Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

gilmarcabral

Boa noite.
Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
Porem fiquei na duvida.
Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
Via terminal tenho o ldapsearch.
Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
Agradeço

ccesario

@gilmarcabral:

Boa noite.
Estou tentando fazer este procedimento de fazer o squid fazer a busca na base openldap.
Porem fiquei na duvida.
Via terminal do pfsense não tenho o utilitario ldapusersearch via terminal
Via terminal tenho o ldapsearch.
Penso que a autenticação por grupo não esta funcionando e devido a falta deste ldapusersearch.
Agradeço

gilmarcabral,

Se eu entendi bem sua dúvida, la vai.

ldapusersearch é um parâmetro/configuração utilizado pelo squidGuard (o patch do Luiz Gustavo aceita essa configuração). Ou seja você só vai usar esse parâmetro/configuração com o squidGuard no pfsense se estiver utilizando o patch do Luiz Gustavo, ou fazer tudo manualmente, sem intervenção da GUI.

A outra forma é utilizar um script que pode ser agendado (cron) para fazer essa replicação de tempos em tempos.  Com ele não é necessário a utilização de nenhum patch.

Maiores detalhes de utilização aqui. http://forum.pfsense.org/index.php/topic,47100.msg248200.html#msg248200

att,

gilmarcabral

Obrigado pela Explicação.
Ccesario mas fiquei com uma duvida relacionado ao script em php que você criou.
Vi que tenho que agendar no crontab para que o mesmo faça a consulta de grupos e armazene no squidguard.
Pelo que entendi que coloca este script em php para ser executado no crontab porem como eu faço para execultado no terminal e pelo crontab?
Agradeço novamente

marcelloc

@gilmarcabral:

como eu faço para execultado no terminal e pelo crontab?

Depois de baixar o script(https://github.com/downloads/marcelloc/pfsense-packages/squidguard_ldap.php) e instalar o pacote cront para fazer o agendamento, você pode executa-lo desta forma:

/usr/local/bin/php -q /root/squidguard_ldap.php

no cron, você pode agenda-lo a cada 05 minutos desta forma:

*/5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php

gilmarcabral

Obrigado novamente a todos.
Fiz conforme você me informaram porem após eu fazer a autenticação de login aparece a seguinte mensagem no navegador. retorno do squidguard.

Request denied by pfSense proxy: 403 Forbidden
Reason:
–------------------------------------------------------------------------------
Client address: 192.168.1.61
Client user: gilmar_20601
Client group: default
Target group: none
URL: http://www.uol.com.br/

Agradeço novamente

marcelloc

gilmarcabral,

Confere se os usuários estão aparecendo na configuração do squidguard.

veja também se não existe nenhum usuário com caracteres especiais, isso causa erro no pfsense por não ser um campo com codificação base64.

att,
Marcello Coutinho

gilmarcabral

Agradeço sua atenção.
Bom meus usuários não possuem caractere especial.
Usuario=gilmar_20601
GRUPO= CTIN

Criei uma ACL chamada CTIN no Groups ACL
Criei uma Targets Categories chamada sites_cpd  e coloquei apenas 2 sites  no Domains list, uol.com.br agrovale.com.br
Alterei o Common Acl deixando o [sites_cpd] allow e Default access [all] denny.

Com isso quando utilizo o usuario gilmar_20601 as paginas so fica em branco mas a autenticação passa.
E tambem se eu utilizar um outro usuario que não esta no grupo CTIN, fica da mesma forma.
Alguma ideia do que pode ser?

marcelloc

gilmarcabral,

Você aplicou o patch do luis gustavo?

Você esta usando o script que puxa os usuários do ad?

att,
Marcello Coutinho

gilmarcabral

Estou utilizando o script que o ccesario fez adequações.
O que deve ter um agendamento no cron do pfsense.

marcelloc

@gilmarcabral:

Estou utilizando o script que o ccesario fez adequações.
O que deve ter um agendamento no cron do pfsense.

O script funciona bem, portamos ele para o squidguard e para o dansguardian.

Se você aplicou o patch em algum momento, vai precisar reinstalar o pacote.

Na gui do squidguard, você consegue ver os usuários aplicados?

gilmarcabral

Não apliquei patch nem um apenas executei o squid e agendei no cron.
Na gui do squidguard não vi nem um usuario aplicado, ele deveria trazer os usuarios na gui que foram consultado no grupo?
Agradeço novamente

marcelloc

@gilmarcabral:

ele deveria trazer os usuarios na gui que foram consultado no grupo?

Sim, deveriam.

execute o comando na console para ver se ela volta algum erro.

gilmarcabral

Fica desta forma abaixo.
Estes grupos listados abaixo são os grupos que criei no squidguard.
São o mesmo nome que esta no ldap na ou=Grupos

./squidguard_ldap.php
Group : ADMIN
Group : CTIN

marcelloc

Não sei se o script é case sensitive, segue abaixo um exemplo de campo preenchido após rodar o script.

'fw' 'galileo' 'Usrs_Limitado' 'GRP_Externo' 'GRP_Callcenter' 'coordenacaosid' 'supervisorvxe' 'KLOperators' 'KLAdmins' 'hm2bind' 'uteste' 'vkuser' 'visionkare' 'cpires' 'tacvboston' 'inspectores2' 'canjos' 'vafonso' 'jbsousa' 'acabral' 'mfernandes' 'jmdias' 'dvendas' 'lmvieira' 'reservaslis' 'aafonseca' 'tacvfortaleza' 'ibernardino' 'teste' 'patriciafontenele' 'neidy.galvao' 'yrodrigues' 'agn' 'bparser' 'afrorodrigues' 'edgar' 'qualidademan' 'jandira.melo' 'reservas-sid' 'groundquality' 'fo.vasconcelos' 'crew' 'docman' 'docdov' 'check-in' 'svbaessa' 'rstmonteiro' 'rtfragoso' 'mcgonçalves' 'fff.mendonça' 'fjpdaveiga' 'edosra.delgado' 'dlfialho' 'camacedo' 'DTI' 'jlobo' 'acgomes' 'daa' 'it.doc' 'Cruz' 'Imartins' 'crewschedule' 'agn_sne' 'irevora' 'coordenadorcatsid' 'agn_sfl' 'coordenacao-rai' 'afrodrigues' 'hsilveira' 'comercial' 'cdfernandes' 'hfortes' 'caguiar' 'helpdesk_wo' 'chefeescalavxe' 'Abuse' 'Help Desk' 'htavares' 'aapereira' 'admin4' 'admin3' 'admin2' 'alex' 'afcorreia' '1000-D1V34GL8D48H' 'SM_7a67dfad8b864c589' 'SM_42f73f6fc9864794a' 'SM_e6945554b8cf4e8ea' 'SM_009cb7ec96f848d7a' 'Exchange All Hosted Organizations' 'tacvuser' 'vcenteruser' 'DnsUpdateProxy' 'Administrator' 'Domain Controllers' 'Read-only Domain Controllers' 'Group Policy Creator Owners' 'Domain Admins' 'Domain Guests' 'Domain Users' 'Domain Computers'

gilmarcabral

Após a execução do script ele retornou este resultado no terminal?

marcelloc

este é o resultado na gui

gilmarcabral

Em qual aba aparece? tem como vc enviar um print da gui para eu olhar.

marcelloc

Não uso o squidguard, este é o resultado postado aqui no forum mesmo.

Os usuarios aparecem no campo para dizer que usuarios tem acesso ao grupo.

Alguém com squidguard pode postar a tela?  ???

ccesario

gilmarcabral,

Segue anexo a tela mencionada

att,

gilmarcabral

Obrigado a todos.
Uma outra pergunta, você executa o script antes ou depois de criar a acl?
Eu primeiro to criando os grupos e depois executo o script.
Esta correto?