Problemas com SQUID e SQUIDGUARD autenticando no AD
-
Olá,
Estou tentando problemas para configurar o SQUID (Squid3-dev) e o SQUIDGUARD (SquidGuard-squid3) para realizar o controle de acesso a sites, baseada na autenticação em grupos no AD (Active Directory) e ACLs.
Quando habilito a opção "Enable LDAP Filter" no SquidGuard, parece que o SquidGuard para de funcionar, assim o SQUID assumi novamente, ignorando as configurações feitas em "Client(source)" em "Groups ACL"
Alguma ideia ou dica?
Se alguém tiver algum exemplo de configuração, agradeço. Utilizei os padrões, mas não adiantou.
Versão do pfSense 2.1.3-RELEASE (amd64)
Obrigado
Thiago -
Já tentou o script que puxa a lista de usuários do grupo e aplica no squidguard?
-
Ainda não… terias algum documento com detalhes?
Obrigado
-
Eu tive um desgaste para conseguir que funcionasse corretamente.
Bom eu usei o squid + squidGuard + squidGuard-devel
Minha string ficou assim para o grupo Internet-TI que esta dentro da ou=Internet dentro da ou=Grupos, dc=meudominio,dc=localldapusersearch "ldap://192.168.x.x:389/dc=meudominio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Internet-TI%2cou=Grupos%2cou=Internet%2cdc=meudominio%2cdc=local)(sAMAccountName=%s))"
Aqui esta funcionando :D
Obs: Notei q sempre q volto um backup, por estar usando blacklist, tenho que instalar ela novamente, senão as ACLs não funcionam.
Espero que ajude
Atenciosamente
Rodrigo -
Amigo, você consegui resolver este problema? Estou com o mesmo problema!
-
Bom dia!
Por Coincidência, ou não, hoje de manha minhas ACLs, estavam da mesma forma. Autenticava no AD de forma normal, mas as ACLs não funcionavam. Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.
Espero que ajude.
Atenciosamente
Rodrigo Gomes Borba -
Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.
-
Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.
Veja primeiro se o seu squid está logando os usuários.
-
Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.
Use o squid3-dev com o squidguard-squid3 e aplique o patch disponível na área de tutoriais de pacotes e patches.
-
Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.
Veja primeiro se o seu squid está logando os usuários.
Marcelo boa tarde !
Deixa eu ser mais específico para você entender o meu problemas. aqui no meu pfsense tenho instalado a Versão 2.1.3Pacotes
Cron Services,Shellcmd, squid3-dev, squidGuard-squid3, System Patches.
minha ideia era faze bloqueios por grupo, então vi esse tutorial que achei bem interessante.
https://forum.pfsense.org/index.php?topic=66674.0
então instalei o samba e segui os passos desse tutoral.pelo que estou vendo aqui, o meu ad esta conversando com o samba, porque quando coloco alguem no grupos de bloqueio ou liberação , o usuário ja fica la no squidguard.
meu grupos são
AcessoRestrito - Bloqueio
AcessoTotal - para liberadosmas quando vou navegar com algum usuário do AD cadastrado no grupo acesso restrito não esta bloqueando.
-
No log do squid você consegue ver o usuário que solicitou a url?
-
No log do squid você consegue ver o usuário que solicitou a url?
Da uma olhada ai, não pede o usuário, eu deixei com proxy transparente, se eu deixa como não transparente ele pede o usuário mas quando digito o usuário ele não loga ao na internet
-
Pessoal boa tarde sou novato de pfsense!!!
Estou com o mesmo problema meu squidguard não está pegando os usuarios do Windows Server 2012 R2
No squid configurei a conexão e funciona direitinho pega os usuarios do AD do Win2012 R2 e loga certinho funciona blacklist tudo certinho.
no SquidGuard usei as configurações de muitos topicos sobre isso, como nao to usando Domain pelo Samba teve algumas coisas que não fiz.
segue detalhes do SquidGuardProxy filter SquidGuard: General settings
General Settings
na parte de LDAP
LDAP DN cn=Administrator,cn=Users,dc=meudominio,dc=srvna Groups ACL
Na parte de client
eu coloco
ldapusersearch ldap://IPDOSERVIDORDOMAIN:389/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=BloqueadoNOMEDOGRUPONOACTIVEDIRECTORY%2cCN=Users%2cDC=MEUDOMINIOs%2cDC=srv))Alguem pode dar uma luz por favor.
Fazer os Bloqueios por Grupo será muito importante para nos.Obrigado
Att,
David Jr -
uso esse filtro:
ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))
-
Primeiramente obrigado Lucas
fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
Vou fazer o teste tbm e te reportonovamente obrigado
-
Primeiramente obrigado Lucas
fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
Vou fazer o teste tbm e te reportonovamente obrigado
creio que nao faz diferenca, a nao ser que vc alterou manualmente o CN no seu AD
-
Boa tarde,
Lucas fiz o teste também com a porta 3268 e com OU em vez de CN e também não funcionou.
até liberei no firewall do Win 2012 R2 a porta 3268 igual a 389 do squid que ta funcionando para pegar os users do AD e nada também
Muito estranho no Squid funciona diretinho, eu crio um usuário no AD e já autentica no squid bem rapido.
-
Em proxy Filter -> General Settings -> Ldap Options o que vc configurou? pode mandar um print?
-
Obrigado pela força Lucas estou mandando dois print 1 que vc pediu e outro do groupsACL
-
Olá,
Tente desmarcas as opções:
Strip NT domain name e Strip Kerberos Realm
em: Proxy Filter > General settings
A porta que roda seu LDAP é a 3268 mesmo ?
