Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)
-
Estou com o mesmo problema piqueonline, só que o meu em vez de liberar tudo bloqueia.
Eu consegui logar com o usuário do AD, mais o mesmo não consegue abrir site algum, e a Default access ALL está allow.
Não sei o que acontece também, alguém ja passou por isso? -
Rss
o meu problema poderia ser o mesmo :) acho que seria mais fácil de resolver …
Mas enfim é algo estranho também .... a parte do squid + ldap, funciona legal, mas quando você parte para o squidguard + ldap para fazer o controle de acesso por grupos da esse problema ....
no meu caso a impressão que eu tenho é que após o usuário logar no squid + ldap o mesmo não é direcionado para o squidguard ....
sendo que as entradas estão corretas no squid :
never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;;redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3madrugaaa o seu problema por acaso não é a questão do accesscontrol / Blacklist no squid ....
porque se você colocar um "." nessa blacklist, vai bloquear tudo, mas também não nem pedir autenticação .... -
Olha
Apenas para registrar …
1 - reconfigurei o squid sem autenticação + squidguard = funcionando perfeito
2 - configurei squid + ldap + squidguard + ldapgroup ( aplicando o patch ) = libera todo acesso .... usuário executa o login e automaticamente todo acesso é liberado.
3 - configurei squid + ldap + squidguard, aplicando um filtro por usuário = funcionou tranquilo -
Pessoal , apenas fica algumas questionamentos …
- Esse patch que lançaram é justamente para fazer que o squidguard trabalhe com grupos ldap ? se sim, alguém que já conseguiu resolver esse problema e fazer com que o patch trabalhe igual esta no tópico, poderia postar a solução ....
Porque se interpretei errado damos como concluído esse problema e vou trabalhar apenas com usuários ldap e não grupo.
Obrigado.
-
Piqueonline,
As duas soluções de integração com ad estão listadas neste tópico, o patch para consultar no ad e patch para atualizar a lista de usuários a cada x minutos.Basta escolher o patch e seguir o procedimento.
-
marcelloc
Eu optei em aplicar o patch .. o problema que mesmo aplicando configurando o pfsense tudo certinho, quando me autentico no ldap pelo navegador, todos os sites ficam liberados … a minha impressão é que o squid esta autenticando e liberando tudo, sem mesmo passar pelo squidguard ...
-
Tenta o patch que eu e ccesario fizemos então.
Ele extrai os usuários do grupo e aplica na configuração do squidguard. -
marcelloc
esse patch que extrai os usuários, tem que deixar no cron neh ….
porque se eu adicionar um novo usuário ao grupo do ad, esse patch tem que ser executado novamente ..
é isso ? -
Isso, coloca a cada 5 minutos.
A única restrição do script é não aceitar usuários com acentos e caracteres especiais.
-
Opa sem problemas
não costumo cadastrar usuário com acentos ou carcateres especiais
Vou testar e posto os resultados, porque essa solução pode ajudar uma galera ae …Obrigado.
-
Boa noite.
Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
Porem fiquei na duvida.
Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
Via terminal tenho o ldapsearch.
Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
Agradeço -
Boa noite.
Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
Porem fiquei na duvida.
Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
Via terminal tenho o ldapsearch.
Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
Agradeçogilmarcabral,
Se eu entendi bem sua dúvida, la vai.
ldapusersearch é um parâmetro/configuração utilizado pelo squidGuard (o patch do Luiz Gustavo aceita essa configuração). Ou seja você só vai usar esse parâmetro/configuração com o squidGuard no pfsense se estiver utilizando o patch do Luiz Gustavo, ou fazer tudo manualmente, sem intervenção da GUI.
A outra forma é utilizar um script que pode ser agendado (cron) para fazer essa replicação de tempos em tempos. Com ele não é necessário a utilização de nenhum patch.
Maiores detalhes de utilização aqui. http://forum.pfsense.org/index.php/topic,47100.msg248200.html#msg248200
att,
-
Obrigado pela Explicação.
Ccesario mas fiquei com uma duvida relacionado ao script em php que você criou.
Vi que tenho que agendar no crontab para que o mesmo faça a consulta de grupos e armazene no squidguard.
Pelo que entendi que coloca este script em php para ser executado no crontab porem como eu faço para execultado no terminal e pelo crontab?
Agradeço novamente -
como eu faço para execultado no terminal e pelo crontab?
Depois de baixar o script(https://github.com/downloads/marcelloc/pfsense-packages/squidguard_ldap.php) e instalar o pacote cront para fazer o agendamento, você pode executa-lo desta forma:
/usr/local/bin/php -q /root/squidguard_ldap.php
no cron, você pode agenda-lo a cada 05 minutos desta forma:
*/5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
-
Obrigado novamente a todos.
Fiz conforme você me informaram porem após eu fazer a autenticação de login aparece a seguinte mensagem no navegador. retorno do squidguard.Request denied by pfSense proxy: 403 Forbidden
Reason:
–------------------------------------------------------------------------------
Client address: 192.168.1.61
Client user: gilmar_20601
Client group: default
Target group: none
URL: http://www.uol.com.br/Agradeço novamente
-
gilmarcabral,
Confere se os usuários estão aparecendo na configuração do squidguard.
veja também se não existe nenhum usuário com caracteres especiais, isso causa erro no pfsense por não ser um campo com codificação base64.
att,
Marcello Coutinho -
Agradeço sua atenção.
Bom meus usuários não possuem caractere especial.
Usuario=gilmar_20601
GRUPO= CTINCriei uma ACL chamada CTIN no Groups ACL
Criei uma Targets Categories chamada sites_cpd e coloquei apenas 2 sites no Domains list, uol.com.br agrovale.com.br
Alterei o Common Acl deixando o [sites_cpd] allow e Default access [all] denny.Com isso quando utilizo o usuario gilmar_20601 as paginas so fica em branco mas a autenticação passa.
E tambem se eu utilizar um outro usuario que não esta no grupo CTIN, fica da mesma forma.
Alguma ideia do que pode ser? -
gilmarcabral,
Você aplicou o patch do luis gustavo?
Você esta usando o script que puxa os usuários do ad?
att,
Marcello Coutinho -
Estou utilizando o script que o ccesario fez adequações.
O que deve ter um agendamento no cron do pfsense. -
Estou utilizando o script que o ccesario fez adequações.
O que deve ter um agendamento no cron do pfsense.O script funciona bem, portamos ele para o squidguard e para o dansguardian.
Se você aplicou o patch em algum momento, vai precisar reinstalar o pacote.
Na gui do squidguard, você consegue ver os usuários aplicados?
