Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

    Scheduled Pinned Locked Moved Portuguese
    202 Posts 30 Posters 93.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      Não uso o squidguard, este é o resultado postado aqui no forum mesmo.

      Os usuarios aparecem no campo para dizer que usuarios tem acesso ao grupo.

      Alguém com squidguard pode postar a tela?  ???

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • C
        ccesario
        last edited by

        gilmarcabral,

        Segue anexo a tela mencionada

        att,

        grp_ad.png
        grp_ad.png_thumb

        Carlos

        1 Reply Last reply Reply Quote 0
        • G
          gilmarcabral
          last edited by

          Obrigado a todos.
          Uma outra pergunta, você executa o script antes ou depois de criar a acl?
          Eu primeiro to criando os grupos e depois executo o script.
          Esta correto?

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            correto.

            O script procura os grupos para saber o que buscar no ad.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              gilmarcabral
              last edited by

              Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

              1 Reply Last reply Reply Quote 0
              • C
                ccesario
                last edited by

                @gilmarcabral:

                Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

                Sim, após ele ser executado - cron / manualmente.

                att,

                Carlos

                1 Reply Last reply Reply Quote 0
                • G
                  gilmarcabral
                  last edited by

                  Certo.
                  Estranho o porque no meu caso não funciona.
                  Uma coisa que notei, a estrutura do meu ldap para eu autenticar via ldapsearch ou ate pelo proprio phpmyadmin eu utilizo assim:
                  cn=root,dc=agrovale,dc=com,dc=br

                  E minha base esta populada com os nomes em Portugues.
                  Ao inves de Groups esta Grupos, Users no meu caso e Usuarios e por ai vai.
                  Adequei o script para
                  $user_bind =  CN=root,DC=agrovale,DC=com,DC=br
                  $ldap_dn = DC=agrovale,DC=com,DC=br
                  $password = 'coisa.'

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Tenta colocar informações erradas nos parâmetros de ldap para ver se aparece algum erro.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • G
                      gilmarcabral
                      last edited by

                      Fiz os seguintes testes.
                      Tentei primeiro informando a senha do usuario root incorreta.
                      ./squidguard_ldap.php
                      Group : CTIN

                      Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                      Em seguida fiz o teste Passando o caminho de busca incorreto, adicionei o CN=Usuarios.
                      CN=root,CN=Usuarios,DC=agrovale,DC=com,DC=br
                      ./squidguard_ldap.php
                      Group : CTIN

                      Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        só um detalhe com relação ao usuário, não estaria faltando um cn com a localização da conta?

                        $user_bind = "cn=root,cn=Users,DC=agrovale,DC=com,DC=br";

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • G
                          gilmarcabral
                          last edited by

                          Bom dia.
                          Penso que não pois em integrações de outras aplicações com o openldap não informo a cn=Usuarios.
                          Pois a estrutura do openldap que utilizo sendo passo sem a cn=Users, mas Fiz o teste passando porem da o erro abaixo.
                          ./squidguard_ldap.php
                          Group : CTIN
                          Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                          Onde Ou=Usuarios onde fica os usuarios quando criados na base openldap, na Ou=Grupos e onde fica os grupos e neles informo em qual grupo o usuario ira pertencer.
                          Então no squidguard irei criar o nome do grupo igual esta na Ou=Grupos
                          Abaixo segue minha arvore openldap para melhor entender

                          +–> dc=agrovale,dc=com,dc=br (14)
                          +--> ou=Computadores (50+)
                            +--> ou=Grupos (25)
                              | ---> Criar Novo
                              | ---> cn=ADMIN
                              | ---> cn=Administradores
                              | ---> cn=Administradores do Dominio
                              | ---> cn=CAFCA
                              | ---> cn=CCG
                              | ---> cn=CCON
                              | ---> cn=CDCS
                              | ---> cn=Computadores do Dominio
                              | ---> cn=Convidados
                              | ---> cn=Convidados do Dominio
                              | ---> cn=CRHU
                              | ---> cn=CSOP
                              | ---> cn=CTIN
                              | ---> cn=CURSO
                              | ---> cn=Duplicadores
                              | ---> cn=GADF
                              | ---> cn=GAGS
                              | ---> cn=GALC
                              | ---> cn=GAVR
                              | ---> cn=GSUP
                              | ---> cn=Operadores de Backup
                              | ---> cn=Operadores de Contas
                              | ---> cn=Operadores de Impressao
                              | ---> cn=PDV
                              | ---> cn=Usuarios do Dominio
                              | ---> Criar Novo
                              | ---> ou=Idmap
                                  +--> ou=Usuarios (50+)
                                      | ---> Criar Novo
                                      | ---> uid=adeilton_40733
                                      | ---> uid=adriana_21139
                                      | ---> uid=adriane_21258
                                      | ---> uid=alberto_30320
                                      | ---> uid=ales_21063
                                      | ---> uid=alinne_21537
                                      | ---> uid=alvaro_20871
                                      | ---> uid=gilmar_20601
                                      | ---> uid=messenger

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by

                            gilmarcabral,

                            Você esta usando active directory da microsoft ou o openldap?

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • G
                              gilmarcabral
                              last edited by

                              Openldap

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                @gilmarcabral:

                                Openldap

                                Deve ser este o problema, Consegue adaptar o script para funcionar com o openldap também?

                                att,
                                Marcello Coutinho

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • G
                                  gilmarcabral
                                  last edited by

                                  Boa tarde.
                                  Galera o Ccesario fez adequação no script squidguard_ldap.php para que o mesmo faça busca em base openldap ao invez de AD.
                                  Era por isso eu não estava conseguindo fazer o script consultar a base e adicionar os usuarios na gui.
                                  Segue abaixo script adequado para consultas em base openldap.

                                  
                                  #!/usr/local/bin/php -q
                                  // based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
                                  // pfsense integration by marcelloc and ccesario
                                  
                                  # AD HOST (required)
                                  $ldap_host = "192.168.10.39";
                                  
                                  # AD DIRECTORY DN(required)
                                  $ldap_dn = "DC=agrovale,DC=com,DC=br";
                                  
                                  # BIND USER(required)
                                  $user_bind = "CN=root,DC=agrovale,DC=com,DC=br";
                                  
                                  # PASSWORD BIND(required)
                                  $password = "SENHA.";
                                  
                                  #if you need to apply any prefix or sufix to retreived user
                                  #example: prefix user with domain(required)
                                  #$user_mask="DOMAIN\USER";
                                  $user_mask="USER";
                                  
                                  ####################
                                  # End of user options  #
                                  ####################
                                  
                                  require_once("/etc/inc/util.inc");
                                  require_once("/etc/inc/functions.inc");
                                  require_once("/etc/inc/pkg-utils.inc");
                                  require_once("/etc/inc/globals.inc");
                                  
                                  #mount filesystem writable
                                  conf_mount_rw();
                                  
                                  function explode_dn($dn, $with_attributes=0)
                                  {
                                      $result = ldap_explode_dn($dn, $with_attributes);
                                      foreach($result as $key => $value) {
                                           $result[$key] = $value;
                                      }
                                      return $result;
                                  }
                                  
                                  function get_ldap_members($group,$user,$password) {
                                  	global $ldap_host;
                                  	global $ldap_dn;
                                  	$LDAPFieldsToFind = array("member");
                                  	$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");
                                  
                                  	// OPTIONS TO AD
                                  	ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
                                  	ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);
                                  
                                  	ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");
                                  
                                  	$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);
                                  
                                  	$member_list = ldap_get_entries($ldap, $results);
                                  
                                  	//print_r($member_list[0][dn]);
                                  
                                  	$group_member_details = array();
                                  	foreach($member_list[0] as $member) { 
                                  				$member_dn = explode_dn($member);
                                  				//print_r($member_dn);
                                  				$member_cn = str_replace("cn=","",$member_dn[0]);
                                  				$member_search = ldap_search($ldap, $ldap_dn, "(cn=" . $member_cn . ")");
                                  				$member_details = ldap_get_entries($ldap, $member_search);
                                  				$group_member_details[] = array($member_details[0]['memberuid']);
                                  	}			
                                  	ldap_close($ldap);
                                  	array_shift($group_member_details);
                                  	return $group_member_details;
                                  }
                                  
                                  // Read Pfsense config 
                                  global $config,$g;
                                  $id=0;
                                  $apply_config=0;
                                  if (is_array ($config['installedpackages']['squidguardacl']['config']))
                                  	foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
                                     		$members="";
                                     		echo  "Group : " . $group['name']."\n";
                                     		$result = get_ldap_members($group['name'],$user_bind,$password);
                                  		foreach($result[0][0] as $key => $value) {
                                  			echo "key $key  ==>>  val $value\n";
                                  		    	if ( (preg_match ("/\w+/",$value)) && (preg_match ("/^[0-9]/",$key)) ) 
                                  				$members .= "'".preg_replace("/USER/",$value,$user_mask)."' ";
                                  		}
                                     		if (!empty($members))
                                     			if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
                                     				$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
                                     				$apply_config++;
                                     			}
                                     	$id++;			
                                  	}
                                  if ($apply_config > 0){
                                  	print "user list from LDAP is different from current group, applying new configuration...";
                                  	write_config();
                                  	include("/usr/local/pkg/squidguard.inc");
                                  	squidguard_resync();
                                  	print "done\n";
                                  }
                                  
                                  #mount filesystem read-only
                                  conf_mount_ro();
                                  ?>
                                  
                                  
                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    gilmarcabral,

                                    O ccesario me passou o script, vou tentar juntar as duas versões em um único script assim que possível.

                                    att,
                                    Marcello Coutinho

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      madrugaaa
                                      last edited by

                                      Boa tarde, é o seguinte, configurei o squid para autenticar no ad e apliquei o patch do luiz gustavo para fazer os bloqueios no squidguard via grupos do AD, configurei da seguinte forma.
                                      Proxyfilter - SquidGuard -> General Settings

                                      Fui em Common ACL e dei um DENY em Default Access ALL
                                      Em Groups ACL criei um grupo chamado TI
                                      em Client Source coloquei o seguinte = ldapusersearch  ldap://192.168.1.5/DC=far,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=TI%2cCN=Users%2cDC=far%2cDC=com))
                                      onde 192.168.1.5 é o ip do AD, o nome do grupo no AD é TI e dominio far.com
                                      Fiz os devidos bloqueios em target rules list salvei e apply.
                                      o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        pontoexe
                                        last edited by

                                        :( ???

                                        O que acontece???

                                        Não consigo fazer essa coisa funcionar seguindo os passos de vocês, já tentei com todos os scripts aqui mas não funciona, parei agora no mesmo estágio que o rapaz ai de cima, autentica mas não bloqueia e no meu caso não achei onde vejo a lista de grupos e usuários…

                                        HELP ME PLEASE!!!

                                        1 Reply Last reply Reply Quote 0
                                        • P
                                          pontoexe
                                          last edited by

                                          Agora usando o squidguard.php consegui fazer ele autenticar e reconhecer os nomes de usuários conforme o print do pessoal, mas agora não autentica nenhum user.

                                          Não sei mais o que fazer… É osso isso aqui viu!!!

                                          1 Reply Last reply Reply Quote 0
                                          • marcellocM
                                            marcelloc
                                            last edited by

                                            @madrugaaa:

                                            o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

                                            @pontoexe:

                                            HELP ME PLEASE!!!

                                            Outras pessoas tiveram o mesmo resultado, tente a segunda alternativa com o script que eu e o ccesario fizemos, este eu sei que funciona no dansguardian e no squidguard.

                                            att,
                                            Marcello Coutinho

                                            ps:
                                            Lembrando que o LuisGustavo deixou bem claro que era um patch experimental, ajuda para evoluir o status para stable é sempre bem vinda.

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.