Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

marcelloc · May 10, 2012, 8:59 PM

Não uso o squidguard, este é o resultado postado aqui no forum mesmo.

Os usuarios aparecem no campo para dizer que usuarios tem acesso ao grupo.

Alguém com squidguard pode postar a tela? ???

ccesario · May 10, 2012, 9:08 PM

gilmarcabral,

Segue anexo a tela mencionada

att,

gilmarcabral · May 10, 2012, 9:17 PM

Obrigado a todos.
Uma outra pergunta, você executa o script antes ou depois de criar a acl?
Eu primeiro to criando os grupos e depois executo o script.
Esta correto?

marcelloc · May 10, 2012, 9:19 PM

correto.

O script procura os grupos para saber o que buscar no ad.

gilmarcabral · May 10, 2012, 9:23 PM

Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

ccesario · May 10, 2012, 11:38 PM

@gilmarcabral:

Então quando eu criar o grupo via gui ele ja ira buscar todos usuarios deste grupo e adicionar no campo Client (source) no gui?

Sim, após ele ser executado - cron / manualmente.

att,

gilmarcabral · May 11, 2012, 12:13 AM

Certo.
Estranho o porque no meu caso não funciona.
Uma coisa que notei, a estrutura do meu ldap para eu autenticar via ldapsearch ou ate pelo proprio phpmyadmin eu utilizo assim:
cn=root,dc=agrovale,dc=com,dc=br

E minha base esta populada com os nomes em Portugues.
Ao inves de Groups esta Grupos, Users no meu caso e Usuarios e por ai vai.
Adequei o script para
$user_bind = CN=root,DC=agrovale,DC=com,DC=br
$ldap_dn = DC=agrovale,DC=com,DC=br
$password = 'coisa.'

marcelloc · May 11, 2012, 12:58 AM

Tenta colocar informações erradas nos parâmetros de ldap para ver se aparece algum erro.

gilmarcabral · May 11, 2012, 1:07 AM

Fiz os seguintes testes.
Tentei primeiro informando a senha do usuario root incorreta.
./squidguard_ldap.php
Group : CTIN

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

Em seguida fiz o teste Passando o caminho de busca incorreto, adicionei o CN=Usuarios.
CN=root,CN=Usuarios,DC=agrovale,DC=com,DC=br
./squidguard_ldap.php
Group : CTIN

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

marcelloc · May 11, 2012, 5:50 AM

só um detalhe com relação ao usuário, não estaria faltando um cn com a localização da conta?

$user_bind = "cn=root,cn=Users,DC=agrovale,DC=com,DC=br";

gilmarcabral · May 11, 2012, 10:16 AM

Bom dia.
Penso que não pois em integrações de outras aplicações com o openldap não informo a cn=Usuarios.
Pois a estrutura do openldap que utilizo sendo passo sem a cn=Users, mas Fiz o teste passando porem da o erro abaixo.
./squidguard_ldap.php
Group : CTIN
Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55

Onde Ou=Usuarios onde fica os usuarios quando criados na base openldap, na Ou=Grupos e onde fica os grupos e neles informo em qual grupo o usuario ira pertencer.
Então no squidguard irei criar o nome do grupo igual esta na Ou=Grupos
Abaixo segue minha arvore openldap para melhor entender

+–> dc=agrovale,dc=com,dc=br (14)
+--> ou=Computadores (50+)
+--> ou=Grupos (25)
| ---> Criar Novo
| ---> cn=ADMIN
| ---> cn=Administradores
| ---> cn=Administradores do Dominio
| ---> cn=CAFCA
| ---> cn=CCG
| ---> cn=CCON
| ---> cn=CDCS
| ---> cn=Computadores do Dominio
| ---> cn=Convidados
| ---> cn=Convidados do Dominio
| ---> cn=CRHU
| ---> cn=CSOP
| ---> cn=CTIN
| ---> cn=CURSO
| ---> cn=Duplicadores
| ---> cn=GADF
| ---> cn=GAGS
| ---> cn=GALC
| ---> cn=GAVR
| ---> cn=GSUP
| ---> cn=Operadores de Backup
| ---> cn=Operadores de Contas
| ---> cn=Operadores de Impressao
| ---> cn=PDV
| ---> cn=Usuarios do Dominio
| ---> Criar Novo
| ---> ou=Idmap
+--> ou=Usuarios (50+)
| ---> Criar Novo
| ---> uid=adeilton_40733
| ---> uid=adriana_21139
| ---> uid=adriane_21258
| ---> uid=alberto_30320
| ---> uid=ales_21063
| ---> uid=alinne_21537
| ---> uid=alvaro_20871
| ---> uid=gilmar_20601
| ---> uid=messenger

marcelloc · May 11, 2012, 7:18 PM

gilmarcabral,

Você esta usando active directory da microsoft ou o openldap?

gilmarcabral · May 11, 2012, 7:54 PM

Openldap

marcelloc · May 11, 2012, 10:04 PM

@gilmarcabral:

Openldap

Deve ser este o problema, Consegue adaptar o script para funcionar com o openldap também?

att,
Marcello Coutinho

gilmarcabral · May 15, 2012, 7:31 PM

Boa tarde.
Galera o Ccesario fez adequação no script squidguard_ldap.php para que o mesmo faça busca em base openldap ao invez de AD.
Era por isso eu não estava conseguindo fazer o script consultar a base e adicionar os usuarios na gui.
Segue abaixo script adequado para consultas em base openldap.


#!/usr/local/bin/php -q
// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario

# AD HOST (required)
$ldap_host = "192.168.10.39";

# AD DIRECTORY DN(required)
$ldap_dn = "DC=agrovale,DC=com,DC=br";

# BIND USER(required)
$user_bind = "CN=root,DC=agrovale,DC=com,DC=br";

# PASSWORD BIND(required)
$password = "SENHA.";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

####################
# End of user options  #
####################

require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();

function explode_dn($dn, $with_attributes=0)
{
    $result = ldap_explode_dn($dn, $with_attributes);
    foreach($result as $key => $value) {
         $result[$key] = $value;
    }
    return $result;
}

function get_ldap_members($group,$user,$password) {
	global $ldap_host;
	global $ldap_dn;
	$LDAPFieldsToFind = array("member");
	$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

	// OPTIONS TO AD
	ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
	ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

	ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

	$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

	$member_list = ldap_get_entries($ldap, $results);

	//print_r($member_list[0][dn]);

	$group_member_details = array();
	foreach($member_list[0] as $member) { 
				$member_dn = explode_dn($member);
				//print_r($member_dn);
				$member_cn = str_replace("cn=","",$member_dn[0]);
				$member_search = ldap_search($ldap, $ldap_dn, "(cn=" . $member_cn . ")");
				$member_details = ldap_get_entries($ldap, $member_search);
				$group_member_details[] = array($member_details[0]['memberuid']);
	}			
	ldap_close($ldap);
	array_shift($group_member_details);
	return $group_member_details;
}

// Read Pfsense config 
global $config,$g;
$id=0;
$apply_config=0;
if (is_array ($config['installedpackages']['squidguardacl']['config']))
	foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
   		$members="";
   		echo  "Group : " . $group['name']."\n";
   		$result = get_ldap_members($group['name'],$user_bind,$password);
		foreach($result[0][0] as $key => $value) {
			echo "key $key  ==>>  val $value\n";
		    	if ( (preg_match ("/\w+/",$value)) && (preg_match ("/^[0-9]/",$key)) ) 
				$members .= "'".preg_replace("/USER/",$value,$user_mask)."' ";
		}
   		if (!empty($members))
   			if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
   				$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
   				$apply_config++;
   			}
   	$id++;			
	}
if ($apply_config > 0){
	print "user list from LDAP is different from current group, applying new configuration...";
	write_config();
	include("/usr/local/pkg/squidguard.inc");
	squidguard_resync();
	print "done\n";
}

#mount filesystem read-only
conf_mount_ro();
?>

marcelloc · May 15, 2012, 7:32 PM

gilmarcabral,

O ccesario me passou o script, vou tentar juntar as duas versões em um único script assim que possível.

att,
Marcello Coutinho

madrugaaa · May 16, 2012, 7:49 PM

Boa tarde, é o seguinte, configurei o squid para autenticar no ad e apliquei o patch do luiz gustavo para fazer os bloqueios no squidguard via grupos do AD, configurei da seguinte forma.
Proxyfilter - SquidGuard -> General Settings

Fui em Common ACL e dei um DENY em Default Access ALL
Em Groups ACL criei um grupo chamado TI
em Client Source coloquei o seguinte = ldapusersearch ldap://192.168.1.5/DC=far,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=TI%2cCN=Users%2cDC=far%2cDC=com))
onde 192.168.1.5 é o ip do AD, o nome do grupo no AD é TI e dominio far.com
Fiz os devidos bloqueios em target rules list salvei e apply.
o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

pontoexe · May 29, 2012, 12:52 AM

:( ???

O que acontece???

Não consigo fazer essa coisa funcionar seguindo os passos de vocês, já tentei com todos os scripts aqui mas não funciona, parei agora no mesmo estágio que o rapaz ai de cima, autentica mas não bloqueia e no meu caso não achei onde vejo a lista de grupos e usuários…

HELP ME PLEASE!!!

pontoexe · May 29, 2012, 1:50 AM

Agora usando o squidguard.php consegui fazer ele autenticar e reconhecer os nomes de usuários conforme o print do pessoal, mas agora não autentica nenhum user.

Não sei mais o que fazer… É osso isso aqui viu!!!

marcelloc · May 29, 2012, 3:35 AM

@madrugaaa:

o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

@pontoexe:

HELP ME PLEASE!!!

Outras pessoas tiveram o mesmo resultado, tente a segunda alternativa com o script que eu e o ccesario fizemos, este eu sei que funciona no dansguardian e no squidguard.

att,
Marcello Coutinho

ps:
Lembrando que o LuisGustavo deixou bem claro que era um patch experimental, ajuda para evoluir o status para stable é sempre bem vinda.