Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

    Scheduled Pinned Locked Moved Portuguese
    202 Posts 30 Posters 93.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      piqueonline
      last edited by

      marcelloc
      esse patch que extrai os usuários, tem que deixar no cron neh ….
      porque se eu adicionar um novo usuário ao grupo do ad, esse patch tem que ser executado novamente ..
      é isso ?

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Isso, coloca a cada 5 minutos.

        A única restrição do script é não aceitar usuários com acentos e caracteres especiais.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • P
          piqueonline
          last edited by

          Opa sem problemas
          não costumo cadastrar usuário com acentos ou carcateres especiais
          Vou testar e posto os resultados, porque essa solução pode ajudar uma galera ae …

          Obrigado.

          1 Reply Last reply Reply Quote 0
          • G
            gilmarcabral
            last edited by

            Boa noite.
            Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
            Porem fiquei na duvida.
            Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
            Via terminal tenho o ldapsearch.
            Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
            Agradeço

            1 Reply Last reply Reply Quote 0
            • C
              ccesario
              last edited by

              @gilmarcabral:

              Boa noite.
              Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
              Porem fiquei na duvida.
              Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
              Via terminal tenho o ldapsearch.
              Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
              Agradeço

              gilmarcabral,

              Se eu entendi bem sua dúvida, la vai.

              ldapusersearch é um parâmetro/configuração utilizado pelo squidGuard (o patch do Luiz Gustavo aceita essa configuração). Ou seja você só vai usar esse parâmetro/configuração com o squidGuard no pfsense se estiver utilizando o patch do Luiz Gustavo, ou fazer tudo manualmente, sem intervenção da GUI.

              A outra forma é utilizar um script que pode ser agendado (cron) para fazer essa replicação de tempos em tempos.  Com ele não é necessário a utilização de nenhum patch.

              Maiores detalhes de utilização aqui. http://forum.pfsense.org/index.php/topic,47100.msg248200.html#msg248200

              att,

              Carlos

              1 Reply Last reply Reply Quote 0
              • G
                gilmarcabral
                last edited by

                Obrigado pela Explicação.
                Ccesario mas fiquei com uma duvida relacionado ao script em php que você criou.
                Vi que tenho que agendar no crontab para que o mesmo faça a consulta de grupos e armazene no squidguard.
                Pelo que entendi que coloca este script em php para ser executado no crontab porem como eu faço para execultado no terminal e pelo crontab?
                Agradeço novamente

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @gilmarcabral:

                  como eu faço para execultado no terminal e pelo crontab?

                  Depois de baixar o script(https://github.com/downloads/marcelloc/pfsense-packages/squidguard_ldap.php) e instalar o pacote cront para fazer o agendamento, você pode executa-lo desta forma:

                  /usr/local/bin/php -q /root/squidguard_ldap.php

                  no cron, você pode agenda-lo a cada 05 minutos desta forma:

                  */5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • G
                    gilmarcabral
                    last edited by

                    Obrigado novamente a todos.
                    Fiz conforme você me informaram porem após eu fazer a autenticação de login aparece a seguinte mensagem no navegador. retorno do squidguard.

                    Request denied by pfSense proxy: 403 Forbidden
                    Reason:
                    –------------------------------------------------------------------------------
                    Client address: 192.168.1.61
                    Client user: gilmar_20601
                    Client group: default
                    Target group: none
                    URL: http://www.uol.com.br/

                    Agradeço novamente

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      gilmarcabral,

                      Confere se os usuários estão aparecendo na configuração do squidguard.

                      veja também se não existe nenhum usuário com caracteres especiais, isso causa erro no pfsense por não ser um campo com codificação base64.

                      att,
                      Marcello Coutinho

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • G
                        gilmarcabral
                        last edited by

                        Agradeço sua atenção.
                        Bom meus usuários não possuem caractere especial.
                        Usuario=gilmar_20601
                        GRUPO= CTIN

                        Criei uma ACL chamada CTIN no Groups ACL
                        Criei uma Targets Categories chamada sites_cpd  e coloquei apenas 2 sites  no Domains list, uol.com.br agrovale.com.br
                        Alterei o Common Acl deixando o [sites_cpd] allow e Default access [all] denny.

                        Com isso quando utilizo o usuario gilmar_20601 as paginas so fica em branco mas a autenticação passa.
                        E tambem se eu utilizar um outro usuario que não esta no grupo CTIN, fica da mesma forma.
                        Alguma ideia do que pode ser?

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          gilmarcabral,

                          Você aplicou o patch do luis gustavo?

                          Você esta usando o script que puxa os usuários do ad?

                          att,
                          Marcello Coutinho

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            gilmarcabral
                            last edited by

                            Estou utilizando o script que o ccesario fez adequações.
                            O que deve ter um agendamento no cron do pfsense.

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @gilmarcabral:

                              Estou utilizando o script que o ccesario fez adequações.
                              O que deve ter um agendamento no cron do pfsense.

                              O script funciona bem, portamos ele para o squidguard e para o dansguardian.

                              Se você aplicou o patch em algum momento, vai precisar reinstalar o pacote.

                              Na gui do squidguard, você consegue ver os usuários aplicados?

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • G
                                gilmarcabral
                                last edited by

                                Não apliquei patch nem um apenas executei o squid e agendei no cron.
                                Na gui do squidguard não vi nem um usuario aplicado, ele deveria trazer os usuarios na gui que foram consultado no grupo?
                                Agradeço novamente

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  @gilmarcabral:

                                  ele deveria trazer os usuarios na gui que foram consultado no grupo?

                                  Sim, deveriam.

                                  execute o comando na console para ver se ela volta algum erro.

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gilmarcabral
                                    last edited by

                                    Fica desta forma abaixo.
                                    Estes grupos listados abaixo são os grupos que criei no squidguard.
                                    São o mesmo nome que esta no ldap na ou=Grupos

                                    ./squidguard_ldap.php
                                    Group : ADMIN
                                    Group : CTIN

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      Não sei se o script é case sensitive, segue abaixo um exemplo de campo preenchido após rodar o script.

                                      'fw' 'galileo' 'Usrs_Limitado' 'GRP_Externo' 'GRP_Callcenter' 'coordenacaosid' 'supervisorvxe' 'KLOperators' 'KLAdmins' 'hm2bind' 'uteste' 'vkuser' 'visionkare' 'cpires' 'tacvboston' 'inspectores2' 'canjos' 'vafonso' 'jbsousa' 'acabral' 'mfernandes' 'jmdias' 'dvendas' 'lmvieira' 'reservaslis' 'aafonseca' 'tacvfortaleza' 'ibernardino' 'teste' 'patriciafontenele' 'neidy.galvao' 'yrodrigues' 'agn' 'bparser' 'afrorodrigues' 'edgar' 'qualidademan' 'jandira.melo' 'reservas-sid' 'groundquality' 'fo.vasconcelos' 'crew' 'docman' 'docdov' 'check-in' 'svbaessa' 'rstmonteiro' 'rtfragoso' 'mcgonçalves' 'fff.mendonça' 'fjpdaveiga' 'edosra.delgado' 'dlfialho' 'camacedo' 'DTI' 'jlobo' 'acgomes' 'daa' 'it.doc' 'Cruz' 'Imartins' 'crewschedule' 'agn_sne' 'irevora' 'coordenadorcatsid' 'agn_sfl' 'coordenacao-rai' 'afrodrigues' 'hsilveira' 'comercial' 'cdfernandes' 'hfortes' 'caguiar' 'helpdesk_wo' 'chefeescalavxe' 'Abuse' 'Help Desk' 'htavares' 'aapereira' 'admin4' 'admin3' 'admin2' 'alex' 'afcorreia' '1000-D1V34GL8D48H' 'SM_7a67dfad8b864c589' 'SM_42f73f6fc9864794a' 'SM_e6945554b8cf4e8ea' 'SM_009cb7ec96f848d7a' 'Exchange All Hosted Organizations' 'tacvuser' 'vcenteruser' 'DnsUpdateProxy' 'Administrator' 'Domain Controllers' 'Read-only Domain Controllers' 'Group Policy Creator Owners' 'Domain Admins' 'Domain Guests' 'Domain Users' 'Domain Computers'

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • G
                                        gilmarcabral
                                        last edited by

                                        Após a execução do script ele retornou este resultado no terminal?

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          este é o resultado na gui

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • G
                                            gilmarcabral
                                            last edited by

                                            Em qual aba aparece? tem como vc enviar um print da gui para eu olhar.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.