Pfsense + Squid + NTLM (Autenticação AD transparente)
-
Tente entrar em contato com o Luis Gustavo.
Veja se não consegue ajudá-lo nos testes ou contribuindo para o desenvolvimento do pacote.
-
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
Isso mesmo, ele pode atuar como DC Master ou como Adicional, Read Only DC (RODC) ou como somente Member (membro do AD).
Este último com o objetivo de poder suprir a autenticação NTLM e/ou ainda dispor de disponibilizar compartilhamento de arquivos
Pense em um cenário que você tenha filiais ligadas sobre uma vpn e você queira por exemplo colocar a rede local no AD com um DC ou RODC local (sincronizando a arvore com o master, podendo ser outro samba ou mesmo um windows 2003/2008). Com esse pacote você poderá implementar isso diretamente no pfsense.
Hi Luis Gustavo,
Thanks for your post.! really nice.!
i have squid + squidguard with transparent proxy, its ok.! i tested squid auth ldap and squidguard ldap and it works. but my users have to auth with pop up when open a browser. i installed samba4 and i want integrate with my active directory (server 2008 r2) and transparent single sing on but i can't. how you can help me luis ?
-
Olá!
Estou precisando rodar a instalação desses pacotes em um servidor que assumi a manutenção. O site www.mundounix.com.br está totalmente fora do ar.
Algum outro lugar que eu possa pegar o pacote compilado e a integração do Squid?
-
Olá!
Estou precisando rodar a instalação desses pacotes em um servidor que assumi a manutenção. O site www.mundounix.com.br está totalmente fora do ar.
Algum outro lugar que eu possa pegar o pacote compilado e a integração do Squid?
Luiz, encontras no site:
http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/ -
Luiz, encontras no site:
http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/Muito Obrigado! Vou postar a instalação atualizada.
-
Olá!
Primeiramente:
ESTE PACOTE AINDA ESTÁ EM DESENVOLVIMENTO! JAMAIS UTILIZE DIRETO EM AMBIENTE DE PRODUÇÃO!Com ajuda do colega marcosjost eu obtive acesso aos arquivos de instalação do pacote novamente.
Assumi a manutenção de um PFSense que está com esse pacote implantado. O problema foi que o Squid perdeu a integração com o WinBind e eu precisava rodar o path novamente. O site www.mundounix.com.br está fora do ar.
Eu atualizei o script de instalação para o diretório que utilizei. Segue o Script:
#!/bin/sh arch=$(uname -p) fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/samba4-4.0.8-${arch}.pbi pbi_add --no-checksig /tmp/samba4-4.0.8-${arch}.pbi fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.inc fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.xml fetch -o /usr/local/www -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/fbegin.inc fetch -o /usr/local/www/javascript -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/jquery-1.9.1.min.js fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squid_with_ntlm.patch mkdir -p /var/run/samba4 /var/log/samba4 /var/db/samba4 chown -R :proxy /var/db/samba4/winbindd_privileged chmod -R 0750 /var/db/samba4/winbindd_privileged cd /usr/local/pkg if [ -e '/usr/local/pkg/squid.inc' ]; then patch -p0 < /tmp/squid_with_ntlm.patch fiOs links nesse script são mantidos pelo Luiz Gustavo, não posso garantir que continuem os mesmos. Se quiserem implantar esse pacote, aconselho a fazer um backup local desses arquivos e do Script. Se funcionar, uma doação para o colega Luiz Gustavo não faz mal.
Mais uma coisa… eu testei apenas com a versão 2.0.3, vou testar com a 2.1.3 e dou um feedback depois.
-
ah ! funciona de boa no 2.1.3 ;)
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
samba4 = com as novas versões 2.1.x, algumas libs necessárias para o funcionamento do samba4 quebraram, eu tenho um esquema dele rodando em jail, etc… mas é versão alpha, gama, beta, xyz.... nem pensar ainda em colocar algo publico pq não esta tão funcional.
samba3 = Mais simples, menos lib e mais funcional para atuar como membro do AD, 100% funcional.
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
samba4 = com as novas versões 2.1.x, algumas libs necessárias para o funcionamento do samba4 quebraram, eu tenho um esquema dele rodando em jail, etc… mas é versão alpha, gama, beta, xyz.... nem pensar ainda em colocar algo publico pq não esta tão funcional.
samba3 = Mais simples, menos lib e mais funcional para atuar como membro do AD, 100% funcional.
E presumo que isso não tenha subido pro repositório por conta dessa turbulência toda envolvendo a ESF. Andei lendo os tópicos hoje e a coisa me parece feia entre a ESF e os colaboradores da comunidade.
-
ok!
Help!To ficando louco com isso aqui.
Não consigo fazer funcionar no PFSense 2.0.3 e eu preciso!
O PFSense 2.0.3 não vêm com o PBI Manager. A versão do FreeBSD é a 8.1, instalei o PBI Manager da 8.3, rodo o script pra versão samba 3, roda a instalação numa boa, mas não sobre Winbind.
Tentei instalando manualmente o Samba 3.6.16_1 que está rodando no outro servidor, não consigo subir o serviço, dando erro de dependencia, a biblioteca libz.so.6. Já criei link para o libz.so, ai dá erro com a versão ZLIB 1.2.4.0.
Alguém poderia dizer como raios colocar esse Samba 3 pra rodar no PFSense 2.0.3?
-
Consegui…
Tive que instalar o PBI Manager do FreeBSD 8.3 no PFSense 2.0.3(FreeBSD 8.1).
Depois rodei o Script do Luiz Gustavo para o Samba 3.
Instalei o Samba 3.6.16_1 usando o "pkg_add -r".
Removi o Samba 3.6.16_1.
Reinstalei o Squid para limpar o Patch do Samba 3 do Luiz Gustavo.
Instalei usando o Script do Luiz Gustavo novamente.
-
Bom dia eu posso seguir esse tutorial aonde ?
-
-
Galera blz?
Como está o Status desse projeto? Precisando de alguma auxilio? Abraços…
Tenho conhecimento em Linux, e estou a 1 ano trabalhando com PFSense, o que eu puder ajudar estou a disposição.
-
Ae Galerinha,
Script testado em ambiente Virtual de Testes…
Como os sources foram para o mundolinux... alterei:
--- inicio do script -----
#!/bin/sh
arch="
uname -p"fetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/pbi-2_1/samba-3.6.18-${arch}.pbi
pbi_add --no-checksig /tmp/samba-3.6.18-${arch}.pbi
rm -rf /tmp/samba-3.6.18-${arch}.pbifetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.inc
fetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.xml
fetch -o /usr/local/www -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/fbegin.inc
fetch -o /usr/local/www/javascript -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/jquery-1.9.1.min.jsfetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba-libs-${arch}.tar.gz | tar -C / -zxpf -
echo 'samba_enable="YES"' > /etc/rc.conf.local
echo 'winbindd_enable="YES"' >> /etc/rc.conf.localcd /usr/local/etc/rc.d/
ln -s samba samba.shfetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/squid_with_ntlm.patch
cd /usr/local/pkg
patch -p0 < /tmp/squid_with_ntlm.patchmkdir -p /var/db/samba/winbindd_privileged
chown -R :proxy /var/db/samba/winbindd_privileged
chmod -R 0750 /var/db/samba/winbindd_privilegedln -s /usr/pbi/samba-${arch}/etc/smb.conf /usr/local/etc/smb.conf
--- fim do script ---
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio...Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
-
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio…Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
Essa função é executada quando você acessa, pela WebGUI em Services > Samba(AD), ao salvar ele faz a integração ao dominio.
-
Tive que fazer manual pq nao funcionou.
Mas agora tá ok funcionando… (apos fazer na mao). Versao 3 do samba.Vou montar o ambiente com a 4.
Abracos.
-
Funcionou com o pacote squid3-dev 3.3.10 pkg 2.2.6 no pfSense 2.1.4, mas tive que fazer os seguintes passos:
1 - Editar o arquivo samba3.inc e no bloco [libdefaults] acrescentar a linha
allow_weak_crypto = true2 - Rodar manualmente os comandos
kinit usuario_admin net ads join -U usuario_admin3 - Modificar o arquivo squid.inc e squid_auth.xml com as alterações do arquivo squid_with_ntlm.patch manualmente
squid.inc_original.txt
squid.inc_corrigido.txt
squid_auth.xml_original.txt
squid_auth.xml_corrigido.txt -
Bom dia a todos, sei que deve existir um tutorial de como fazer essa autenticação transparente do openldap com o samba e squid no pfsense… porém não achei nada na internet, só achei com o Active Directory do Windows, já intalei a ultima versão do pfsense e o samba nele mesmo, e tenho tudo rodando certinho, porém pede naquele popup o usuário e senha para logar...
Muito obrigado
