Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

marcelloc

Snowyrain, Thanks for your contribution. :)

fredmdl

Olá pessoal.
Sou novo no pfsense e estou homologando ele para substituir um sistema embarcado de firewall + e-mail aqui da nossa empresa.
Minha ideia é utilizar o pfsense como firewall + proxy e zimbra para e-mail.

Vamos la… Li varias vezes este tópico e busquei na internet porém o local com as informações mais completas e consistentes com certeza é aqui.
Fiz a configuração completa squid + squidGuard + ldap intalei o patch, baixei, rodei e agendei o script. Mas ainda não esta funcionando. Na maquina de teste no IE ele pede usuário e senha mas quando digito ele não loga.
Segue minhas configurações:
Pfsense 2.0.1-RELEASE (amd64) + Windows Server 2008 R2

Script:
/root(31): /usr/local/bin/php -q /root/squiguard_ldap.php
Group : PRX_Allow_All
–> Members : 'frederico.lima'

Group : PRX_Deny_All
--> Members : 'homolog'

Alguém pode me ajudar no que faltou ou fiz errado? :-\

Muito obrigado e parabéns pelo forum! ;)

marcelloc

@fredmdl:

instalei o patch, baixei, rodei e agendei o script.

fredmdl, bem vindo ao fórum! :)

Neste tópico, temos duas soluções, uma é o patch do Luiz Gustavo e outra é o script que eu e o ccesario fizemos.

Você tem que escolher uma das duas para utilizar no lugar de fazer os dois.

att,
Marcello Coutinho.

fredmdl

@marcelloc:

Neste tópico, temos duas soluções, uma é o patch do Luiz Gustavo e outra é o script que eu e o ccesario fizemos.

Você tem que escolher uma das duas para utilizar no lugar de fazer os dois.

att,
Marcello Coutinho.

Marcello eu removi a configuração do patch da GUI… Mesmo assim continuo na mesma..
tenho que reinstalar o squidGuard?

marcelloc

@fredmdl:

tenho que reinstalar o squidGuard?

estas atualizações buscam os usuarios do grupo e aplicam na configuração do squidguard.

sua autenticação já está ok? você consegue ver os usuários nos logs do squid?

fredmdl

@marcelloc:

estas atualizações buscam os usuarios do grupo e aplicam na configuração do squidguard.

sua autenticação já está ok? você consegue ver os usuários nos logs do squid?

Marcelo muito obrigado pela ajuda. Depois que eu removi a configuração do patch ele funcionou. ;D
Agora percebi duas coisas:

1 - O agendamento no CRON não esta funcionando, eu instalei o pacote cron e pelo menu eu adicionei a entrada abaixo
*/5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
Se eu roda manual ai ele preenche a gui do squidGuardian

2 - Há alguma restrição para autenticar usuário com o nome no formato "nome.sobrenome" ou com senha forte do tipo "%#123.ABC" ?

marcelloc

@fredmdl:

2 - Há alguma restrição para autenticar usuário com o nome no formato "nome.sobrenome" ou com senha forte do tipo "%#123.ABC" ?

Se roda ele na mão e vai, então não tem problema.

Eu prefiro deixar sem caracteres especiais as senhas que ficam em arquivos de configuração ou xml.

ilv

Boa Tarde
Após realizar as configurações na hora de testar o script em php ocorre a seguinte mensagem Diagnostic>Command Prompt>PHP Execute

ocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2

já alterei as permissões do script para rwx rwx rwx

#!/usr/local/bin/php -f 

// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario

# AD HOST (required)
$ldap_host = "192.168.0.8";

# AD DIRECTORY DN(required)
$ldap_dn = "DC=tots";

# BIND USER(required)
$user_bind = "cn=squid,cn=Users,DC=tots";

# PASSWORD BIND(required)
$password = "coisa";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

####################
# End of user options  #
####################

require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();

function explode_dn($dn, $with_attributes=0)
{
    $result = ldap_explode_dn($dn, $with_attributes);
    foreach($result as $key => $value) {
         $result[$key] = $value;
    }
    return $result;
}

function get_ldap_members($group,$user,$password) {
	global $ldap_host;
	global $ldap_dn;
	$LDAPFieldsToFind = array("member");
	$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

	// OPTIONS TO AD
	ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
	ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

	ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

	$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

	$member_list = ldap_get_entries($ldap, $results);
	$group_member_details = array();
	foreach($member_list[0] as $list)
		if (is_array($list)) 
			foreach($list as $member) {
				$member_dn = explode_dn($member);
				$member_cn = str_replace("CN=","",$member_dn[0]);
				$member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")");
				$member_details = ldap_get_entries($ldap, $member_search);
				$group_member_details[] = array($member_details[0]['samaccountname'][0]);
			}
	ldap_close($ldap);
	array_shift($group_member_details);
	return $group_member_details;
	ldap_unbind($ldap);
}

// Read Pfsense config 
global $config,$g;
$id=0;
$apply_config=0;
if (is_array ($config['installedpackages']['squidguardacl']['config']))
	foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
   		$members="";
   		echo  "Group : " . $group['name']."\n";
   		$result = get_ldap_members($group['name'],$user_bind,$password);
   		foreach($result as $key => $value) {
	    	if (preg_match ("/\w+/",$value[0]))
    	  		$members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' ";
   		}
   		if (!empty($members))
   			if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
   				$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
   				$apply_config++;
   			}
   	$id++;			
	}
if ($apply_config > 0){
	print "user list from LDAP is different from current group, applying new configuration...";
	write_config();
	include("/usr/local/pkg/squidguard.inc");
	squidguard_resync();
	print "done\n";
}

#mount filesystem read-only
conf_mount_ro();

?>

marcelloc

@ilv:

ocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2

ivl, bem vindo ao fórum! :)

Execute ele como um script normal, não como um php ou copie o arquivo e remova o código entre o

ilv

@marcelloc:

@ilv:

ocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2

ivl, bem vindo ao fórum! :)

Execute ele como um script normal, não como um php ou copie o arquivo e remova o código entre o

Então eu execute o script em "PHP Execute" sem o "" ? Pois executei sem esse parâmetros e não me retornou nada.

marcelloc

@ilv:

Então eu execute o script em "PHP Execute" sem o "" ? Pois executei sem esse parâmetros e não me retornou nada.

Não retornar nada normalmente significa que executou sem erros.

habilite o ssh , conecte usando o putty por exemplo e execute o script, veja o que ele retorna.

Este tipo de teste é melhor na console/ssh ;)

ilv

Fiz os testes, utilizei até o script em php, acessando por ssh, e ele me retorna

[2.0.2-RELEASE][admin@matriz]/root(26): /usr/local/bin/php -q /root/squi    dguard_ldap.php
Group : L_TI

Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on     line 40
Group : Vendas
user list from LDAP is different from current group, applying new configuration.    ..done

Só que os usuários não aparecem, o que poderia ser?

marcelloc

@ilv:

Só que os usuários não aparecem, o que poderia ser?

existem usuarios neste grupo?

voce criou um grupo no squidguard com o mesmo nome do ad?

ilv

existem usuarios neste grupo?

voce criou um grupo no squidguard com o mesmo nome do ad?

Os usuários já estão dentro do grupo

ilv

A versão do Pfsense é a 2.0.2-RELEASE (amd64)

Como está abaixo:

Grupo no AD : L_TI
Grupo no PFsense: L_TI

Existe alguns usuários dentro do grupo, nenhum com acento ou caractere especial, o erro que ocorre é:

Group : L_TI

Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 40
user list from LDAP is different from current group, applying new configuration…done

Se eu coloco uma senha errada no script da a seguinte mensagem:

Group : L_TI

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /root/squidguard_ldap.php on line 56
Could not bind to LDAP[

O script está desta forma :

[code]#!/usr/local/bin/php -f

// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario

AD HOST (required)

$ldap_host = "192.168.0.252";

AD DIRECTORY DN(required)

$ldap_dn = "DC=tots";

BIND USER(required)

$user_bind = "cn=pfsense,cn=Users,DC=tots";

PASSWORD BIND(required)

$password = "coisa";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

####################

End of user options

####################

require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();

function explode_dn($dn, $with_attributes=0)
{
$result = ldap_explode_dn($dn, $with_attributes);
foreach($result as $key => $value) {
$result[$key] = $value;
}
return $result;
}

function get_ldap_members($group,$user,$password) {
global $ldap_host;
global $ldap_dn;
$LDAPFieldsToFind = array("member");
$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

// OPTIONS TO AD
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

$member_list = ldap_get_entries($ldap, $results);
$group_member_details = array();
foreach($member_list[0] as $list)
if (is_array($list))
foreach($list as $member) {
$member_dn = explode_dn($member);
$member_cn = str_replace("CN=","",$member_dn[0]);
$member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")");
$member_details = ldap_get_entries($ldap, $member_search);
$group_member_details[] = array($member_details[0]['samaccountname'][0]);
}
ldap_close($ldap);
array_shift($group_member_details);
return $group_member_details;
ldap_unbind($ldap);
}

// Read Pfsense config
global $config,$g;
$id=0;
$apply_config=0;
if (is_array ($config['installedpackages']['squidguardacl']['config']))
foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
$members="";
echo "Group : " . $group['name']."\n";
$result = get_ldap_members($group['name'],$user_bind,$password);
foreach($result as $key => $value) {
if (preg_match ("/\w+/",$value[0]))
$members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' ";
}
if (!empty($members))
if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
$apply_config++;
}
$id++;
}
if ($apply_config > 0){
print "user list from LDAP is different from current group, applying new configuration…";
write_config();
include("/usr/local/pkg/squidguard.inc");
squidguard_resync();
print "done\n";
}

#mount filesystem read-only
conf_mount_ro();
?>

Desde já agradeço a ajuda!

Capturar4.PNG_thumb

marcelloc

Você pode editar o grupo para ver o conteúdo dos usuários?

ilv

acabei de verificar nas propriedades de cada usuário do grupo para ver se tinha alguma acentuação e não tem.

gilmarcabral

Clica no E na frente do grupo criado no Pfsense e posta o print da tela para nós vermos.
Pois olhando ai a mensagem do script onde ele avisa do Grupo Vendas, e uma aviso que ele tem no AD mas não tem no pfsense.
da um print nas propriedades deste grupo e posta aki para nós.

ilv

Gilmar, obrigado pela atenção, consegui encontrar o problema, me preocupei apenas com os usuários que havia criado, mas quando observei vi o "Admin. de Domínio" assim que removi esse usuário, e executei o script, os usuários apareceram no grupo do PFsense.

Ocorre apenas a mensagem "Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 38
"

Mas os usuários aparecem normalmente. Sabe me dizer se pode acarretar algum problema?

ilv

Tentei agendar através da interface grafica, como o marcelocc mostra na pagina 4, porém ele não executa o script, então estou tentando agendar no cron através do comando, direto no ssh, porém ele me retorna este erro:

/root(17): */5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
*/5: No match.

Alguém já vivenciou isso ?