Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)
-
Coloca no seu script esta linha:
var_dump($members);antes da linha:
if (!empty($members))Rode o script na console e veja se ele mostra os usuarios do grupo.
-
Marcelo,
Conseguir visualizar os usuários, estamos analisando se o problema esta no grupo ou em algum usuário desse grupo, assim que resolver posto o resultado.
Obrigado
-
Conseguir visualizar os usuários, estamos analisando se o problema esta no grupo ou em algum usuário desse grupo, assim que resolver posto o resultado.
Acentos e caracteres especiais dão problema com certeza.
ps:
Tente reduzir seus posts, fica difícil encontrar a informação que você incluiu. -
Marcelo,
Fiz um teste com 1800 usuarios em um grupo e rodei o script, o mesmo importou apenas 1500, usuários,
será que não tem algum bug no script que limita essa importação? estou debugando o maximo, pois tenho grupos,
Com 3000 usuarios não conheço nada de php, mas estou passando o feedback dos possiveis problemas encontrado.
para ajudar nas possiveis correções do mesmo.Obrigado desde já.
-
Marcelo,
Fiz um teste com 1800 usuarios em um grupo e rodei o script, o mesmo importou apenas 1500, usuários,
será que não tem algum bug no script que limita essa importação? estou debugando o maximo, pois tenho grupos,
Com 3000 usuarios não conheço nada de php, mas estou passando o feedback dos possiveis problemas encontrado.
para ajudar nas possiveis correções do mesmo.Obrigado desde já.
O patch que fiz para o squidguard que faz consulta direto no servidor ldap não serve para o teu caso ?
http://forum.pfsense.org/index.php/topic,59242.0.html
-
Marcelo,
Fiz um teste com 1800 usuarios em um grupo e rodei o script, o mesmo importou apenas 1500, usuários,
será que não tem algum bug no script que limita essa importação? estou debugando o maximo, pois tenho grupos,
Com 3000 usuarios não conheço nada de php, mas estou passando o feedback dos possiveis problemas encontrado.
para ajudar nas possiveis correções do mesmo.Obrigado desde já.
O patch que fiz para o squidguard que faz consulta direto no servidor ldap não serve para o teu caso ?
http://forum.pfsense.org/index.php/topic,59242.0.html
Luiz, Obrigado pelo retorno, então eu ate instalei o patch que vc desenvolveu, mas o mesmo não funcionou.
Os usuarios autenticão mas não entra na politica de bloqueio do squidguard por grupo utilizando o seu patch.
deixando os usuarios com navegação full, houve alguma correção? poderia me ajudar com essas configurações.Obrigado.
-
Marcelo,
Fiz um teste com 1800 usuarios em um grupo e rodei o script, o mesmo importou apenas 1500, usuários,
será que não tem algum bug no script que limita essa importação? estou debugando o maximo, pois tenho grupos,
Com 3000 usuarios não conheço nada de php, mas estou passando o feedback dos possiveis problemas encontrado.
para ajudar nas possiveis correções do mesmo.Obrigado desde já.
O patch que fiz para o squidguard que faz consulta direto no servidor ldap não serve para o teu caso ?
http://forum.pfsense.org/index.php/topic,59242.0.html
Luiz, Obrigado pelo retorno, então eu ate instalei o patch que vc desenvolveu, mas o mesmo não funcionou.
Os usuarios autenticão mas não entra na politica de bloqueio do squidguard por grupo utilizando o seu patch.
deixando os usuarios com navegação full, houve alguma correção? poderia me ajudar com essas configurações.Obrigado.
Luiz, Boa tarde
Fiz os teste om o seu patch e aparentemente esta funcionando, conseguir fazer fuincionar com a seguinte.
ldapusersearch ldap://domain.com.br:3268/DC=domain,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)
(memberOf=CN=web_lib_dir%2cCN=Users%2cDC=domain%2cDC=com%2cDC=br))Só não funciona quando o grupo faz parte de uma OU especifica tipo (AcessoWeb) vc conseguiu fazer esse teste.
Abs
-
Boa Tarde Pessoal.
Estou tentando configurar esse script https://github.com/ccesario/public/blob/master/squiguard_ldap.php mas devo estar esquecendo de algo e preciso de uma ajuda de vocês.
Tenho 3 grupos criados no ad, e criei esses 3 grupos também no squidguard.
No cenário atual , eu já consigo usar os usuarios do AD para navegar no proxy, ele até bloqueia normalmente.
Copiei o conteudo do script e fiz ele no filer. Mas quando tento executar o script ele retorna erro: On input file specified. Estou executando alguma coisa errada?obrigado e no aguardo.
-
Copiei o conteudo do script e fiz ele no filer. Mas quando tento executar o script ele retorna erro: On input file specified. Estou executando alguma coisa errada?
Executou por onde? na console/ssh?
-
Opa, "tentei" executar no ssh. Não sei se estou tentando executar de forma erronea.
-
Opa, "tentei" executar no ssh. Não sei se estou tentando executar de forma erronea.
cola aqui o comando e o resultado.
-
Segue.
-
Aparentemente você não salvou o script em /root/squiguard_ldap.php
-
Pensei que fosse algo do genero tbm, mas ele existe no local indicado sim.
-
Pensei que fosse algo do genero tbm, mas ele existe no local indicado sim.
Olá, alguém tem alguma dica do que fazer ?? Obrigado.
-
Boa tarde!
Estou implementando a função de importação de usuário por grupos do AD e ainda não acertei!
Tenho a versão nova do SquidGuard que já possui o patch.
Efetuei os seguintes passos:
1º em LDAP Optios
- habilitei o LDAP Filter- Em LDAP DN : cn=squid,cn=Users,dc=mydomain,dc=local
- Em LDAP Version : Version3
2º Em Groups ACL
Criei um group com nome de Users
Em Client Source passei o seguinte parametro: ldapusersearch ldap://10.10.20.11/DC=mydomain,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=mydomain%2cDC=local))Para efeito de teste neguei todo acesso para esta ACL…!all
Quando vou na estação e abro o navegador ele pede o usuário e senha....autentica normal mas não bloquei nada.
Alguma dica de onde posso estar errando?
-
@edge540:
Boa tarde!
Estou implementando a função de importação de usuário por grupos do AD e ainda não acertei!
Não entendi a questão de importação de usuários. Qual outro procedimento usou para a configuração acima ?
-
Desculpa a falta de conhecimento…é que estou aprendendo!
Quando me escrevi importação dos usuários queria me referir ao PFSENSE consultar os usuário em detrerminado grupo no AD.
Inserindo manualmente cada usuário em groupACL ja tenho funcionando..quero que ele faça esta busca automaticamente....
Entendi "talvez equivocadamente" que esta configuração faz essa consulta no ad: ldapusersearch ldap://10.10.20.11/DC=mydomain,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=mydomain%2cDC=local))
-
verifique a senha usada para a autenticação ldap. Normalmente é isso, infelizmente o parse da senha é bem restrito, veja o comentário na propria caixa de senha do formulário.
Procure também observar o log, se quiser ter um melhor parametro sobre o que acontece no squidguard, coloque a opção '-g' na linha de comando na caixa custom da configuração do Squid:
 -
verifique a senha usada para a autenticação ldap. Normalmente é isso, infelizmente o parse da senha é bem restrito, veja o comentário na propria caixa de senha do formulário.
Procure também observar o log, se quiser ter um melhor parametro sobre o que acontece no squidguard, coloque a opção '-g' na linha de comando na caixa custom da configuração do Squid:
Gustavo…
Não sei se é assim mesmo que funciona.....mas gostaria de confirmar...
No SquidGuard>General Settings>LDAP Options.....assim que eu marco a caixa Enable LDAP Filter mesmo sem configurar o LDAP DN e senha, as estações conseguem navegar......pede autenticação mas não entra nas ACL´s Group....nem na nova onde estou tentando configurar a busca dos usuarios no AD nem na antiga onde os usuários estão inseridos manualmente...Com relação as suas dicas....vou verificar!
