• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

Scheduled Pinned Locked Moved Portuguese
202 Posts 30 Posters 93.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • M
    marcelloc
    last edited by May 10, 2012, 8:59 PM

    Não uso o squidguard, este é o resultado postado aqui no forum mesmo.

    Os usuarios aparecem no campo para dizer que usuarios tem acesso ao grupo.

    Alguém com squidguard pode postar a tela?  ???

    Treinamentos de Elite: http://sys-squad.com

    Help a community developer! ;D

    1 Reply Last reply Reply Quote 0
    • C
      ccesario
      last edited by May 10, 2012, 9:08 PM

      gilmarcabral,

      Segue anexo a tela mencionada

      att,

      grp_ad.png
      grp_ad.png_thumb

      Carlos

      1 Reply Last reply Reply Quote 0
      • G
        gilmarcabral
        last edited by May 10, 2012, 9:17 PM

        Obrigado a todos.
        Uma outra pergunta, você executa o script antes ou depois de criar a acl?
        Eu primeiro to criando os grupos e depois executo o script.
        Esta correto?

        1 Reply Last reply Reply Quote 0
        • M
          marcelloc
          last edited by May 10, 2012, 9:19 PM

          correto.

          O script procura os grupos para saber o que buscar no ad.

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • G
            gilmarcabral
            last edited by May 10, 2012, 9:23 PM

            Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

            1 Reply Last reply Reply Quote 0
            • C
              ccesario
              last edited by May 10, 2012, 11:38 PM

              @gilmarcabral:

              Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

              Sim, após ele ser executado - cron / manualmente.

              att,

              Carlos

              1 Reply Last reply Reply Quote 0
              • G
                gilmarcabral
                last edited by May 11, 2012, 12:13 AM

                Certo.
                Estranho o porque no meu caso não funciona.
                Uma coisa que notei, a estrutura do meu ldap para eu autenticar via ldapsearch ou ate pelo proprio phpmyadmin eu utilizo assim:
                cn=root,dc=agrovale,dc=com,dc=br

                E minha base esta populada com os nomes em Portugues.
                Ao inves de Groups esta Grupos, Users no meu caso e Usuarios e por ai vai.
                Adequei o script para
                $user_bind =  CN=root,DC=agrovale,DC=com,DC=br
                $ldap_dn = DC=agrovale,DC=com,DC=br
                $password = 'coisa.'

                1 Reply Last reply Reply Quote 0
                • M
                  marcelloc
                  last edited by May 11, 2012, 12:58 AM

                  Tenta colocar informações erradas nos parâmetros de ldap para ver se aparece algum erro.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • G
                    gilmarcabral
                    last edited by May 11, 2012, 1:07 AM

                    Fiz os seguintes testes.
                    Tentei primeiro informando a senha do usuario root incorreta.
                    ./squidguard_ldap.php
                    Group : CTIN

                    Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                    Em seguida fiz o teste Passando o caminho de busca incorreto, adicionei o CN=Usuarios.
                    CN=root,CN=Usuarios,DC=agrovale,DC=com,DC=br
                    ./squidguard_ldap.php
                    Group : CTIN

                    Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                    1 Reply Last reply Reply Quote 0
                    • M
                      marcelloc
                      last edited by May 11, 2012, 5:50 AM

                      só um detalhe com relação ao usuário, não estaria faltando um cn com a localização da conta?

                      $user_bind = "cn=root,cn=Users,DC=agrovale,DC=com,DC=br";

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • G
                        gilmarcabral
                        last edited by May 11, 2012, 10:16 AM

                        Bom dia.
                        Penso que não pois em integrações de outras aplicações com o openldap não informo a cn=Usuarios.
                        Pois a estrutura do openldap que utilizo sendo passo sem a cn=Users, mas Fiz o teste passando porem da o erro abaixo.
                        ./squidguard_ldap.php
                        Group : CTIN
                        Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

                        Onde Ou=Usuarios onde fica os usuarios quando criados na base openldap, na Ou=Grupos e onde fica os grupos e neles informo em qual grupo o usuario ira pertencer.
                        Então no squidguard irei criar o nome do grupo igual esta na Ou=Grupos
                        Abaixo segue minha arvore openldap para melhor entender

                        +–> dc=agrovale,dc=com,dc=br (14)
                        +--> ou=Computadores (50+)
                          +--> ou=Grupos (25)
                            | ---> Criar Novo
                            | ---> cn=ADMIN
                            | ---> cn=Administradores
                            | ---> cn=Administradores do Dominio
                            | ---> cn=CAFCA
                            | ---> cn=CCG
                            | ---> cn=CCON
                            | ---> cn=CDCS
                            | ---> cn=Computadores do Dominio
                            | ---> cn=Convidados
                            | ---> cn=Convidados do Dominio
                            | ---> cn=CRHU
                            | ---> cn=CSOP
                            | ---> cn=CTIN
                            | ---> cn=CURSO
                            | ---> cn=Duplicadores
                            | ---> cn=GADF
                            | ---> cn=GAGS
                            | ---> cn=GALC
                            | ---> cn=GAVR
                            | ---> cn=GSUP
                            | ---> cn=Operadores de Backup
                            | ---> cn=Operadores de Contas
                            | ---> cn=Operadores de Impressao
                            | ---> cn=PDV
                            | ---> cn=Usuarios do Dominio
                            | ---> Criar Novo
                            | ---> ou=Idmap
                                +--> ou=Usuarios (50+)
                                    | ---> Criar Novo
                                    | ---> uid=adeilton_40733
                                    | ---> uid=adriana_21139
                                    | ---> uid=adriane_21258
                                    | ---> uid=alberto_30320
                                    | ---> uid=ales_21063
                                    | ---> uid=alinne_21537
                                    | ---> uid=alvaro_20871
                                    | ---> uid=gilmar_20601
                                    | ---> uid=messenger

                        1 Reply Last reply Reply Quote 0
                        • M
                          marcelloc
                          last edited by May 11, 2012, 7:18 PM

                          gilmarcabral,

                          Você esta usando active directory da microsoft ou o openldap?

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            gilmarcabral
                            last edited by May 11, 2012, 7:54 PM

                            Openldap

                            1 Reply Last reply Reply Quote 0
                            • M
                              marcelloc
                              last edited by May 11, 2012, 10:04 PM

                              @gilmarcabral:

                              Openldap

                              Deve ser este o problema, Consegue adaptar o script para funcionar com o openldap também?

                              att,
                              Marcello Coutinho

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • G
                                gilmarcabral
                                last edited by May 15, 2012, 7:31 PM May 15, 2012, 5:21 PM

                                Boa tarde.
                                Galera o Ccesario fez adequação no script squidguard_ldap.php para que o mesmo faça busca em base openldap ao invez de AD.
                                Era por isso eu não estava conseguindo fazer o script consultar a base e adicionar os usuarios na gui.
                                Segue abaixo script adequado para consultas em base openldap.

                                
                                #!/usr/local/bin/php -q
                                // based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
                                // pfsense integration by marcelloc and ccesario
                                
                                # AD HOST (required)
                                $ldap_host = "192.168.10.39";
                                
                                # AD DIRECTORY DN(required)
                                $ldap_dn = "DC=agrovale,DC=com,DC=br";
                                
                                # BIND USER(required)
                                $user_bind = "CN=root,DC=agrovale,DC=com,DC=br";
                                
                                # PASSWORD BIND(required)
                                $password = "SENHA.";
                                
                                #if you need to apply any prefix or sufix to retreived user
                                #example: prefix user with domain(required)
                                #$user_mask="DOMAIN\USER";
                                $user_mask="USER";
                                
                                ####################
                                # End of user options  #
                                ####################
                                
                                require_once("/etc/inc/util.inc");
                                require_once("/etc/inc/functions.inc");
                                require_once("/etc/inc/pkg-utils.inc");
                                require_once("/etc/inc/globals.inc");
                                
                                #mount filesystem writable
                                conf_mount_rw();
                                
                                function explode_dn($dn, $with_attributes=0)
                                {
                                    $result = ldap_explode_dn($dn, $with_attributes);
                                    foreach($result as $key => $value) {
                                         $result[$key] = $value;
                                    }
                                    return $result;
                                }
                                
                                function get_ldap_members($group,$user,$password) {
                                	global $ldap_host;
                                	global $ldap_dn;
                                	$LDAPFieldsToFind = array("member");
                                	$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");
                                
                                	// OPTIONS TO AD
                                	ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
                                	ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);
                                
                                	ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");
                                
                                	$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);
                                
                                	$member_list = ldap_get_entries($ldap, $results);
                                
                                	//print_r($member_list[0][dn]);
                                
                                	$group_member_details = array();
                                	foreach($member_list[0] as $member) { 
                                				$member_dn = explode_dn($member);
                                				//print_r($member_dn);
                                				$member_cn = str_replace("cn=","",$member_dn[0]);
                                				$member_search = ldap_search($ldap, $ldap_dn, "(cn=" . $member_cn . ")");
                                				$member_details = ldap_get_entries($ldap, $member_search);
                                				$group_member_details[] = array($member_details[0]['memberuid']);
                                	}			
                                	ldap_close($ldap);
                                	array_shift($group_member_details);
                                	return $group_member_details;
                                }
                                
                                // Read Pfsense config 
                                global $config,$g;
                                $id=0;
                                $apply_config=0;
                                if (is_array ($config['installedpackages']['squidguardacl']['config']))
                                	foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
                                   		$members="";
                                   		echo  "Group : " . $group['name']."\n";
                                   		$result = get_ldap_members($group['name'],$user_bind,$password);
                                		foreach($result[0][0] as $key => $value) {
                                			echo "key $key  ==>>  val $value\n";
                                		    	if ( (preg_match ("/\w+/",$value)) && (preg_match ("/^[0-9]/",$key)) ) 
                                				$members .= "'".preg_replace("/USER/",$value,$user_mask)."' ";
                                		}
                                   		if (!empty($members))
                                   			if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
                                   				$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
                                   				$apply_config++;
                                   			}
                                   	$id++;			
                                	}
                                if ($apply_config > 0){
                                	print "user list from LDAP is different from current group, applying new configuration...";
                                	write_config();
                                	include("/usr/local/pkg/squidguard.inc");
                                	squidguard_resync();
                                	print "done\n";
                                }
                                
                                #mount filesystem read-only
                                conf_mount_ro();
                                ?>
                                
                                
                                1 Reply Last reply Reply Quote 0
                                • M
                                  marcelloc
                                  last edited by May 15, 2012, 7:32 PM

                                  gilmarcabral,

                                  O ccesario me passou o script, vou tentar juntar as duas versões em um único script assim que possível.

                                  att,
                                  Marcello Coutinho

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    madrugaaa
                                    last edited by May 16, 2012, 7:49 PM

                                    Boa tarde, é o seguinte, configurei o squid para autenticar no ad e apliquei o patch do luiz gustavo para fazer os bloqueios no squidguard via grupos do AD, configurei da seguinte forma.
                                    Proxyfilter - SquidGuard -> General Settings

                                    Fui em Common ACL e dei um DENY em Default Access ALL
                                    Em Groups ACL criei um grupo chamado TI
                                    em Client Source coloquei o seguinte = ldapusersearch  ldap://192.168.1.5/DC=far,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=TI%2cCN=Users%2cDC=far%2cDC=com))
                                    onde 192.168.1.5 é o ip do AD, o nome do grupo no AD é TI e dominio far.com
                                    Fiz os devidos bloqueios em target rules list salvei e apply.
                                    o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

                                    1 Reply Last reply Reply Quote 0
                                    • P
                                      pontoexe
                                      last edited by May 29, 2012, 12:52 AM

                                      :( ???

                                      O que acontece???

                                      Não consigo fazer essa coisa funcionar seguindo os passos de vocês, já tentei com todos os scripts aqui mas não funciona, parei agora no mesmo estágio que o rapaz ai de cima, autentica mas não bloqueia e no meu caso não achei onde vejo a lista de grupos e usuários…

                                      HELP ME PLEASE!!!

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        pontoexe
                                        last edited by May 29, 2012, 1:50 AM

                                        Agora usando o squidguard.php consegui fazer ele autenticar e reconhecer os nomes de usuários conforme o print do pessoal, mas agora não autentica nenhum user.

                                        Não sei mais o que fazer… É osso isso aqui viu!!!

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          marcelloc
                                          last edited by May 29, 2012, 3:35 AM May 29, 2012, 3:31 AM

                                          @madrugaaa:

                                          o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

                                          @pontoexe:

                                          HELP ME PLEASE!!!

                                          Outras pessoas tiveram o mesmo resultado, tente a segunda alternativa com o script que eu e o ccesario fizemos, este eu sei que funciona no dansguardian e no squidguard.

                                          att,
                                          Marcello Coutinho

                                          ps:
                                          Lembrando que o LuisGustavo deixou bem claro que era um patch experimental, ajuda para evoluir o status para stable é sempre bem vinda.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received