Autenticação "transparente" com pfsense + squid + active directory
-
ubezerra,
Bem vindo ao fórum! :)
Ao testar o wbinfo -u -t -g ele apresenta o erro que o domínio winbind não foi encontrado.
No arquivo de inicialização do samba, troque todos os NO por YES e tente denovo.
O winbind provavelmente não está subindoatt,
Marcello Coutinho -
Caros,
Me basta agora montar um documento mostrando os passos para o meu sucesso. Agradeço as informações de todos nesse post.
Minha solução foi checar o serviço do samba em /usr/local/etc/rc.d/samba para iniciar todos os serviços. Porém sem prestar atenção ao SMB.conf personalizado, o winbind não inicia. Precisei efetuar a alteração de dns no krb5.conf para que ele efetuasse a busca pelo dns na seção de kdc.Em minha solução adotei
VM com Windows 2008 R2 e AD 2008 R2
VM pfsense 2.0.1
Squidguard 1.4 e squid 2.7.9Vou agora realizar os testes com a versão estável, sem vários pacotes instalados no meio do caminho.
Estou com uma dúvida justamente nesse squid, queria por o 3, mas com o squidguard. é possível, desde que com a gui de configuração?
-
Estou com uma dúvida justamente nesse squid, queria por o 3, mas com o squidguard. é possível, desde que com a gui de configuração?
Sim, basta instalar o squid3 por último.
-
marcelloc boa tarde.
Tenho o Squid + NTLM + AD no proxy atual (CentOS).
Estou com dificuldade em algum ponto do seu tutorial.
Estou migrando o meu servidor para o pfSense, parei na etapa de ingressar o pfSense no AD, mas recebo a seguinte mensagem:[2.0.1-RELEASE][admin@meudominio]/usr/local/etc(42): net ads -u meuusuario@MEUDOMINIO
/libexec/ld-elf.so.1: /usr/local/lib/libiconv.so.3: unsupported file layoutSerá que você poderia me ajudar?
Obrigado. -
Será que você poderia me ajudar?
mzambretti, bem vindo ao fórum! :)
Aparentemente seu erro está na instalação de pacotes de outra arquitetura, por exemplo pacotes i386 no pfsense amd64.
att,
Marcello Coutinho -
Marcello, obrigado pela ajuda.
Comecei do zero e passei daquele ponto.
Agora estou com problema ao ingressar no domínio utilizando o net ads e recebo o seguinte erro:Host is not configured as a member server.
Invalid configuration. Exiting….
Failed to join domain: This operation is only allowed for the PDC of the domain.Como contorno isso?
Obrigado mais uma vez. -
Segui o tutorial e todas as dicas dos amigos e consegui realizar a autenticação mostrada aqui…
No entanto não consegui fazer com que no pacote "Lightsquid" fosse mostrado o nome dos usuários logados nos logs, só mostra o endereço IP do mesmo.
Será que há como fazer com que o Lightsquid entenda/descubra esses IPs também?
Obs: No Lightsquid ele dá algumas opções para resolver as informações que ele vai mostrar nos logs:
IP - return IP
Demo - return AUTHNAME, else DNSNAME, else IP
DNS - return DNSNAME
Simple - return AUTHNAME else IP
SMB - return SMB name of pc
Squidauth - return AUTHNAME else IP, allow cyrilyc nameOs que estão em vermelho eu tentei…
-
Os que estão em vermelho eu tentei…
Viu se no log do squid aparece o usuário autenticado?
Já tentou o sarg????
-
Olá sou novo por aqui mas vamos lá..
Fiz as configurações conforme manda o tutorial, consegui executar o kinit para ingressa-lo no dominio.. tudo certinho…
mas como o comando "wbinfo -t" ele me retorna esse erro abaixo:could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the trust secret for domain (null) via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secrettrabalho parado até aqui.....
-
um tutorial detalhado em inglês a partir deste tópico
http://forum.pfsense.org/index.php/topic,58700.0.html
contribuição: wheelz
-
Olá pessoal,
Alguém criou o procedimento completo no site?
[]'s
-
Alguém criou o procedimento completo no site?
Você diz se alguém tem isso funcionando?
Se for essa a pergunta, respondo que sim, eu tenho. :)
-
Desculpe te incomodar, mas fiz todos os passos daquele tutorial gringo que foi feito junto com o seu e tive algumas duvidas que não vi respondidas no fórum, o Meu squid não funciona, somente o dansguardian e mesmo assim não aceita as filtragens por grupos do AD, um detalhe é que os comandos para os testes retornam sem erro! não sei o que estou fazendo de errado! já estou ficando maluco!
Pode me dizer se nessa configuração o squid realmente não faz nada além de ajudar na autenticação, ou fiz algum besteira? eu já refiz essa configuração 3x, já estou quase desistindo. -
Olá!
cheguei até o mesmo ponto do rafarfc2…tudo rodou certinho....o wbinfo -u lista os usuários do AD....até aqui tudo certo! agora acho que parei na parte dos detalhes!
Para teste desabilitei o SquidGuard...assim validar autenticação direta e a passagem pelo Squid puro...
Fiz a alteração no Windows 7 para autenticação ntlm....A primeira dúvida é como tem que ficar a parte de autenticação do squid no gui....antes estava usando LDAP version 3.... mudei para ntlm e coloquei o ip do servidor em authentication server...esta correto?
loguei em uma estação com o proxy setado....quando abro o navegador ela demora um pouco e apresenta a mensagem que não foi possível conectar ao servidor proxy....
Alguem tem idéia de que pode ser?
-
Pode desconsiderar o post anterior….
Funcionou aqui!....bobeira minha!!
100% agora!
-
Dando continuidade na questão!!!! rs
Tenho um PFSense 32bit em que esta acontecendo o seguinte:
Quando executo kinit administrator@MYDOMAIN.LOCAL…coloco a senha e autentica normal...
quando vou para o próximo passo: net ads join -U administrator@MYDOMAIN.LOCAL ele apresenta a seguinte linha de erro...
/libexec/ld-elf.so.1: Shared object "libtalloc.so.2" not found, required by "net"
Em outros 2 servidores funcionou tudo normal…só este que enroscou!
Alguém sabe o que pode ser?
Já removi e reinstalei todos os pacotes para ver se resolvia....mas não!
-
Caros,
Tenho um ambiente funcionando com autenticação transparente, em um dominio samba4, via ntlm com ssl.
Meus problemas são quando um usuário ou computador fora do domínio tenta acessar via pop-up, e não autentica. O mesmo ocorre com a VPN, não autentica via pop-up.
Segue abaixo a configuração utilizada.
auth_param ntlm program /usr/local/bin/ntlm_auth –use-cached-creds --domain=GERLAB --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm credentialsttl 4 hours
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Gerlab
auth_param basic credentialsttl 4 hours
acl password proxy_auth REQUIRED
always_direct allow all
ssl_bump server-first allOutro é que gostaria de tentar a autenticação via kerberos, com o negotiate, mas não consegui/entendi criar a keytab para o squid autenticar-se via kerberos no AD.
-
Olá pessoal,
Alguém publicou o tutorial completo sobre o assunto?
Tenho pfSense 2.1.3 + squid3-dev + squidguard3 + WS2008R2 e gostaria de realizar a implantação da authent modo transparente.
-
Olá a todos,
Essa documentação cairia muito bem,
Eu já tenho um laboratório com pfSense 2.1.3 + squid3-dev + squidguard3, autenticando no windows (AD) em modo transparente então seria perfeito.Abraços a todos.
-
Olá Márcio,
Estou pesquisando em vários foruns, mas não encontrei nenhum tutorial completo.
