Configuración Avanzada para el proxy HTTP

Configuración de perfiles de filtrado

La configuración de perfiles de filtrado se realiza en la sección Proxy HTTP ‣ Perfiles de Filtrado.

_images/filter-profiles.png

Lista de perfiles de filtrado

Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u objetos de red.

Las opciones de configuración son idénticas a las explicadas en la configuración del perfil por defecto en el capítulo del Servicio de Proxy HTTP, con una importante salvedad: es posible usar la misma configuración del perfil por defecto en las distintas opciones de los perfiles de filtrado. Para ello basta con marcar la opción Usar configuración por defecto.

Perfil de filtrado por objeto

Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este objeto usaran el perfil seleccionado en vez del perfil por defecto. Esta opción es útil si queremos definir políticas de seguridad diferentes para distintas salas de ordenadores o conjuntos de máquinas que accedan a través de una puerta de enlace Zentyal. Podríamos tener por ejemplo un conjunto de ordenadores en una sala de acceso público, pero desde los que se requiera autenticación para navegar, mientras que en los despachos con máquinas privadas se apliquen las políticas generales de la red. O una sala para alumnos en la que se filtren los contenidos, mientras que en la sala de profesores se permita todo el tráfico.

También podemos establecer políticas de filtrado por intervalos horarios, para, por ejemplo, establecer políticas más estrictas en horas de trabajo.

Para añadir este tipo de configuraciones hay que acceder a la sección Proxy HTTP ‣ Política de objetos y pulsar en Añadir nuevo, que desplegará el formulario de configuración de una política por objeto. En cada una de estas políticas podremos especificar el Objeto de red para el que se aplicará, la Política, el Periodo de tiempo permitido y el Perfil de filtrado.

_images/Zentyal_politica_objeto.png

Añadir una nueva política de objeto

Las políticas son las mismas que ya vimos en el capítulo Servicio de Proxy HTTP; tendremos que seleccionar Filter si queremos que se aplique el Perfil de filtrado.

El Periodo de tiempo permitido es el periodo durante el cual el perfil que estemos especificando se mantendrá activo, podremos determinar el intervalo de horas y los días de la semana. En otros periodos de tiempo se aplicará la configuración por defecto.

Por simplicidad, y para evitar solapamientos, no se permite crear varias políticas diferentes para un mismo objeto.

Filtrado basado en grupos de usuarios

Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello, primero necesitaremos habilitar el módulo de Usuarios y grupos en Estado del módulo. Se puede crear un grupo desde el menú Usuarios y Grupos ‣ Grupos y añadir usuarios al sistema desde el menú Usuarios y Grupos‣ Usuarios. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a éste. Las opciones de configuración de los usuarios y grupos se explican con detalle en el capítulo de Servicio de directorio (LDAP).

Para definir el filtrado basado en grupos de usuarios primero debemos usar una de las opciones que requieren Autorizar como política global o del objeto de red. Estas políticas hacen que el proxy pida identificación de usuario y precise que esta identificación sea correcta para permitir el acceso.

Una vez podamos autenticar a los usuarios, podremos también establecer políticas globales de grupo. Estas políticas nos permitirán controlar el acceso a los miembros de un grupo en concreto y asignarles perfiles de filtrado distintos del perfil por defecto.

Advertencia

Hay que tener en cuenta que, por una limitación técnica de la autenticación HTTP, las políticas con autenticación no se podrán implantar si el proxy se está usando en modo transparente.

Las políticas de grupo se gestionan en la sección Proxy HTTP ‣ Política de Grupo. Sólo controlan si el usuario tiene acceso o no a la web, si también queremos que se le aplique una política de filtrado concreta tendremos que hacer que la política global, o la de los objetos desde los que se conecta estén establecidas a Autorizar y filtrar.

Como en las políticas por objeto de red, podremos definir para este grupo una Política, que tan sólo podrá ser Permitir o Denegar, un Periodo de tiempo y el Perfil de filtrado a aplicar en caso de que la máquina desde la que esté autenticado el usuario tenga una política de filtrado o así se establezca en la configuración global.

_images/global-group-policy.png

Políticas globales de grupo

Cada política de grupo tiene una prioridad reflejada en su posición en la lista (cuanto más arriba en la lista, mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios grupos, en cuyo caso le afectarán únicamente las políticas adoptadas al grupo de mayor prioridad.

Filtrado basado en grupos de usuarios para objetos

Las políticas de filtrado por objeto de red tienen prioridad sobre la política general del proxy y sobre las políticas globales de grupo.

Además, en caso de que hayamos elegido una política con autorización, es posible también definir políticas por grupo. Como en las políticas de grupo globales, estas políticas sólo influyen en el acceso y no en el filtrado, que vendrá determinado por la política del objeto al que pertenecen. Al igual que en la política general, las políticas con autenticación no se podrán implantar si el proxy se está usando en modo transparente.

Por último, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las políticas de objeto. Por tanto, un grupo usará el perfil de filtrado establecido en su política global de grupo, sea cual sea el objeto de red desde el que se acceda al proxy.

Podremos añadir estas políticas desde la columna Política de grupo de la lista de Proxy HTTP ‣ Política de Objeto.

_images/object-group-policy.png

Políticas de objeto