squid/ncsa_auth” é a localização da biblioteca responsável pela autenticação. Eventualmente, ela pode estar em uma pasta diferente dentro da distribuição que estiver usando. Neste caso, use o comando “locate” ou a busca do KDE para encontrar o arquivo e altere a linha indicando a localização correta.

Estas três linhas criam uma acl chamada “autenticados” (poderia ser outro nome), que contém os usuários que se autenticarem usando um login válido. Ao implementar a autenticação, você pode criar regras de acesso com base nos logins dos usuários, não apenas com base nos endereços IP.

Por exemplo, imagine que você queria que apenas dois usuários da rede tenham acesso irrestrito ao proxy. Os demais (mesmo se autenticando), poderão acessar apenas no horário do almoço, e quem não tiver login e senha válidos não acessa em horário nenhum. Neste caso você poderia usar esta configuração:

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

acl permitidos proxy_auth kurumin tux
acl almoco time 12:00-13:00

http_access allow permitidos
http_access allow autenticados almoco

Aqui temos os usuários que passaram pela autenticação divididos em duas regras. A acl “autenticados” inclui todos os usuários, enquanto a acl “permitidos” contém apenas o kurumin e o tux.

Graças à regra “http_access allow permitidos”, os dois podem acessar em qualquer horário, enquanto os demais caem na regra “http_access allow autenticados almoco”, que cruza o conteúdo das acls “autenticados” e “almoço”, permitindo que eles acessem, mas apenas das 12:00 às 13:00.