Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas com SQUID e SQUIDGUARD autenticando no AD

    Scheduled Pinned Locked Moved Portuguese
    69 Posts 10 Posters 21.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T Offline
      thiagozutter
      last edited by

      Olá,

      Estou tentando problemas para configurar o SQUID (Squid3-dev) e o SQUIDGUARD (SquidGuard-squid3) para realizar o controle de acesso a sites, baseada na autenticação em grupos no AD (Active Directory) e ACLs.

      Quando habilito a opção "Enable LDAP Filter" no SquidGuard, parece que o SquidGuard para de funcionar, assim o SQUID assumi novamente, ignorando as configurações feitas em "Client(source)" em "Groups ACL"

      Alguma ideia ou dica?

      Se alguém tiver algum exemplo de configuração, agradeço. Utilizei os padrões, mas não adiantou.

      Versão do pfSense 2.1.3-RELEASE (amd64)

      Obrigado
      Thiago

      1 Reply Last reply Reply Quote 0
      • marcellocM Offline
        marcelloc
        last edited by

        Já tentou o script que puxa a lista de usuários do grupo e aplica no squidguard?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • T Offline
          thiagozutter
          last edited by

          Ainda não… terias algum documento com detalhes?

          Obrigado

          1 Reply Last reply Reply Quote 0
          • K Offline
            k1k0borba
            last edited by

            Eu tive um desgaste para conseguir que funcionasse corretamente.
            Bom eu usei o squid + squidGuard + squidGuard-devel
            Minha string ficou assim para o grupo Internet-TI que esta dentro da ou=Internet dentro da ou=Grupos, dc=meudominio,dc=local

            ldapusersearch "ldap://192.168.x.x:389/dc=meudominio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Internet-TI%2cou=Grupos%2cou=Internet%2cdc=meudominio%2cdc=local)(sAMAccountName=%s))"

            Aqui esta funcionando :D

            Obs: Notei q sempre q volto um backup, por estar usando blacklist, tenho que instalar ela novamente, senão as ACLs não funcionam.

            Espero que ajude

            Atenciosamente
            Rodrigo

            1 Reply Last reply Reply Quote 0
            • C Offline
              castrofrota
              last edited by

              Amigo, você consegui resolver este problema? Estou com o mesmo problema!

              1 Reply Last reply Reply Quote 1
              • K Offline
                k1k0borba
                last edited by

                Bom dia!

                Por Coincidência, ou não, hoje de manha minhas ACLs, estavam da mesma forma. Autenticava no AD de forma normal, mas as ACLs não funcionavam. Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.

                Espero que ajude.

                Atenciosamente
                Rodrigo Gomes Borba

                1 Reply Last reply Reply Quote 0
                • L Offline
                  Leonardo Campos
                  last edited by

                  Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.

                  1 Reply Last reply Reply Quote 0
                  • marcellocM Offline
                    marcelloc
                    last edited by

                    @Leonardo:

                    Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.

                    Veja primeiro se o seu squid está logando os usuários.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • marcellocM Offline
                      marcelloc
                      last edited by

                      @k1k0borba:

                      Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.

                      Use o squid3-dev com o squidguard-squid3 e aplique o patch disponível na área de tutoriais de pacotes e patches.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • L Offline
                        Leonardo Campos
                        last edited by

                        @marcelloc:

                        @Leonardo:

                        Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.

                        Veja primeiro se o seu squid está logando os usuários.

                        Marcelo boa tarde !
                        Deixa eu ser mais específico para você entender o meu problemas. aqui no meu pfsense tenho instalado a Versão 2.1.3

                        Pacotes

                        Cron Services,Shellcmd, squid3-dev, squidGuard-squid3, System Patches.

                        minha ideia era faze bloqueios por grupo, então vi esse tutorial que achei bem interessante.
                        https://forum.pfsense.org/index.php?topic=66674.0
                        então instalei o samba e segui os passos desse tutoral.

                        pelo que estou vendo aqui, o meu ad esta conversando com o samba, porque quando coloco alguem no grupos de bloqueio ou liberação , o usuário ja fica la no squidguard.

                        meu grupos são
                        AcessoRestrito - Bloqueio
                        AcessoTotal - para liberados

                        mas quando vou navegar com algum usuário do AD cadastrado no grupo acesso restrito não esta bloqueando.

                        1 Reply Last reply Reply Quote 0
                        • marcellocM Offline
                          marcelloc
                          last edited by

                          No log do squid você consegue ver o usuário que solicitou a url?

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • L Offline
                            Leonardo Campos
                            last edited by

                            @marcelloc:

                            No log do squid você consegue ver o usuário que solicitou a url?

                            Da uma olhada ai, não pede o usuário, eu deixei com proxy transparente, se eu deixa como não transparente ele pede o usuário mas quando digito o usuário ele não loga ao na internet

                            pfsense.jpg
                            pfsense.jpg_thumb

                            1 Reply Last reply Reply Quote 0
                            • D Offline
                              davidjrsp
                              last edited by

                              Pessoal boa tarde sou novato de pfsense!!!
                              Estou com o mesmo problema meu squidguard não está pegando os usuarios do Windows Server 2012 R2
                              No squid configurei a conexão e funciona direitinho  pega os usuarios do AD do Win2012 R2 e loga certinho funciona blacklist tudo certinho.
                              no SquidGuard usei as configurações de muitos topicos sobre isso, como nao to usando Domain pelo Samba teve algumas coisas que não fiz.
                              segue detalhes do SquidGuard

                              Proxy filter SquidGuard: General settings
                              General Settings
                              na parte de LDAP
                              LDAP DN cn=Administrator,cn=Users,dc=meudominio,dc=srv

                              na Groups ACL

                              Na parte de client
                              eu coloco
                              ldapusersearch ldap://IPDOSERVIDORDOMAIN:389/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=BloqueadoNOMEDOGRUPONOACTIVEDIRECTORY%2cCN=Users%2cDC=MEUDOMINIOs%2cDC=srv))

                              Alguem pode dar uma luz por favor.
                              Fazer os Bloqueios por Grupo será muito importante para nos.

                              Obrigado
                              Att,
                              David Jr

                              1 Reply Last reply Reply Quote 0
                              • L Offline
                                lucaspolli
                                last edited by

                                uso esse filtro:

                                ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

                                1 Reply Last reply Reply Quote 0
                                • D Offline
                                  davidjrsp
                                  last edited by

                                  Primeiramente obrigado Lucas
                                  fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
                                  Vou fazer o teste tbm e te reporto

                                  novamente obrigado

                                  1 Reply Last reply Reply Quote 0
                                  • L Offline
                                    lucaspolli
                                    last edited by

                                    @davidjrsp:

                                    Primeiramente obrigado Lucas
                                    fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
                                    Vou fazer o teste tbm e te reporto

                                    novamente obrigado

                                    creio que nao faz diferenca, a nao ser que vc alterou manualmente o CN no seu AD

                                    1 Reply Last reply Reply Quote 0
                                    • D Offline
                                      davidjrsp
                                      last edited by

                                      Boa tarde,

                                      Lucas fiz o teste também com a porta 3268 e com OU em vez de CN e também não funcionou.

                                      até liberei no firewall do Win 2012 R2 a porta 3268 igual a 389 do squid que ta funcionando para pegar os users do AD e nada também

                                      Muito estranho no Squid funciona diretinho, eu crio um usuário no AD e já autentica no squid bem rapido.

                                      1 Reply Last reply Reply Quote 0
                                      • L Offline
                                        lucaspolli
                                        last edited by

                                        Em proxy Filter -> General Settings -> Ldap Options o que vc configurou? pode mandar um print?

                                        1 Reply Last reply Reply Quote 0
                                        • D Offline
                                          davidjrsp
                                          last edited by

                                          Obrigado pela força Lucas estou mandando dois print 1 que vc pediu e outro do groupsACL

                                          pfsenseldap2.jpg
                                          pfsenseldap2.jpg_thumb
                                          pfsenseldap.png
                                          pfsenseldap.png_thumb

                                          1 Reply Last reply Reply Quote 0
                                          • H Offline
                                            holiveira
                                            last edited by

                                            Olá,

                                            Tente desmarcas as opções:

                                            Strip NT domain name e Strip Kerberos Realm

                                            em: Proxy Filter > General settings

                                            A porta que roda seu LDAP é a 3268 mesmo ?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.