Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

    Scheduled Pinned Locked Moved Portuguese
    202 Posts 30 Posters 93.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Cabeça
      last edited by

      Obrigado pela ajuda Luis Gustavo!

      A base eu entendi. A minha dúvida é, eu tenho que replicar os meus grupos do AD manualmente no Squidguard?

      Ex: Tenho um grupo no AD chamado: Programação | Tenho que ir no Group ACL do Squidquard e criá-lo também?

      Bom final de semana! E obrigado pela atenção!

      1 Reply Last reply Reply Quote 0
      • F
        freekazoide Banned
        last edited by

        @Cabeça:

        A base eu entendi. A minha dúvida é, eu tenho que replicar os meus grupos do AD manualmente no Squidguard?

        Ex: Tenho um grupo no AD chamado: Programação | Tenho que ir no Group ACL do Squidquard e criá-lo também?

        Não, basta criar uma entrada conforme o print que mandei anteriormente apontando para o seu grupo no AD que ele vai verificar se o usuário logado pelo o squid esta no grupo ou  não para validar a ACL que você esta criando.

        Entendeu, a ideia é filtrar (ACL) por grupo do AD (ldap), dessa forma você consegue por exemplo, criar um bloqueio de sites para o grupo XYZ no AD, assim, basta no windows você selecionar quem faz parte ou não do grupo.

        É usar a imaginação.

        E isso não se limita a grupo, pode ser uma arvore do AD diferente, uma outra abordagem de DN, etc….. é uma busca ldap, o exemplo que citei é para grupos, mas pode ser qualquer coisa.

        Abraços

        1 Reply Last reply Reply Quote 0
        • F
          freekazoide Banned
          last edited by

          Replico o que eu disse na lista pfsense-pt:

          Show,

          Mas adianto que o patch ainda é muito cru, eu fiz para consolidar uma
          necessidade de um cliente, mas de qualquer forma, do jeito que esta, ele
          é funcional e não só para fazer consulta a grupo do AD e sim para
          qualquer tipo de busca via ldap.

          Assim que puder, eu vou mexer um pouco mais no patch, para filtrar
          melhor aquela string do ldapsearch e fazer uma abordagem melhor na
          entrada de dados.

          Abraços

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Você alterou a regra do campo onde fica a string do ldap?

            Quanto estava testando o outro patch ele me pareceu bem restritivo.

            Este patch foi feito em cima da última versão do pacote?

            att,
            Marcello Coutinho

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • C
              Cabeça
              last edited by

              Obrigado irmão!

              Estarei fazendo os testes e postando os resultados, assim que possível.

              Fique na santa paz, Luis Gustavo!

              1 Reply Last reply Reply Quote 0
              • F
                freekazoide Banned
                last edited by

                @marcelloc:

                Você alterou a regra do campo onde fica a string do ldap?

                Quanto estava testando o outro patch ele me pareceu bem restritivo.

                Este patch foi feito em cima da última versão do pacote?

                Sim, claro ! senão não funciona….

                olha o código que você vai ver a serie de "ifs" que coloquei para tratar a entrada da string do ldap (é nessa parte que eu digo que tenho que melhorar, até para evitar strings gigantes e pensar em poder colocar mais de uma string de busca na acl)

                E sim, esta para a ultima versão, se não o patch falha ;)

                abraços

                1 Reply Last reply Reply Quote 0
                • F
                  filcid
                  last edited by

                  @ccesario:

                  Obrigado pela ajuda Marcello.

                  Pessoal, quem testar, por favor comente aqui :)

                  []s

                  Carlos

                  Oi people,

                  Estou testando o squidguard_ldap.php, tenho os grupos na AD iguaizinhos aos grupos no squidguard, e está dando o seguinte erro:

                  Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
                  Group : GRP_Externo

                  Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
                  Group : Usrs_Limitado

                  Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
                  user list from LDAP is different from current group, applying new configuration…done

                  Apesar de aparecer a mensagem "applying new configuration...done" nada é actualizado nos Groups ACL.

                  Agradeço desde já a vossa ajuda.

                  1 Reply Last reply Reply Quote 0
                  • F
                    filcid
                    last edited by

                    Bom dia ppl,

                    Instalei o script squidguard_ldap.php, e ao executá-lo, ele vai ler penso que correctamente a arvore na minha AD, mas vai criar o ficheiro config.xml.bad e não vai actualizar os Group ACL's, que são igualzinhos aos grupos na AD.
                    Fiz isso num pfsense 2.0.1. Alguém pode ajudar???

                    Obrigado desde já,

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      Flicid,

                      Qual procedimento você usou entre o seus últimos posts?

                      Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

                      Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccesario
                        last edited by

                        @marcelloc:

                        Flicid,

                        Qual procedimento você usou entre o seus últimos posts?

                        Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

                        Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?

                        Marcelo, eu tentei ajudá-lo, mas não consegui identificar a causa do problema.
                        O script está lendo perfeitamente a base Ldap, porém ao escrever é gerado esse config.bad.xml

                        Carlos

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          O config.bad.xml é criado automaticamente pelo pfsense quando é identificado um xml corrompido ou mau gerado. O diff do arquivo de produção para o arquivo .bad pode ajudar a identificar o problema.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • F
                            filcid
                            last edited by

                            Entre um procedimento e outro, a unica alteração foi uma reinstalação limpa da pfsense 2.0.1. O erro de script mantẽm-se, apenas posteriormente e com ajuda do ccesario ele viu que criava o ficheiro config.xml.bad.
                            Os grupos que tenho tanto na AD como na Pfsense: GRP_SemAcesso GRP_Callcenter GRP_Externo GRP_Chefias Usrs_Limitado

                            O resultado do diff:

                            diff ./config.xml ./config.xml.bad
                            536c536
                            <
                            –-

                            752c752
                            < <source>
                            –-

                            <source>'fw' 'galileo' 'Usrs_Limitado' 'GRP_Externo' 'GRP_Callcenter' 'coordenacaosid' 'supervisorvxe' 'KLOperators' 'KLAdmins' 'hm2bind' 'uteste' 'vkuser' 'visionkare' 'cpires' 'tacvboston' 'inspectores2' 'canjos' 'vafonso' 'jbsousa' 'acabral' 'mfernandes' 'jmdias' 'dvendas' 'lmvieira' 'reservaslis' 'aafonseca' 'tacvfortaleza' 'ibernardino' 'teste' 'patriciafontenele' 'neidy.galvao' 'yrodrigues' 'agn' 'bparser' 'afrorodrigues' 'edgar' 'qualidademan' 'jandira.melo' 'reservas-sid' 'groundquality' 'fo.vasconcelos' 'crew' 'docman' 'docdov' 'check-in' 'svbaessa' 'rstmonteiro' 'rtfragoso' 'mcgonçalves' 'fff.mendonça' 'fjpdaveiga' 'edosra.delgado' 'dlfialho' 'camacedo' 'DTI' 'jlobo' 'acgomes' 'daa' 'it.doc' 'Cruz' 'Imartins' 'crewschedule' 'agn_sne' 'irevora' 'coordenadorcatsid' 'agn_sfl' 'coordenacao-rai' 'afrodrigues' 'hsilveira' 'comercial' 'cdfernandes' 'hfortes' 'caguiar' 'helpdesk_wo' 'chefeescalavxe' 'Abuse' 'Help Desk' 'htavares' 'aapereira' 'admin4' 'admin3' 'admin2' 'alex' 'afcorreia' '1000-D1V34GL8D48H' 'SM_7a67dfad8b864c589' 'SM_42f73f6fc9864794a' 'SM_e6945554b8cf4e8ea' 'SM_009cb7ec96f848d7a' 'Exchange All Hosted Organizations' 'tacvuser' 'vcenteruser' 'DnsUpdateProxy' 'Administrator' 'Domain Controllers' 'Read-only Domain Controllers' 'Group Policy Creator Owners' 'Domain Admins' 'Domain Guests' 'Domain Users' 'Domain Computers'
                            767c767
                            < <source>


                            <source>'agn' 'dcsilva' 'agn_sne' 'agn_sfl' 'agn_nto' 'agn_mmo' 'agn_bvc'
                            782c782
                            < <source>


                            <source>'vwuser' 'visionware'
                            797c797
                            < <source>


                            <source>'pandrade' 'nborges' 'mneves' 'gvaz' 'georg' 'mgarcia' 'capt.lima' 'lspencer' 'fjorge' 'asocorro' 'antoni' 'euclides.for' 'elubrano' 'jfernanss' 'jpina' 'dfernandes' 'acgomes' 'hmonteiro' 'admin1' 'alex' 'afcorreia'
                            812c812
                            < <source>


                            <source>'ccbarros' 'tesouraria-sid' 'tfonseca' 'sgomes' 'smendes' 'rpinto' 'sferreira' 'mcc' 'mdelgado' 'cmiranda' 'cbarros' 'mmota' 'mgomes' 'afonseca' 'ebarros' 'jvieira' 'jfurtado' 'dbrito'

                            OBG  ;)

                            @marcelloc:

                            Flicid,

                            Qual procedimento você usou entre o seus últimos posts?

                            Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

                            Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              mcgonçalves' 'fff.mendonçfff.mendonça

                              O problema deve estar nos usuários com caracteres especiais e/ou acentos. Remova-os do grupo de acesso ou troque o nome deles.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • F
                                filcid
                                last edited by

                                Obrigado marcelloc e ccesario!!!!

                                O problema era mesmo os nomes dos usuários com acentos e/ou cararcteres especiais.

                                Fiz teste com apenas dois grupos sem usuários com esse problema, e correu bem  :D

                                Salvaram meu dia!!!  ;D

                                @marcelloc:

                                mcgonçalves' 'fff.mendonçfff.mendonça

                                O problema deve estar nos usuários com caracteres especiais e/ou acentos. Remova-os do grupo de acesso ou troque o nome deles.

                                1 Reply Last reply Reply Quote 0
                                • P
                                  piqueonline
                                  last edited by

                                  Ola Pessoal
                                  Estou com um problema …
                                  Adicionei o Patch que o usuário Luiz Gustavo disponibilizou, fiz toda configuração do grupo, tudo certinho ...
                                  Mas quando autentico pelo navegador o squid esta liberando todos os sites ...
                                  Deixa eu explicar melhor
                                  1 - configuração do squid + ldap , apenas alguns sites cadastradas na whitelist do squid ...
                                  2 - configuração squidguard + ldap + patch ( Luiz Gustavo ) tudo configurado e com os grupos acl cadastrados e devidamente configurados + target categories configurada.

                                  O problema é que quando autentico no navegador o mesmo usuário logado, não esta respeitando as regras do squidguard ... parece que ele autentica e libera tudo ...

                                  Alguém já passou por problema parecido ?

                                  Obrigado.

                                  1 Reply Last reply Reply Quote 0
                                  • P
                                    piqueonline
                                    last edited by

                                    Pessoal
                                    Apenas algumas informações que descobri agora …
                                    Pelo que notei, o squid quando esta autenticando em ldap não direciona para o squidguard ...
                                    mas se eu retiro a autenticação ldap, ele direciona ...

                                    Alguma solução ?

                                    Obrigado.

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      Cabeça
                                      last edited by

                                      Boa tarde á todos!

                                      Comigo também estava acontecendo isso, piqueonline. Rodei, rodei e não achei a solução. Por isso, eu resolvir deixar a autenticação por usuários mesmo, já que o mesmo está funcionando perfeitamente.

                                      Fiquem na paz pessoal!

                                      …
                                      Cabeça!

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        piqueonline
                                        last edited by

                                        Velho que coisa …
                                        vou partir desde o início novamente e ver onde esta o bendito problema ....
                                        Caso contrário vou fazer da maneira que solução original vem, ou seja, adicionar um grupo no squidguar e logo em seguida adicionar os usuário manualmente em cada grupo ....
                                        vai dar trabalho em dobro ... porque no ad, já esta tudo pronto ...

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          madrugaaa
                                          last edited by

                                          Estou com o mesmo problema piqueonline, só que o meu em vez de liberar tudo bloqueia.
                                          Eu consegui logar com o usuário do AD, mais o mesmo não consegue abrir site algum, e a Default access ALL está allow.
                                          Não sei o que acontece também, alguém ja passou por isso?

                                          1 Reply Last reply Reply Quote 0
                                          • P
                                            piqueonline
                                            last edited by

                                            Rss
                                            o meu problema poderia ser o mesmo :) acho que seria mais fácil de resolver …
                                            Mas enfim é algo estranho também .... a parte do squid + ldap, funciona legal, mas quando você parte para o squidguard + ldap para fazer o controle de acesso por grupos da esse problema ....
                                            no meu caso a impressão que eu tenho é que após o usuário logar no squid + ldap o mesmo não é direcionado para o squidguard ....
                                            sendo que as entradas estão corretas no squid :
                                            never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;;redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3

                                            madrugaaa o seu problema por acaso não é a questão do accesscontrol  / Blacklist no squid ....
                                            porque se você colocar um "." nessa blacklist, vai bloquear tudo, mas também não nem pedir autenticação ....

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.