Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

    Scheduled Pinned Locked Moved Portuguese
    202 Posts 30 Posters 93.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      ilv
      last edited by

      Fiz os testes, utilizei até o script em php, acessando por ssh, e ele me retorna

      [2.0.2-RELEASE][admin@matriz]/root(26): /usr/local/bin/php -q /root/squi    dguard_ldap.php
      Group : L_TI
      
      Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on     line 40
      Group : Vendas
      user list from LDAP is different from current group, applying new configuration.    ..done
      
      

      Só que os usuários não aparecem, o que poderia ser?

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        @ilv:

        Só que os usuários não aparecem, o que poderia ser?

        existem usuarios neste grupo?

        voce criou um grupo no squidguard com o mesmo nome do ad?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • I
          ilv
          last edited by

          existem usuarios neste grupo?

          voce criou um grupo no squidguard com o mesmo nome do ad?

          Os usuários já estão dentro do grupo

          1 Reply Last reply Reply Quote 0
          • I
            ilv
            last edited by

            A versão do Pfsense é a 2.0.2-RELEASE (amd64)

            Como está abaixo:

            Grupo no AD : L_TI
            Grupo no PFsense: L_TI

            Existe alguns usuários dentro do grupo, nenhum com acento ou caractere especial, o erro que ocorre é:

            Group : L_TI

            Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 40
            user list from LDAP is different from current group, applying new configuration…done

            Se eu coloco uma senha errada no script da a seguinte mensagem:

            Group : L_TI

            Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /root/squidguard_ldap.php on line 56
            Could not bind to LDAP[

            O script está desta forma :

            [code]#!/usr/local/bin/php -f

            // based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
            // pfsense integration by marcelloc and ccesario

            AD HOST (required)

            $ldap_host = "192.168.0.252";

            AD DIRECTORY DN(required)

            $ldap_dn = "DC=tots";

            BIND USER(required)

            $user_bind = "cn=pfsense,cn=Users,DC=tots";

            PASSWORD BIND(required)

            $password = "coisa";

            #if you need to apply any prefix or sufix to retreived user
            #example: prefix user with domain(required)
            #$user_mask="DOMAIN\USER";
            $user_mask="USER";

            ####################

            End of user options

            ####################

            require_once("/etc/inc/util.inc");
            require_once("/etc/inc/functions.inc");
            require_once("/etc/inc/pkg-utils.inc");
            require_once("/etc/inc/globals.inc");

            #mount filesystem writable
            conf_mount_rw();

            function explode_dn($dn, $with_attributes=0)
            {
                $result = ldap_explode_dn($dn, $with_attributes);
                foreach($result as $key => $value) {
                    $result[$key] = $value;
                }
                return $result;
            }

            function get_ldap_members($group,$user,$password) {
            global $ldap_host;
            global $ldap_dn;
            $LDAPFieldsToFind = array("member");
            $ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

            // OPTIONS TO AD
            ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
            ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

            ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

            $results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

            $member_list = ldap_get_entries($ldap, $results);
            $group_member_details = array();
            foreach($member_list[0] as $list)
            if (is_array($list))
            foreach($list as $member) {
            $member_dn = explode_dn($member);
            $member_cn = str_replace("CN=","",$member_dn[0]);
            $member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")");
            $member_details = ldap_get_entries($ldap, $member_search);
            $group_member_details[] = array($member_details[0]['samaccountname'][0]);
            }
            ldap_close($ldap);
            array_shift($group_member_details);
            return $group_member_details;
            ldap_unbind($ldap);
            }

            // Read Pfsense config
            global $config,$g;
            $id=0;
            $apply_config=0;
            if (is_array ($config['installedpackages']['squidguardacl']['config']))
            foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
              $members="";
              echo  "Group : " . $group['name']."\n";
              $result = get_ldap_members($group['name'],$user_bind,$password);
              foreach($result as $key => $value) {
                if (preg_match ("/\w+/",$value[0]))
                  $members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' ";
              }
              if (!empty($members))
              if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
              $config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
              $apply_config++;
              }
              $id++;
            }
            if ($apply_config > 0){
            print "user list from LDAP is different from current group, applying new configuration…";
            write_config();
            include("/usr/local/pkg/squidguard.inc");
            squidguard_resync();
            print "done\n";
            }

            #mount filesystem read-only
            conf_mount_ro();
            ?>

            Desde já agradeço a ajuda!

            Capturar4.PNG
            Capturar4.PNG_thumb

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              Você pode editar o grupo para ver o conteúdo dos usuários?

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • I
                ilv
                last edited by

                acabei de verificar nas propriedades de cada usuário do grupo para ver se tinha alguma acentuação e não tem.

                1 Reply Last reply Reply Quote 0
                • G
                  gilmarcabral
                  last edited by

                  Clica no E na frente do grupo criado no Pfsense e posta o print da tela para nós vermos.
                  Pois olhando ai a mensagem do script onde ele avisa do Grupo Vendas, e uma aviso que ele tem no AD mas não tem no pfsense.
                  da um print nas propriedades deste grupo e posta aki para nós.

                  1 Reply Last reply Reply Quote 0
                  • I
                    ilv
                    last edited by

                    Gilmar, obrigado pela atenção, consegui encontrar o problema, me preocupei apenas  com os usuários que havia criado, mas quando observei vi o "Admin. de Domínio" assim que removi esse usuário, e executei o script, os usuários apareceram no grupo do PFsense.

                    Ocorre apenas a mensagem "Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 38
                    "

                    Mas os usuários aparecem normalmente. Sabe me dizer se pode acarretar algum problema?

                    1 Reply Last reply Reply Quote 0
                    • I
                      ilv
                      last edited by

                      Tentei agendar através da interface grafica, como o marcelocc mostra na pagina 4, porém ele não executa o script, então  estou tentando agendar no cron através do comando, direto no ssh, porém ele me retorna este erro:

                      /root(17): */5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
                      */5: No match.

                      Alguém já vivenciou isso ?

                      1 Reply Last reply Reply Quote 0
                      • G
                        gilmarcabral
                        last edited by

                        Sobre esta mensagem ocorre comigo com base openldap.
                        Agora via cron via GUI agendo sem problemas.
                        Fica desta forma abaixo.

                        */06  *  *  *  1-7  root  /home/scripts/squidguard_ldap.php

                        1 Reply Last reply Reply Quote 0
                        • I
                          ilv
                          last edited by

                          @gilmarcabral:

                          Sobre esta mensagem ocorre comigo com base openldap.
                          Agora via cron via GUI agendo sem problemas.
                          Fica desta forma abaixo.

                          */06  *  *  *  1-7  root  /home/scripts/squidguard_ldap.php

                          Ainda continua dando a mensagem de erro:

                          [2.0.2-RELEASE][admin@matriz]/root(26): */06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php
                          */06: No match.

                          1 Reply Last reply Reply Quote 0
                          • G
                            gilmarcabral
                            last edited by

                            Bom dia.
                            Pelo que entendi você esta executando este comando abaixo no terminal.
                            Caso você tiver fazendo isso não ira funcionar pois o console não sabe o que é */06.
                            Se você quiser agendar o serviço para ser executado em 6 em 6 minutos terá que usar a GUI do pfsense na parte do cron.
                            Não precisa você passar o caminho do php.

                            */06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php

                            1 Reply Last reply Reply Quote 0
                            • I
                              ilv
                              last edited by

                              @gilmarcabral:

                              Bom dia.
                              Pelo que entendi você esta executando este comando abaixo no terminal.
                              Caso você tiver fazendo isso não ira funcionar pois o console não sabe o que é */06.
                              Se você quiser agendar o serviço para ser executado em 6 em 6 minutos terá que usar a GUI do pfsense na parte do cron.
                              Não precisa você passar o caminho do php.

                              */06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php

                              Funcionou Gilmar! Obrigado pela ajuda!

                              1 Reply Last reply Reply Quote 0
                              • G
                                gilmarcabral
                                last edited by

                                Que bom.
                                Flw

                                1 Reply Last reply Reply Quote 0
                                • H
                                  helberttavares
                                  last edited by

                                  Bom dia!!

                                  Pessoal, estou com uma duvida tremenda.

                                  Estou tentando executar os passos com o script criado pelo Marcelloc e pelo Ccesario no post http://forum.pfsense.org/index.php/topic,47100.msg248200.html#msg248200

                                  Não entendi em qual pasta o arquivo "squiguard_ldap.php"  deve ficar depois de alterado para as configurações do meu AD.

                                  Fiz os passos abaixo:

                                  1º- Instalar os pacotes "FILER" e "Cron"
                                  3º- Criar no sguidGuard um grupo ex: "Acesso_Full"
                                  4º- Criar no AD Windows um grupo com o mesmo nome
                                  5º- Ir em Diagnostics>Filer  -File: squiguard_ldap.php
                                    -Description: –-
                                    -Permissions: –-
                                    -File Contents: script criado por você (com as informações do meu AD)
                                    -Script: ?
                                    -Execute mode: ?
                                  6º- Ir no Cron e deixar e configurar: */5    *    *    *    *    root    /usr/local/bin/php -q /root/squidguard_ldap.php

                                  Parei aqui…

                                  Se puder esclarecer as minhas duvidas, ficarei muito agradecido.

                                  Helbert Tavares
                                  OTNE - Gestão em TI

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    @helberttavares:

                                    Não entendi em qual pasta o arquivo "squiguard_ldap.php"  deve ficar depois de alterado para as configurações do meu AD.

                                    o 6º passo dá a resposta…  ;) /root/squidguard_ldap.php

                                    Mas é claro que você pode colocar em qualquer outra pasta.
                                    Não recomendo deixar em /usr/local/www uma vez que pode ser chamado via browser.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • H
                                      helberttavares
                                      last edited by

                                      Obrigado Marcelloc!

                                      Deu certo, os usuários membros dos grupos no AD aparecem em Client source no SquidGuard mas os bloqueios/acessos não estão saindo pelas permissões dos grupos mas apenas pelo Common ACL.

                                      O que pode ser?

                                      Helbert Tavares
                                      OTNE - Gestão em TI

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        @helberttavares:

                                        O que pode ser?

                                        Provavelmente seu squid não esta autenticando os usuários.

                                        Já verificou o access.log do squid?

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • H
                                          helberttavares
                                          last edited by

                                          Bom dia!!

                                          Marcelloc, eu estou usando proxy transparente.
                                          Tem algum problema, o script funciona com o squid em modo transparente?

                                          Helbert Tavares
                                          OTNE - Gestão em TI

                                          1 Reply Last reply Reply Quote 0
                                          • marcellocM
                                            marcelloc
                                            last edited by

                                            @helberttavares:

                                            Marcelloc, eu estou usando proxy transparente…

                                            Não vai funcionar, proxy transparente não autentica.

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.