Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

marcelloc

@gilmarcabral:

Estou utilizando o script que o ccesario fez adequações.
O que deve ter um agendamento no cron do pfsense.

O script funciona bem, portamos ele para o squidguard e para o dansguardian.

Se você aplicou o patch em algum momento, vai precisar reinstalar o pacote.

Na gui do squidguard, você consegue ver os usuários aplicados?

gilmarcabral

Não apliquei patch nem um apenas executei o squid e agendei no cron.
Na gui do squidguard não vi nem um usuario aplicado, ele deveria trazer os usuarios na gui que foram consultado no grupo?
Agradeço novamente

marcelloc

@gilmarcabral:

ele deveria trazer os usuarios na gui que foram consultado no grupo?

Sim, deveriam.

execute o comando na console para ver se ela volta algum erro.

gilmarcabral

Fica desta forma abaixo.
Estes grupos listados abaixo são os grupos que criei no squidguard.
São o mesmo nome que esta no ldap na ou=Grupos

./squidguard_ldap.php
Group : ADMIN
Group : CTIN

marcelloc

Não sei se o script é case sensitive, segue abaixo um exemplo de campo preenchido após rodar o script.

'fw' 'galileo' 'Usrs_Limitado' 'GRP_Externo' 'GRP_Callcenter' 'coordenacaosid' 'supervisorvxe' 'KLOperators' 'KLAdmins' 'hm2bind' 'uteste' 'vkuser' 'visionkare' 'cpires' 'tacvboston' 'inspectores2' 'canjos' 'vafonso' 'jbsousa' 'acabral' 'mfernandes' 'jmdias' 'dvendas' 'lmvieira' 'reservaslis' 'aafonseca' 'tacvfortaleza' 'ibernardino' 'teste' 'patriciafontenele' 'neidy.galvao' 'yrodrigues' 'agn' 'bparser' 'afrorodrigues' 'edgar' 'qualidademan' 'jandira.melo' 'reservas-sid' 'groundquality' 'fo.vasconcelos' 'crew' 'docman' 'docdov' 'check-in' 'svbaessa' 'rstmonteiro' 'rtfragoso' 'mcgonçalves' 'fff.mendonça' 'fjpdaveiga' 'edosra.delgado' 'dlfialho' 'camacedo' 'DTI' 'jlobo' 'acgomes' 'daa' 'it.doc' 'Cruz' 'Imartins' 'crewschedule' 'agn_sne' 'irevora' 'coordenadorcatsid' 'agn_sfl' 'coordenacao-rai' 'afrodrigues' 'hsilveira' 'comercial' 'cdfernandes' 'hfortes' 'caguiar' 'helpdesk_wo' 'chefeescalavxe' 'Abuse' 'Help Desk' 'htavares' 'aapereira' 'admin4' 'admin3' 'admin2' 'alex' 'afcorreia' '1000-D1V34GL8D48H' 'SM_7a67dfad8b864c589' 'SM_42f73f6fc9864794a' 'SM_e6945554b8cf4e8ea' 'SM_009cb7ec96f848d7a' 'Exchange All Hosted Organizations' 'tacvuser' 'vcenteruser' 'DnsUpdateProxy' 'Administrator' 'Domain Controllers' 'Read-only Domain Controllers' 'Group Policy Creator Owners' 'Domain Admins' 'Domain Guests' 'Domain Users' 'Domain Computers'

gilmarcabral

Após a execução do script ele retornou este resultado no terminal?

marcelloc

este é o resultado na gui

gilmarcabral

Em qual aba aparece? tem como vc enviar um print da gui para eu olhar.

marcelloc

Não uso o squidguard, este é o resultado postado aqui no forum mesmo.

Os usuarios aparecem no campo para dizer que usuarios tem acesso ao grupo.

Alguém com squidguard pode postar a tela?  ???

ccesario

gilmarcabral,

Segue anexo a tela mencionada

att,

gilmarcabral

Obrigado a todos.
Uma outra pergunta, você executa o script antes ou depois de criar a acl?
Eu primeiro to criando os grupos e depois executo o script.
Esta correto?

marcelloc

correto.

O script procura os grupos para saber o que buscar no ad.

gilmarcabral

Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

ccesario

@gilmarcabral:

Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

Sim, após ele ser executado - cron / manualmente.

att,

gilmarcabral

Certo.
Estranho o porque no meu caso não funciona.
Uma coisa que notei, a estrutura do meu ldap para eu autenticar via ldapsearch ou ate pelo proprio phpmyadmin eu utilizo assim:
cn=root,dc=agrovale,dc=com,dc=br

E minha base esta populada com os nomes em Portugues.
Ao inves de Groups esta Grupos, Users no meu caso e Usuarios e por ai vai.
Adequei o script para
$user_bind =  CN=root,DC=agrovale,DC=com,DC=br
$ldap_dn = DC=agrovale,DC=com,DC=br
$password = 'coisa.'

marcelloc

Tenta colocar informações erradas nos parâmetros de ldap para ver se aparece algum erro.

gilmarcabral

Fiz os seguintes testes.
Tentei primeiro informando a senha do usuario root incorreta.
./squidguard_ldap.php
Group : CTIN

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

Em seguida fiz o teste Passando o caminho de busca incorreto, adicionei o CN=Usuarios.
CN=root,CN=Usuarios,DC=agrovale,DC=com,DC=br
./squidguard_ldap.php
Group : CTIN

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

marcelloc

só um detalhe com relação ao usuário, não estaria faltando um cn com a localização da conta?

$user_bind = "cn=root,cn=Users,DC=agrovale,DC=com,DC=br";

gilmarcabral

Bom dia.
Penso que não pois em integrações de outras aplicações com o openldap não informo a cn=Usuarios.
Pois a estrutura do openldap que utilizo sendo passo sem a cn=Users, mas Fiz o teste passando porem da o erro abaixo.
./squidguard_ldap.php
Group : CTIN
Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

Onde Ou=Usuarios onde fica os usuarios quando criados na base openldap, na Ou=Grupos e onde fica os grupos e neles informo em qual grupo o usuario ira pertencer.
Então no squidguard irei criar o nome do grupo igual esta na Ou=Grupos
Abaixo segue minha arvore openldap para melhor entender

+–> dc=agrovale,dc=com,dc=br (14)
+--> ou=Computadores (50+)
  +--> ou=Grupos (25)
    | ---> Criar Novo
    | ---> cn=ADMIN
    | ---> cn=Administradores
    | ---> cn=Administradores do Dominio
    | ---> cn=CAFCA
    | ---> cn=CCG
    | ---> cn=CCON
    | ---> cn=CDCS
    | ---> cn=Computadores do Dominio
    | ---> cn=Convidados
    | ---> cn=Convidados do Dominio
    | ---> cn=CRHU
    | ---> cn=CSOP
    | ---> cn=CTIN
    | ---> cn=CURSO
    | ---> cn=Duplicadores
    | ---> cn=GADF
    | ---> cn=GAGS
    | ---> cn=GALC
    | ---> cn=GAVR
    | ---> cn=GSUP
    | ---> cn=Operadores de Backup
    | ---> cn=Operadores de Contas
    | ---> cn=Operadores de Impressao
    | ---> cn=PDV
    | ---> cn=Usuarios do Dominio
    | ---> Criar Novo
    | ---> ou=Idmap
        +--> ou=Usuarios (50+)
            | ---> Criar Novo
            | ---> uid=adeilton_40733
            | ---> uid=adriana_21139
            | ---> uid=adriane_21258
            | ---> uid=alberto_30320
            | ---> uid=ales_21063
            | ---> uid=alinne_21537
            | ---> uid=alvaro_20871
            | ---> uid=gilmar_20601
            | ---> uid=messenger

marcelloc

gilmarcabral,

Você esta usando active directory da microsoft ou o openldap?