[MERGED] SquidGuard + Ldap (AD) (Patch - Updated)
-
Então galera, fiz uma atualização no meu patch para filtragem por ldap usando o parâmetro ldapsearch, dessa vez fiz uma serie de modificações, agora o squidguard pode também filtrar quando o usuário vem de uma autenticação ntlm (Já tenho o samba4 integrado no pfsense, ou seja, um pfsense servindo Active Directory !!! to preparando o pacote, por enquanto, se quiser mais informações sobre o pfsense como AD, entre em contato em pvt).
Vamos lá, como implementar:
1. Instale os pacotes do squid2 e do squidguard, configure a autenticação via LDAP ou AD (tem vários tutoriais aqui)
2. Faça o download do script de atualização e patch do squidguard:
Vá em Diagnostics > command prompt e cole a linha abaixo:
amd64
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap.sh | shi386
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | shJunto vai ser atualizado o pacote do squidguard com uma implementação para conexões oriundas de autenticação por ntlm, originalmente o squidguard se perdia com uma string "DOMINIO\usuario", nessa versão isso é implementado através de 2 opções listadas abaixo
Assim que executar, vai aparecer as opções abaixo na configuração do squidguard:
3. Configure as opções LDAP:
- Configure o seu Ldap DN e senha (igual ao do squid)
- Senha (Veja que não pode começar com números)
- Se você estiver utilizando ntlm, marque a opção "Strip NT domain name"
4. Crie uma ACL (Group Source) usando uma sintaxe LDAP, o exemplo abaixo vai verificar se o usuário esta no grupo "internet" do AD:
Se tiver dúvidas e precisar de consultoria na implementação dessas opções e se precisar implementar um servidor de Active Directory no pfsense (ou na sua rede), entre em contato (em PVT) comigo. (gugabsd@mundounix.com.br)
Vou atualizando conforme eu tiver tempo.
Abraços
EDIT: este código já faz parte do pacote squidguard. Não ha mais a necessidade de aplicar um patch.
-
Valeu Luiz Gustavo, excelente atualização. :)
Vou incluir nos tutoriais.
-
Valeu Luiz Gustavo, excelente atualização. :)
Vou incluir nos tutoriais.
thanks… vem mais novidades por ai ;)
-
Luiz,
Parabéns pelo trabalho e pela publicação do patch!
Com este tipo de implementação (Samba4), para cenários pequenos, o pfSense acaba sendo uma opção para se tornar o "servidor da rede" - mais que um UTM - Mesmo, particularmente, desaconselhando este tipo de abordagem por default (misturar soluções de borda com soluções de core).
No entanto, para cenários menores, desde que bem configurado (ouvindo as interfaces certas, isolando perímetros, segmentando as redes) e, bem dimensionado (hardware coeso), pode ser uma excelente alternativa ter todos os serviços importantes de rede num mesmo "Box".
Parabéns novamente Luiz! ;)
Abraços!
Jack -
Com este tipo de implementação (Samba4), para cenários pequenos, o pfSense acaba sendo uma opção para se tornar o "servidor da rede" - mais que um UTM - Mesmo, particularmente, desaconselhando este tipo de abordagem por default (misturar soluções de borda com soluções de core).
No entanto, para cenários menores, desde que bem configurado (ouvindo as interfaces certas, isolando perímetros, segmentando as redes) e, bem dimensionado (hardware coeso), pode ser uma excelente alternativa ter todos os serviços importantes de rede num mesmo "Box".
Jack
Complementando…
Com a vinda do Samba4 e a oportunidade de ter um Active Directory
sem o ônus do licenciamento, abre mercado para as pequenas redes.Escritórios com até 20 maquinas, agora podem usufruir das vantagens de
ter o AD na rede. -
Escritórios com até 20 maquinas, agora podem usufruir das vantagens de ter o AD na rede.
Simplesmente excelente :)
-
Eu atualizei o patch para adicionar uma opção para ligar/desligar as opções de filtro LDAP:
-
Luiz não me bota de castigo pela pergunta que possivelmente ja darei a resposta.
No seu post la em cima em negrito esta marcando que funciona apenas em "*** Por enquanto só funciona em 64bit (amd64) e pfsense 2.0.2**"
Porem eu fiz no meu i386 2.0.2 ..
Parou de navegar.Eu praticamente sabia que colocar o dedo na tomada ia tomar choque! e mesmo assim fui la e coloquei… é mais ou menos isso que eu fiz né.. rs ::)
Ou funciona?
Abraços e parabens pela sua solução. ;D -
Luiz não me bota de castigo pela pergunta que possivelmente ja darei a resposta.
No seu post la em cima em negrito esta marcando que funciona apenas em "*** Por enquanto só funciona em 64bit (amd64) e pfsense 2.0.2**"
Porem eu fiz no meu i386 2.0.2 ..
Parou de navegar.Eu praticamente sabia que colocar o dedo na tomada ia tomar choque! e mesmo assim fui la e coloquei… é mais ou menos isso que eu fiz né.. rs ::)
Ou funciona?
Abraços e parabens pela sua solução. ;DProvalmente o pacote que ele compilou é destinado a interagir com o Kernel em 64Bits.
-
Ou funciona?
Não funciona.
Se você tentar executar na console vai dar um monte de pau de libs.
-
Olá Amigo, Bom dia!
Essa implementação funciona no squid3 + squidguard?
abraços,
-
Bom dia,
Estou iniciando no mundo do pfsense, para começar resolvi configurar um proxy com as caracteristicas do tópico (squid + squidguard autenticando no AD e filtrando por grupos), fiz a instalação do squid, coloquei o mesmo para autenticar no AD, fiz a instalação do squidguard, apliquei o último patch, fiz as configurações como o exemplo, o navegador pede a autenticação, mas não rola, aparece a mensagem abaixo:
Request denied by pfSense proxy: 403 Forbidden
Reason: Client address: 192.168.0.133
Client user: meu.usuario
Client group: default
Target group: none
URL: http://www.google.com.br/No log a mensagem de erro é:
Added LDAP source: meu.usuario
squidGuard): ldap_simple_bind_s failed: Invalid credentialsAlguem poderia me dar alguma luz?
-
Bom dia,
Estou iniciando no mundo do pfsense, para começar resolvi configurar um proxy com as caracteristicas do tópico (squid + squidguard autenticando no AD e filtrando por grupos), fiz a instalação do squid, coloquei o mesmo para autenticar no AD, fiz a instalação do squidguard, apliquei o último patch, fiz as configurações como o exemplo, o navegador pede a autenticação, mas não rola, aparece a mensagem abaixo:
Request denied by pfSense proxy: 403 Forbidden
Reason: Client address: 192.168.0.133
Client user: meu.usuario
Client group: default
Target group: none
URL: http://www.google.com.br/No log a mensagem de erro é:
Added LDAP source: meu.usuario
squidGuard): ldap_simple_bind_s failed: Invalid credentialsAlguem poderia me dar alguma luz?
Muito provavelmente o usuário que você especificou para fazer search na base ldap não tem permissão para tal ou esta com senha incorreta.
-
Olá Pessoal,
Estou com o mesmo erro que o nosso amigo,
10.04.2013 10:37:32 Added LDAP source: diego
10.04.2013 10:37:32 (squidGuard): ldap_simple_bind_s failed: Invalid credentialsSó que o usuário que está configurado para acessar a base Ldap é administrador, tem todo o acesso.
Será que não estou errando na hora de configurar o client source no grupo de Acls?
Olha como estou fazendo..
ldapusersearch ldap://192.168.0.2/dc=meudominio,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=Cn=Int-Liberada%2cOU=Empresa%2cOU=Usuarios%2cDC=meudominio%2cdc=com%2cdc=br));
No meu active directory, criei uma unidade organizacional com o nome da empresa e outra dentro dessa com o nome de Usuários ai nela ficam todos os usuários.
Para bloquear a internet criei 2 grupos fora dessas pastas Int-liberada e Int-Bloqueada.
Outra duvida, se eu marcar aquela opção Strip Keberos Realm, consigo modificar as 2 GPOS abaixo para requerer assinatura no controlador de domínio? A única forma que consegui conectar com meu servidor de domínio utilizando o squid3+squidguard foi desabilitando essas GPOS.
Controlador de Dominio: Requisitos de Assinatura Servidor LDAP
Membro de Dominio: Requisitos de Assinatura Cliente LDAPObrigado
Abraços,
DIEGO
-
Pessoal, estou com uma dúvida básica mas que não estou entendo como resolver.
No meu LDAP só tenho um grupo, como eu libero apenas pessoas específicas no squidguard usando este patch?
Pelo que entendi, ele busca os usuários em um grupo, mas eu quero liberar somente pessoas específicas dentro do grupo. -
Pessoal, estou com uma dúvida básica mas que não estou entendo como resolver.
No meu LDAP só tenho um grupo, como eu libero apenas pessoas específicas no squidguard usando este patch?
Pelo que entendi, ele busca os usuários em um grupo, mas eu quero liberar somente pessoas específicas dentro do grupo.A quem interessar possa, resolvi meu problema com um paliativo.
Eu criei um grupo dentro da minha OU para usuários que teriam acesso livre, mas não funcionou. Então eu adicionei à estes usuários um atributo novo, no caso eu usei o pkiUser. A minha consulta ficou:ldapusersearch ldap://meuldapserver/ou=people,dc=domain,dc=com,dc=br?Uid?sub?(&(objectclass=pkiUser)(Uid=%s))
-
Boa tarde à todos!
Por favor amigos! Preciso de uma indicação de vocês!!!
Fiz a sincronização LDAP do Pfsense com o Windows 2008 R2 sem problemas, porém os grupos fiz com as ACL's no squid.conf desta forma:
grp_total => Acesso TOTAL
grp_geral => Acesso GERAL
grp_restrito => Acesso RESTRITOE funciona muito bem! O que eu preciso agora é criar os mesmos grupos, seguindo o mesmo método (com os mesmos nomes ou não) só que usando os grupos do AD DS;
Como eu poderia fazer ? Squidguard seria uma boa saída ? Qual seria a melhor solução ? E alguém poderia postar alguma configuração parecida ou algum tutorial funcional ? Segui vários e não tive sucesso!!!
Muito obrigado à todos!
MendaxCN
-
Já tentou o patch do Luis Gustavo ou o que eu e o ccesario fizemos?
-
Versão i386 do squidguard alterado disponivel.
Linha do script:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | shAbraços
-
Versão i386 do squidguard alterado disponivel.
Luiz Gustavo,
Tomei a liberdade de atualizar o primeiro post com este link.Qualquer outra atualização que quiser publicar lá, basta me avisar.
att,
Marcello Coutinho
