Autenticação "transparente" com pfsense + squid + active directory
-
Marcello, obrigado pela ajuda.
Comecei do zero e passei daquele ponto.
Agora estou com problema ao ingressar no domínio utilizando o net ads e recebo o seguinte erro:Host is not configured as a member server.
Invalid configuration. Exiting….
Failed to join domain: This operation is only allowed for the PDC of the domain.Como contorno isso?
Obrigado mais uma vez. -
Segui o tutorial e todas as dicas dos amigos e consegui realizar a autenticação mostrada aqui…
No entanto não consegui fazer com que no pacote "Lightsquid" fosse mostrado o nome dos usuários logados nos logs, só mostra o endereço IP do mesmo.
Será que há como fazer com que o Lightsquid entenda/descubra esses IPs também?
Obs: No Lightsquid ele dá algumas opções para resolver as informações que ele vai mostrar nos logs:
IP - return IP
Demo - return AUTHNAME, else DNSNAME, else IP
DNS - return DNSNAME
Simple - return AUTHNAME else IP
SMB - return SMB name of pc
Squidauth - return AUTHNAME else IP, allow cyrilyc nameOs que estão em vermelho eu tentei…
-
Os que estão em vermelho eu tentei…
Viu se no log do squid aparece o usuário autenticado?
Já tentou o sarg????
-
Olá sou novo por aqui mas vamos lá..
Fiz as configurações conforme manda o tutorial, consegui executar o kinit para ingressa-lo no dominio.. tudo certinho…
mas como o comando "wbinfo -t" ele me retorna esse erro abaixo:could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the trust secret for domain (null) via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secrettrabalho parado até aqui.....
-
um tutorial detalhado em inglês a partir deste tópico
http://forum.pfsense.org/index.php/topic,58700.0.html
contribuição: wheelz
-
Olá pessoal,
Alguém criou o procedimento completo no site?
[]'s
-
Alguém criou o procedimento completo no site?
Você diz se alguém tem isso funcionando?
Se for essa a pergunta, respondo que sim, eu tenho. :)
-
Desculpe te incomodar, mas fiz todos os passos daquele tutorial gringo que foi feito junto com o seu e tive algumas duvidas que não vi respondidas no fórum, o Meu squid não funciona, somente o dansguardian e mesmo assim não aceita as filtragens por grupos do AD, um detalhe é que os comandos para os testes retornam sem erro! não sei o que estou fazendo de errado! já estou ficando maluco!
Pode me dizer se nessa configuração o squid realmente não faz nada além de ajudar na autenticação, ou fiz algum besteira? eu já refiz essa configuração 3x, já estou quase desistindo. -
Olá!
cheguei até o mesmo ponto do rafarfc2…tudo rodou certinho....o wbinfo -u lista os usuários do AD....até aqui tudo certo! agora acho que parei na parte dos detalhes!
Para teste desabilitei o SquidGuard...assim validar autenticação direta e a passagem pelo Squid puro...
Fiz a alteração no Windows 7 para autenticação ntlm....A primeira dúvida é como tem que ficar a parte de autenticação do squid no gui....antes estava usando LDAP version 3.... mudei para ntlm e coloquei o ip do servidor em authentication server...esta correto?
loguei em uma estação com o proxy setado....quando abro o navegador ela demora um pouco e apresenta a mensagem que não foi possível conectar ao servidor proxy....
Alguem tem idéia de que pode ser?
-
Pode desconsiderar o post anterior….
Funcionou aqui!....bobeira minha!!
100% agora!
-
Dando continuidade na questão!!!! rs
Tenho um PFSense 32bit em que esta acontecendo o seguinte:
Quando executo kinit administrator@MYDOMAIN.LOCAL…coloco a senha e autentica normal...
quando vou para o próximo passo: net ads join -U administrator@MYDOMAIN.LOCAL ele apresenta a seguinte linha de erro...
/libexec/ld-elf.so.1: Shared object "libtalloc.so.2" not found, required by "net"
Em outros 2 servidores funcionou tudo normal…só este que enroscou!
Alguém sabe o que pode ser?
Já removi e reinstalei todos os pacotes para ver se resolvia....mas não!
-
Caros,
Tenho um ambiente funcionando com autenticação transparente, em um dominio samba4, via ntlm com ssl.
Meus problemas são quando um usuário ou computador fora do domínio tenta acessar via pop-up, e não autentica. O mesmo ocorre com a VPN, não autentica via pop-up.
Segue abaixo a configuração utilizada.
auth_param ntlm program /usr/local/bin/ntlm_auth –use-cached-creds --domain=GERLAB --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm credentialsttl 4 hours
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Gerlab
auth_param basic credentialsttl 4 hours
acl password proxy_auth REQUIRED
always_direct allow all
ssl_bump server-first allOutro é que gostaria de tentar a autenticação via kerberos, com o negotiate, mas não consegui/entendi criar a keytab para o squid autenticar-se via kerberos no AD.
-
Olá pessoal,
Alguém publicou o tutorial completo sobre o assunto?
Tenho pfSense 2.1.3 + squid3-dev + squidguard3 + WS2008R2 e gostaria de realizar a implantação da authent modo transparente.
-
Olá a todos,
Essa documentação cairia muito bem,
Eu já tenho um laboratório com pfSense 2.1.3 + squid3-dev + squidguard3, autenticando no windows (AD) em modo transparente então seria perfeito.Abraços a todos.
-
Olá Márcio,
Estou pesquisando em vários foruns, mas não encontrei nenhum tutorial completo.
-
Olá Márcio,
Estou pesquisando em vários foruns, mas não encontrei nenhum tutorial completo.
Tópico sobre o Samba 3 e 4 com NTLM(Autenticação transparente): https://forum.pfsense.org/index.php?topic=59311.0
Tópico sobre instalação do Samba no PFSense 2.0.1 a 2.0.3: https://forum.pfsense.org/index.php?topic=78081.msg425764#msg425764
-
Olá LFCavalcanti,
Obrigado pelos links, eu venho acompanhando há um tempo sobre o assunto, pois precisaria implantar no meu ambiente.
Sobre o tutorial completo me refiro aqueles que são publicados no pfsense.org ou outro fórum, passo a passo, telas de configuração.
Várias pessoas se prontificaram em publicar, mas não encontrei nada. Vou juntar todas as informações, implantar. Quando finalizar publicarei no pfsense.org.
Ambiente:
pfSense 2.1.3 32bits
WS2008R2
Squid3-dev 3.3.10 pkg 2.2.6
Squidguard-Squid3 1.4_4 pkg v1.9.5 -
Olá!
Você não vai conseguir publicar no pfsense.org porque esse pacote não faz parte da arvore de pacotes oficiais do PFSense ainda.
São dois problemas, um é essa briga que a ESF comprou com os mantenedores de pacote tirando o Repo Tools do ar e exigindo uma licença, além de ter mudado a própria licença do PFSense, outro é que membros do time deles, como o Jimp, são contra uso de Samba no PFSense.
-
Humm, pensei que eram todos "irmãos". srsrsr
Obrigado pela informação Luiz.
-
Humm, pensei que eram todos "irmãos". srsrsr
Obrigado pela informação Luiz.
Mas são, o problema é que com a saida da BSD Perimeter e a entrada da ESF, as coisas estão nebulosas.
De uma lida nos tópicos dessa sessão: https://forum.pfsense.org/index.php?board=59.0
