Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

ccesario

@marcelloc:

Flicid,

Qual procedimento você usou entre o seus últimos posts?

Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?

Marcelo, eu tentei ajudá-lo, mas não consegui identificar a causa do problema.
O script está lendo perfeitamente a base Ldap, porém ao escrever é gerado esse config.bad.xml

marcelloc

O config.bad.xml é criado automaticamente pelo pfsense quando é identificado um xml corrompido ou mau gerado. O diff do arquivo de produção para o arquivo .bad pode ajudar a identificar o problema.

filcid

Entre um procedimento e outro, a unica alteração foi uma reinstalação limpa da pfsense 2.0.1. O erro de script mantẽm-se, apenas posteriormente e com ajuda do ccesario ele viu que criava o ficheiro config.xml.bad.
Os grupos que tenho tanto na AD como na Pfsense: GRP_SemAcesso GRP_Callcenter GRP_Externo GRP_Chefias Usrs_Limitado

O resultado do diff:

diff ./config.xml ./config.xml.bad
536c536
<
–-

752c752
< <source>
–-

<source>'fw' 'galileo' 'Usrs_Limitado' 'GRP_Externo' 'GRP_Callcenter' 'coordenacaosid' 'supervisorvxe' 'KLOperators' 'KLAdmins' 'hm2bind' 'uteste' 'vkuser' 'visionkare' 'cpires' 'tacvboston' 'inspectores2' 'canjos' 'vafonso' 'jbsousa' 'acabral' 'mfernandes' 'jmdias' 'dvendas' 'lmvieira' 'reservaslis' 'aafonseca' 'tacvfortaleza' 'ibernardino' 'teste' 'patriciafontenele' 'neidy.galvao' 'yrodrigues' 'agn' 'bparser' 'afrorodrigues' 'edgar' 'qualidademan' 'jandira.melo' 'reservas-sid' 'groundquality' 'fo.vasconcelos' 'crew' 'docman' 'docdov' 'check-in' 'svbaessa' 'rstmonteiro' 'rtfragoso' 'mcgonçalves' 'fff.mendonça' 'fjpdaveiga' 'edosra.delgado' 'dlfialho' 'camacedo' 'DTI' 'jlobo' 'acgomes' 'daa' 'it.doc' 'Cruz' 'Imartins' 'crewschedule' 'agn_sne' 'irevora' 'coordenadorcatsid' 'agn_sfl' 'coordenacao-rai' 'afrodrigues' 'hsilveira' 'comercial' 'cdfernandes' 'hfortes' 'caguiar' 'helpdesk_wo' 'chefeescalavxe' 'Abuse' 'Help Desk' 'htavares' 'aapereira' 'admin4' 'admin3' 'admin2' 'alex' 'afcorreia' '1000-D1V34GL8D48H' 'SM_7a67dfad8b864c589' 'SM_42f73f6fc9864794a' 'SM_e6945554b8cf4e8ea' 'SM_009cb7ec96f848d7a' 'Exchange All Hosted Organizations' 'tacvuser' 'vcenteruser' 'DnsUpdateProxy' 'Administrator' 'Domain Controllers' 'Read-only Domain Controllers' 'Group Policy Creator Owners' 'Domain Admins' 'Domain Guests' 'Domain Users' 'Domain Computers'
767c767
< <source>

---

<source>'agn' 'dcsilva' 'agn_sne' 'agn_sfl' 'agn_nto' 'agn_mmo' 'agn_bvc'
782c782
< <source>

---

<source>'vwuser' 'visionware'
797c797
< <source>

---

<source>'pandrade' 'nborges' 'mneves' 'gvaz' 'georg' 'mgarcia' 'capt.lima' 'lspencer' 'fjorge' 'asocorro' 'antoni' 'euclides.for' 'elubrano' 'jfernanss' 'jpina' 'dfernandes' 'acgomes' 'hmonteiro' 'admin1' 'alex' 'afcorreia'
812c812
< <source>

---

<source>'ccbarros' 'tesouraria-sid' 'tfonseca' 'sgomes' 'smendes' 'rpinto' 'sferreira' 'mcc' 'mdelgado' 'cmiranda' 'cbarros' 'mmota' 'mgomes' 'afonseca' 'ebarros' 'jvieira' 'jfurtado' 'dbrito'

OBG  ;)

@marcelloc:

Flicid,

Qual procedimento você usou entre o seus últimos posts?

Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?

marcelloc

mcgonçalves' 'fff.mendonçfff.mendonça

O problema deve estar nos usuários com caracteres especiais e/ou acentos. Remova-os do grupo de acesso ou troque o nome deles.

filcid

Obrigado marcelloc e ccesario!!!!

O problema era mesmo os nomes dos usuários com acentos e/ou cararcteres especiais.

Fiz teste com apenas dois grupos sem usuários com esse problema, e correu bem  :D

Salvaram meu dia!!!  ;D

@marcelloc:

mcgonçalves' 'fff.mendonçfff.mendonça

O problema deve estar nos usuários com caracteres especiais e/ou acentos. Remova-os do grupo de acesso ou troque o nome deles.

piqueonline

Ola Pessoal
Estou com um problema …
Adicionei o Patch que o usuário Luiz Gustavo disponibilizou, fiz toda configuração do grupo, tudo certinho ...
Mas quando autentico pelo navegador o squid esta liberando todos os sites ...
Deixa eu explicar melhor
1 - configuração do squid + ldap , apenas alguns sites cadastradas na whitelist do squid ...
2 - configuração squidguard + ldap + patch ( Luiz Gustavo ) tudo configurado e com os grupos acl cadastrados e devidamente configurados + target categories configurada.

O problema é que quando autentico no navegador o mesmo usuário logado, não esta respeitando as regras do squidguard ... parece que ele autentica e libera tudo ...

Alguém já passou por problema parecido ?

Obrigado.

piqueonline

Pessoal
Apenas algumas informações que descobri agora …
Pelo que notei, o squid quando esta autenticando em ldap não direciona para o squidguard ...
mas se eu retiro a autenticação ldap, ele direciona ...

Alguma solução ?

Obrigado.

Cabeça

Boa tarde á todos!

Comigo também estava acontecendo isso, piqueonline. Rodei, rodei e não achei a solução. Por isso, eu resolvir deixar a autenticação por usuários mesmo, já que o mesmo está funcionando perfeitamente.

Fiquem na paz pessoal!

…
Cabeça!

piqueonline

Velho que coisa …
vou partir desde o início novamente e ver onde esta o bendito problema ....
Caso contrário vou fazer da maneira que solução original vem, ou seja, adicionar um grupo no squidguar e logo em seguida adicionar os usuário manualmente em cada grupo ....
vai dar trabalho em dobro ... porque no ad, já esta tudo pronto ...

madrugaaa

Estou com o mesmo problema piqueonline, só que o meu em vez de liberar tudo bloqueia.
Eu consegui logar com o usuário do AD, mais o mesmo não consegue abrir site algum, e a Default access ALL está allow.
Não sei o que acontece também, alguém ja passou por isso?

piqueonline

Rss
o meu problema poderia ser o mesmo :) acho que seria mais fácil de resolver …
Mas enfim é algo estranho também .... a parte do squid + ldap, funciona legal, mas quando você parte para o squidguard + ldap para fazer o controle de acesso por grupos da esse problema ....
no meu caso a impressão que eu tenho é que após o usuário logar no squid + ldap o mesmo não é direcionado para o squidguard ....
sendo que as entradas estão corretas no squid :
never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;;redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3

madrugaaa o seu problema por acaso não é a questão do accesscontrol  / Blacklist no squid ....
porque se você colocar um "." nessa blacklist, vai bloquear tudo, mas também não nem pedir autenticação ....

piqueonline

Olha
Apenas para registrar …
1 - reconfigurei o squid sem autenticação + squidguard = funcionando perfeito
2 - configurei squid + ldap + squidguard + ldapgroup ( aplicando o patch ) = libera todo acesso .... usuário executa o login e automaticamente todo acesso é liberado.
3 - configurei squid + ldap + squidguard, aplicando um filtro por usuário = funcionou tranquilo

piqueonline

Pessoal , apenas fica algumas questionamentos …

• Esse patch que lançaram é justamente para fazer que o squidguard trabalhe com grupos ldap ? se sim, alguém que já conseguiu resolver esse problema e fazer com que o patch trabalhe igual esta no tópico, poderia postar a solução ....

Porque se interpretei errado damos como concluído esse problema e vou trabalhar apenas com usuários ldap e não grupo.

Obrigado.

marcelloc

Piqueonline,
As duas soluções de integração com ad estão listadas neste tópico, o patch para consultar no ad e patch para atualizar a lista de usuários a cada x minutos.

Basta escolher o patch e seguir o procedimento.

piqueonline

marcelloc

Eu optei em aplicar o patch .. o problema que mesmo aplicando configurando o pfsense tudo certinho, quando me autentico no ldap pelo navegador, todos os sites ficam liberados … a minha impressão é que o squid esta autenticando e liberando tudo, sem mesmo passar pelo squidguard ...

marcelloc

Tenta o patch que eu e ccesario fizemos então.
Ele extrai os usuários do grupo e aplica na configuração do squidguard.

piqueonline

marcelloc
esse patch que extrai os usuários, tem que deixar no cron neh ….
porque se eu adicionar um novo usuário ao grupo do ad, esse patch tem que ser executado novamente ..
é isso ?

marcelloc

Isso, coloca a cada 5 minutos.

A única restrição do script é não aceitar usuários com acentos e caracteres especiais.

piqueonline

Opa sem problemas
não costumo cadastrar usuário com acentos ou carcateres especiais
Vou testar e posto os resultados, porque essa solução pode ajudar uma galera ae …

Obrigado.

gilmarcabral

Boa noite.
Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
Porem fiquei na duvida.
Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
Via terminal tenho o ldapsearch.
Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
Agradeço