Pfsense + Squid + NTLM (Autenticação AD transparente)

mantunespb

três !!!

lgcosta

Bom dia,

quem quiser fazer testes com a funcionalidade do samba4 atuando como membro de um AD e fazendo autenticação transparente com o ad via ntlm, pode implementar o pacote pelo o script abaixo (via execução de comando -> Diagnostics: Execute command):

fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/teste/samba-teste-amd64.sh | sh

Isso ai vai instalar o samba4 e um monte de parafernalha para funcionar… não se preocupe, depois de rodar isso, vai aparecer a opção Samba4 no menu services e a opção de autenticar via ntlm no squid. (para funcionar, instale o squid 2 primeiro, antes de rodar esse script)

Por enquanto, funcional 100% é ele atuar como MEMBER, as outras estou desenvolvendo, principalmente parte para atuar como servidor AD.

MAS ATENÇÃO, PELO O AMOR DE NOSSO PAI !!! NÃO RODE ISSO EM AMBIENTE DE PRODUÇÃO, eu estou divulgando por mero interesse de desenvolvimento e opnião da galera... Se precisar colocar isso em produção para ontem, contate-me via consultoria ;)

mantunespb

grande luiz,

parabens.

comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção

"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro

Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175

Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423

ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação

mantunespb

lgcosta

@mantunespb:

grande luiz,

parabens.

comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção

"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro

Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175

Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423

ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação

mantunespb

Nem tudo são flores rsrsrsrs e ainda to mexendo nas espinhas das flores.

Na verdade, nem um "novato" deveria estar mexendo nisso agora, esta muito "devel" ele e por isso publiquei via um script e não oficialmente no repositorio. Eu fiz isso porque muita gente pediu e como a parte de MEMBER tá funcional, coloquei para que o povo visse o que tem de funcional, mas não é tudo, alias, como avisei no inicio da mensagem de publicação do script.

Esses erros são normais agora ;)

calebe

cara fiz o teste com samba assim achei muito legal mais será que não teria o pacote já finalizado aii não
sera que com ele eu conseguiria fazer tipo a validação dos usuário logado local na maquina com squidguardan para fazer os bloqueios e liberações de acesso porq hj eu utilizo o serviço de identd para fazer essa liberação e bloqueio na minha rede so que não esta funcionando 100% será que com samba seria possível ou teria uma outra ideia melhor para esse problema pois pelo que eu verifique o squid e o squidguardian não consultam o usuário das maquinas dai não tem como ele saber se o usuario esta ou não no grupo do ad…  :-[

diegoriera

Luiz,

Acho que esta faltando -amd64 na URL.

Error: Unable to get http://www.mundounix.com.br/~gugabsd/pfsense/ports-8.1/packages/All/samba4-4.0.3.tbz: Not Found
pkg_add: unable to fetch 'http://www.mundounix.com.br/~gugabsd/pfsense/ports-8.1/packages/All/samba4-4.0.3.tbz' by URL

Max Douglas

Como faço para instalar na versão 2.1??????

já tem pacote funcionando?????

marcelloc

Procure o pbi bi repositório do luis.

jorhardware

Achei em:

http://www.mundounix.com.br/~gugabsd/pfsense/pbi-2_1/

instalação ok.

quando é feito a execução do samba-tool, da o seguinte erro:

[2.1-RELEASE][admin@pfSense.localdomain]/root(2): samba-tool
Traceback (most recent call last):
  File "/usr/pbi/samba4-amd64/bin/samba-tool", line 33, in <module>from samba.netcmd.main import cmd_sambatool
  File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/netcmd/main.py", line 24, in <module>from samba.netcmd.delegation import cmd_delegation
  File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/netcmd/delegation.py", line 23, in <module>from samba import provision
  File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/provision/__init__.py", line 46, in <module>from samba.samba3 import smbd, passdb
  File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/samba3/__init__.py", line 29, in <module>import passdb
ImportError: /usr/pbi/samba4-amd64/lib/libsmbconf.so.0: Undefined symbol "yperr_string"</module></module></module></module></module> 

tenho compilado o samba4 para o pfsense, sempre chegou  a esse erro.
se achar a solução, avisa estou precisando do samba4.

Nio

Olá pessoal, como está este projeto ?

gst.freitas

ainda um sonho muito distante.. e pelo visto… vai demorar..

marcelloc

Tente entrar em contato com o Luis Gustavo.

Veja se não consegue ajudá-lo nos testes ou contribuindo para o desenvolvimento do pacote.

saloaun

@Luiz:

@LFCavalcanti:

olá!

Falando sobre a topologia de serviços.

Eu tenho vários clientes que já possuem dominios no Active Directory.

Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.

Entendi corretamente?

Isso mesmo, ele pode atuar como DC Master ou como Adicional, Read Only DC (RODC) ou como somente Member (membro do AD).

Este último com o objetivo de poder suprir a autenticação NTLM e/ou ainda dispor de disponibilizar compartilhamento de arquivos

Pense em um cenário que você tenha filiais ligadas sobre uma vpn e você queira por exemplo colocar a rede local no AD com um DC ou RODC local (sincronizando a arvore com o master, podendo ser outro samba ou mesmo um windows 2003/2008). Com esse pacote você poderá implementar isso diretamente no pfsense.

Hi Luis Gustavo,

Thanks for your post.! really nice.!

i have squid + squidguard with transparent proxy, its ok.! i tested squid auth ldap and squidguard ldap and it works. but my users have to auth with pop up when open a browser. i installed samba4 and i want integrate with my active directory (server 2008 r2) and transparent single sing on but i can't. how you can help me luis ?

LFCavalcanti

Olá!

Estou precisando rodar a instalação desses pacotes em um servidor que assumi a manutenção. O site www.mundounix.com.br está totalmente fora do ar.

Algum outro lugar que eu possa pegar o pacote compilado e a integração do Squid?

marcosjost

@LFCavalcanti:

Olá!

Estou precisando rodar a instalação desses pacotes em um servidor que assumi a manutenção. O site www.mundounix.com.br está totalmente fora do ar.

Algum outro lugar que eu possa pegar o pacote compilado e a integração do Squid?

Luiz, encontras no site:
http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/

LFCavalcanti

@marcosjost:

Luiz, encontras no site:
http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/

Muito Obrigado! Vou postar a instalação atualizada.

LFCavalcanti

Olá!

Primeiramente:
ESTE PACOTE AINDA ESTÁ EM DESENVOLVIMENTO! JAMAIS UTILIZE DIRETO EM AMBIENTE DE PRODUÇÃO!

Com ajuda do colega marcosjost eu obtive acesso aos arquivos de instalação do pacote novamente.

Assumi a manutenção de um PFSense que está com esse pacote implantado. O problema foi que o Squid perdeu a integração com o WinBind e eu precisava rodar o path novamente. O site www.mundounix.com.br está fora do ar.

Eu atualizei o script de instalação para o diretório que utilizei. Segue o Script:

#!/bin/sh

arch=$(uname -p)

fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/samba4-4.0.8-${arch}.pbi
pbi_add --no-checksig /tmp/samba4-4.0.8-${arch}.pbi
fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.inc
fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.xml
fetch -o /usr/local/www -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/fbegin.inc
fetch -o /usr/local/www/javascript -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/jquery-1.9.1.min.js
fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squid_with_ntlm.patch
mkdir -p /var/run/samba4 /var/log/samba4 /var/db/samba4
chown -R :proxy /var/db/samba4/winbindd_privileged
chmod -R 0750 /var/db/samba4/winbindd_privileged
cd /usr/local/pkg
if [ -e '/usr/local/pkg/squid.inc' ]; then
    patch -p0 < /tmp/squid_with_ntlm.patch
fi

Os links nesse script são mantidos pelo Luiz Gustavo, não posso garantir que continuem os mesmos. Se quiserem implantar esse pacote, aconselho a fazer um backup local desses arquivos e do Script. Se funcionar, uma doação para o colega Luiz Gustavo não faz mal.

Mais uma coisa… eu testei apenas com a versão 2.0.3, vou testar com a 2.1.3 e dou um feedback depois.

lgcosta

ah ! funciona de boa no 2.1.3 ;)

LFCavalcanti

Eu reparei que há o Samba 3 e o 4 no diretório.

Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.

lgcosta

@LFCavalcanti:

Eu reparei que há o Samba 3 e o 4 no diretório.

Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.

samba4 = com as novas versões 2.1.x, algumas libs necessárias para o funcionamento do samba4 quebraram, eu tenho um esquema dele rodando em jail, etc… mas é versão alpha, gama, beta, xyz.... nem pensar ainda em colocar algo publico pq não esta tão funcional.

samba3 = Mais simples, menos lib e mais funcional para atuar como membro do AD, 100% funcional.