Dúvida quanto a configurações AD 2008 R2 + PfSense
-
Alguém para me ajudar???
Se tiver pelo menos um link já de grande ajuda.
Obrigado
-
Olá marochavieira,
Eu estou com o mesmo ambiente, mas a autenticação via AD está funcionando corretamente. Está uma beleza! Também pretendo fazer uma autenticação transparente e já agradeço pelo link do tópico.
O meu teste foi bem "rústico", abri um navegador, configurei o proxy e tentei logar com alguns usuários de grupos diferentes. Deu certinho, coloquei todos do setor da informática no proxy e tá todo mundo usando de boa. O próximo passo é estender para outros setores, mas antes preciso configurar a autenticação transparente.
Enfim, tente testar mais ou menos como eu fiz, foi um parâmetro bom e pude confirmar a funcionalidade da configuração.
-
Nos tutoriais tem um tópico pra configuração do proxy transparente (NTLM) no AD http://forum.pfsense.org/index.php/topic,58700.msg314806.html#msg314806
-
Tem esse tópico que é em português:
https://forum.pfsense.org/index.php/topic,66674.0.htmlSegui ele e aqui tá funcionando bem! :)
-
Eu segui alguns desses tutoriais, instalei os complementos mas não deu certo. Vou testar o tutorial que o neo_X informou, vou fazer um servidor hoje a noite. Informo mais a noite do resultado.
-
Nobres, boa tarde! Não sei se teria local melhor mas gostaria de compartilhar alguns problemas que tive e que podem ser comuns à vocês. Minha intenção é reunir informações para facilitar a pesquisa de todos que passam por problemas que acreditam não existam e que só podem acontecer só com eles. Se estiver falando alguma bobagem, peço que me corrijam.
Minha estrutura:
Servidores Windows 2012 R2
Server01 - AD, DNS
Server02 - AD, DNS, DHCP
PFSense 2.1 64 bitsApós seguir todas as dicas do fórum, consultar documentações do produto cheguei a alguns pontos que podem fazer com que não seja possível implementar a solução básica: Squid, SquidGuard, LightSquid > Ldap Windows 2012 R2 ou 2008 R2 para frente.
Utilizei uma ferramenta para debugar os erros de conexão de um ambiente Linux com o Ldap do Windows.
- Apache Directory Studio
Verificação no Servidor Windows:
AD 2012
O Windows exige um nível de segurança que demanda que seja gerado/instalado certifcado dos servers em ambos (Windows e PfSense), de imediato apenas vou baixar essa exigência de segurança (só achei meios alterando diretamente no registro), alterando o valor para 1.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"ldapserverintegrity"=dword:00000001Verificação no PFSense:
PfSense 2.1 64bits
Um dos pontos de erro entre a comunicação era devido à diferença entre o horário do servidor Windows e PFsense, foi necessário utilizar um outro servidor NTP no PFSense:
NTP Server: a.st1.ntp.br
Configurações no Squid
Squid3
User DN: CN="usuário do ad",OU="Unidade Organizacional do usuário",OU="Unidade Organizacional do usuário",DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"- consultar servidor AD (dsquery user -name "nome do usuário") a chave que é passada é aceita perfeitamente na config de comunicação do Squid ou mesmo geral do PFSense
Base DN: DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"
DN Attribute: uid
LDAP Search Filter: sAMAccountName=%sPor fim, após nova tentativa para instalar e verificar se era isso mesmo, foi necessário instalar o Squid por último, para que tudo funcionasse de acordo com o esperado.
Instalar na ordem:
LighSquid - Gerenciador de ralatório
SquidGuard - Filtro de Proxy
Squid - ProxyVersões dos pacotes PfSense:
LIGHTSQUID - Beta 1.8.2 pkg v.2.33 platform: 2.0
SQUIDGUARD - 1.4_4 pkg v.1.9.5 platform: 2.1
SQUID3 - beta 3.1.20 pkg 2.0.6 platform: 2.0Um abraço.
-
Legal rmelilloii!
Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2. Assim, se você instalar o Squid3 e depois o SquidGuard vai rolar um downgrade.
Posso estar falando besteira, mas acredito nisso :P -
Obrigado rmelilloii. Será que para o Windows 2003 server tenho que mudar algo? … Sabe?
-
Pois é Zilmar, eu acho que tem algo tb parecido com isso, mas sempre que instalo algum pacote pela interface gráfica tento ver o que mais ele instala, nesse caso, não achei nada ¬¬.. Mas funciona dessa maneira parei de esquentar com isso :)
Sobre o Windows 2003 ele não tem por padrão nenhuma limitação quanto à segurança da comunicação com o LDAP, acredito que com o Squid3 funcionaria sem problemas apenas verificando o servidor NTP tb…
A chamada ao seu servidor AD você consegue fazer usando o Apache Directory Studio? (ele é o melhor teste que achei para conferir como está a comunicação)Estou atualizando para o 2012 R2, tem mudanças para a autenticação NTLM, se alguém tiver implementado, vale a pena ver detalhes antes de atualizar.
Abç.
-
Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2.
Isso já foi resolvido com o squidGuard-squid3 no pfsense2.1