Zentyal – Gerenciamento de Servidores Linux (Parte 4)
rpinheiro
Em posts anteriores vimos que o Zentyal (antigo Ebox) permite gerenciar recursos e funções de um servidor a partir do navegador na porta 443, e realizamos a instalação do mesmo em um Ubuntu Server (10.04), na segunda parte desta série vimos o Zentyal como Gateway e um servidor de proxy, na terceira parte implementamos um filtro de conteúdo por tipo de domínios, e para este post teremos autenticação de usuários com filtro por grupo e dia/hora de acesso.
Mãos a obra:
Retome seu Zentyal conforme a última configuração, segue o atalho para as 3 partes:
na tela principal selecione Usuários e grupos – Grupos
Crie para o nosso exemplo 2 grupos (turno1 e turno2), como nas imagens abaixo:
Vamos adicionar 4 usuários (finet,lauff,rafael, e vagner), clique em Usuários e adicione os usuários conforme a descrição abaixo:
finet e lauff no grupo turno1
rafael e vagner no grupo turno2
Concluímos a parte de Usuários e grupos agora vamos tratar do proxy onde irei configurar a autenticação (com o filtro) para os grupos nos horários descritos abaixo:
turno1: de segunda à sexta das 08h as 12h
turno2: de segunda à sexta das 13h as 17h
Vamos ao menu no lado esquerdo (Gateway) – clique em Proxy HTTP – Geral
Desmarque Proxy transparente, em Política padrão altere para Autorizar e filtrar e finalize clicando em Alterar e depois Salvar alterações.
Volte ao menu esquerdo em gateway – Proxy HTTP – Política de grupos – Adicionar novo – Preencha conforme a imagem abaixo e Salve as alterações:
Faça o mesmo para o turno2
Configure o seu navegador web preferencial manualmente com o endereço do Proxy Zentyal (Gateway) e teste com um usuário fora de seu horário.
Conforme a figura abaixo o usuário finet tentou acesso fora de seu horário e foi bloqueado:
Espero que tenham gostado do post e não deixem de assinar e comentar nosso portal, até a próxima semana.
Bom dia a Todos!
Ricardo, estou na cola dos posts.
Obrigado por escrever.
Obs: O Vagner é o nome que aparece sempre por último ( perseguição), rsrsrs.
Brincadeira, abraço.
Marcos,
Não é nada disso, só ordem alfabética. 🙂
Abraços
Marcos,
Obrigado por perceber as injustiças cometidas com minha distinta pessoa pelos meus colegas do portal…hehehe
Abraços.
Pow Ricardo, estou acompanhado essa série , show de bola amigo! Até me senti encorajado em criar um LAB para testes com integração com AD Windows Server 2008 R2 ( consegui trazer os usuários, porém não consegui autenticar com a regra ” Permitir e Filtrar”, com os usuários na base local do Zentyal funcina perfeito). Bom Ricardo, quero te pergunrar se você usa essa ferramenta como gateway em algum cliente seu ?
Abraços !
Bruno,
Sim, eu utilizo em alguns clientes. Torna fácil para quem for administrar. A base de usuários utilizada para os posts é a local.
Abraços
Ricardo a respeito desse servidor ele tambem faz serviços de monitoramento de Messengers ? é possivel implementar essa ferramenta caso nao tenha ?
Maycon,
Até o presente momento não.
Abraços
Maicon, é verdade ainda não existe no Zentyal e acho que eles nunca irão colocar realmente algo deste tipo por padrão, porem tem como instalar o Inspector (o mais conhecido dos proxys para messenger) no Ubuntu Server.
Achei este artigo falando como fazer, porem não sei se dá certo na versão 10.04 (Zentyal >= 2.2x): http://gelberarrudajr.blogspot.com.br/2009/05/neste-artigo-nos-vamos-aprender.html
Boa tarde,
Estou implementando o mesmo e gostaria de saber se consigo algum tipo de relatório tipo o sarg ?
Abços.
Daniel,
Sim existe vá na Seção Core a esquerda – Manutenção – Logs – Proxy HTTP – Escolha Relatório Completo ou Resumo.
Abraços
Bacana Ricardo , to acompanhando os posts e gostaria de saber como faço o filtro por ip e não por usuário?
Abraço.
Grande Roberto,
Vou analisar o Zentyal e te respondo.
Abraços
Muito bom, estou na cola, acompanhando os posts, Parabens Ricardo Pinheiro.
Andre,
Obrigado por acompanhar. 🙂
Abraços
Ricardo eu já tenho o Zentyal funcionando como servidor de arquivos aqui na empresa e estou estudando a possibilidade de usa-lo em substituição ao Endian como Gateway da empresa depois do post 3 da sua série. =)
Agora tenho uma duvida aqui sobre essa parte de grupos. Por exemplo eu tenho um usuário: “fabio” por exemplo e ele faz parte de 2 setores (grupos) distintos, ‘mecanografia’ (com bloqueios de conteúdos) e ‘ti’ (bloqueado apenas pornografia) e cada grupo tem uma politica de bloqueio distinta.
Quando eu habilitar o proxy autenticado, este usuário irá ser bloqueado pela politica de qual dos grupos?
Tacio,
Como as configurações do Squid são lidas de cima para baixo, o usuário “fabio”será controlado pela primeira regra que for encontrada.
Se a primeira for a do grupo “ti” será essa, se for a do “mecanografia” será essa.
Compreendo, então caso eu queira coloca-lo no grupo TI eu removo ele do grupo mecanografia (o que coloquei ele inicialmente) e depois recoloco-o novamente e ele terá acesso as pastas do grupo mecanografia na rede e terá como perfil padrão o do TI (o mais “antigo” a ser adicionado).
Valeu pela informação, vai ajudar muito, pois no meu senário tenho muitos usuários que atuam em pelo menos 2 setores da empresa ao mesmo tempo. =X
Ricardo,
Estou acompanhando a série zentyal, criei um lab mais está acontecendo um problema com o proxy que não funciona como transparente, já reinstalei 3 vezes e sempre problema com o proxy, consegui configurar o dhcp e outros serviços mais o módulo proxy nem consegui ativar.
Poderia me ajudar?
Parabéns pelos posts!
Paulo Ferreira
Prezados,
Depois de muito fuçar consegui colocar em funcionamento o servidor zentyal com proxy transparente + velox.
Abraços
Paulo,
Desculpe não ter respondido a tempo, mas fico feliz que tenha resolvido o problema.
Abraços
Boa noite!
Gostaria de saber se o Zentyal bloqueia o Skype, tentei com a opção do Layer-7 mas não bloqueou, estou fazendo algo errado ? Se alguem tiver uma luz agradeço e tem como bloquear site como facebook ? meebo? quando utilizado com https:// ???
Abços!
Daniel olha o Skype eu nunca bloqueie, por isso não sei se essa recita que de bloqueio da certo: http://lists.ebox-platform.com/pipermail/ebox-user/2007-May/000480.html
Porem para o facebook eu tenho uma sim. =)
Nós que temos proxy transparente temos grandes problemas para bloquear sites com https, pois o Squid não consegue tratar o seu conteúdo por vim todo criptografado. Após um BOM tempo quebrando a cabeça eu encontrei uma solução para o problema do Facebook (porem ele sempre tem que ser atualizado), bloqueio pelo firewall.
No meu caso para fazer o bloqueio do Facebook em minha rede eu criei uma regra para bloquear todos os pacotes vindos dos ips do Facebook (e são MUITOS mesmo), porem sempre tem que ir atualizando esta lista, pois o facebook sempre adiciona novos servidores, por exemplo a uns 15 dias atrás mais ou menos ele colocou mais 2 ou foram 3 faixas de IPs distintas setando para seu DNS.
Como não tenho a lista aqui no momento (o arquivo está em minha maquina na empresa), segunda feira eu coloco a lista completa aqui para você.
Como prometido, os ips do Facebook que estão sendo utilizados para bloquear aqui na empresa:
74.119.76.0/22
61.171.242.0/24
64.233.161.0/24
66.220.149.0/24
69.63.184.0/21
69.63.176.0/21
69.171.242.11
69.171.255.0/24
69.171.240.0/20
69.171.239.0/24
69.171.224.0/20
66.220.159.0/24
66.220.152.0/21
66.220.144.0/21
204.15.20.0/22
199.59.148.0/22
199.16.156.0/22
Faça uma regra no firewall para bloquear os pacotes vindos destes ips que o Facebook será bloqueado. Porem devo lembrar que de tempos em tempos o facebook adiciona novos servidores ai você vai ter que descobrir quais são e adicionar eles na regra.
Daniel,
Realmente bloquear o skype é um pouco difícil, mas para os demais filtros você pode combinar o Zentyal com esse outro post (https://cooperati.wpengine.com/2011/04/12/bloqueio-a-sites-por-categoria-com-opendns), é um pouco trabalhoso mas pode funcionar, tenho usado com sucesso em meus clientes.
Abraços
ola vagner muito bom seus posts ótimos muito bem explicado
será que o amigo tem algum post ou colocaria ensinando como bloquear sites orkut facebook programas p2p torrent etc.. para um usuario ou ip na parte firewall do zentyal
att Nelson
Nelson,
Teremos outros posts com o Zentyal e irei explorar outra funcionalidades do Zentyal, estou trabalhando e explorando o Zentyal, e extraindo o que há de melhor dele.
Abraços
Parabéns pela sequência de posts com o Zentyal. Este portal esta cada vez melhor.
Adalberto,
Obrigado pelo elogio, ficamos felizes com seu comentário.
Abraços
Bom dia,
Muito bom o post.
Qual o pre-requisito minimo de hardware para instalar, tendo em vista que gostaria de instalar em um servidor dedicado apenas para monitoramento da rede e dos servidores.
Parabens pelo post.
Abracos
Wellington,
Segundo a documentação oficial do Zentyal, depende dos módulos que você instalar e quantos usuários por serviços. Como você mencionou que deseja monitorar a rede e servidores você pode utilizar esses parâmetros:
Infraestrutura
Usuários CPU RAM Disco
<100 P4 1G 80GB
>100 P4 2G 160GB
Espero que seja informação lhe sirva.
Abraços
[…] Filtro de Conteúdo por tipo de Domínio […]
Os posts estão demais sobre o ZENTYAL.
Estou no aguardo de mais alguns tópicos sobre as outras funcionalidades do ZENTYAL.
Tenho algumas sugestões de tópicos:
– Servidor de Virtualização;
– Servidor de Desenvolvimento;
– Servidor de Monitoramento avançado com NAGIOS.
Marcos.
Marcos,
Em breve retornarei com os Posts sobre o Zentyal e estamos estudando sobre a extensão do Nagios.
Abraços
Prezado Ricardo, boa tarde.
Tenho acompanhado sua série de artigos sobre o Zentyal.
Implementei um PDC com o Zentyal mas estou com o seguinte problema:
O processo de logon demora aproximadamente 60 segundos em um computador com windows 7 professional, tanto com perfil remoto como com perfil local.
Já efetuei duas instalações distintas do zentyal e já utilizei diferentes computadores com o windows 7, até mesmo com computadores novos.
Pelo que andei lendo o problema é ocasionado pelo Samba e LDAP, com o windows XP funciona numa boa.
Você tem uma solução para este problema?
Desde já agradeço.
Abs.
Ainda em tempo:
Testei estas sugestões mas sem sucesso.
http://blog.bigsmoke.us/2010/03/17/fixing-extremely-slow-domain-logon-windows-7
http://forum.zentyal.org/index.php?topic=2019.0
Achei o filtro do Zentyal excelente, mas não consigo fazer ele sincronizar a senha com AD 2003 nem a pau, o Zentyal chega a baixar todos os meus usuarios e grupos do AD, configuro o proxy com o grupo do AD mas ao acessar o IE a autenticação da senha sempre falha, ja configurei o client do Zentyal no AD conforme procedimento do proprio Zentyal mas não funciona, vocês tem uma dica para resolver este problema ?
Ricardo, bom dia!
Sabe me dizer se é possível a implementação do Zentyal em HyperV?
Estou com dificuldade, na inclusao das placas de rede.
Abraços
Claudiney,
Zentyal é Ubuntu, portanto, pela mesma lógica é possível sim desde que instale o Integration Components da Microsoft.
Obrigado, irei tentar, estou tendo dificuldade em faze_lo reconhecer placas de Rede.
Obrig. Vagner.
Claudiney,
Qual versão do Zentyal?
De qual placa estamos falando, a legada ou a sintética?
Habilite uma Legacy Network Adapter que deve reconhecer.
att
boa tarde primeiro quero agradecer e parabeniza-lo pelos excelentes posts… eu fiz aqui a instalação do zentyal 3 e fiz mais ou menos como esta aqui no post para o proxy autenticado, nas primeiras vezes deu certo mas agora na ultima se eu tiro o ip do browser ele navega normal sem passar pelo proxy.. qq posso ter feito errado !! podem me ajudar?
se eu configuro o browser com o ip e porta do proxy filtra legal mas se tiro em vez de ficar sem internet ele navega limpo…
abraco
Você precisa bloquear a porta 80 e a 443 no FORWARD, senão os usuários irão passar direto sem proxy.
valeu na verdade eu ja consegui eu fiz um bloqueio da range da minha rede total.. e tudo ta passando pelo proxy.. acha q isso pode complicar algo?
Problemas não, apenas vai ter que lembrar de liberar os recursos que serão acessados pela rede, como ftp, ssh, etc.
Brother, estou tentando fazer com que meu servidor seja um servidor completo de web, tenho um dominio registrado no registro.br fiz um esquema pra ele puxar meu ip dinamico no freedns mas gostaria que o zentyal fosse o servidor de hospedagem completa.. ftp, email, site etc.. mas cara ja liberei as portas no firewall, ja fiz um nat no meu router e nada .. tens como me ajudar? e depois nao faco ideia de como configurar o restante no zentyal como email e tal.. ate se tiver um tuto aqui (procurei mas nao achei) eu agradeco.
abraco