Problemas com SQUID e SQUIDGUARD autenticando no AD

lucaspolli

no squid, ele criou as regras no campo Integration?

davidjrsp

Lucas agora vc me pego como eu vejo esse campo Integration ?

na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

pra ele meio que buscar os users do AD

modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”

lucaspolli

@davidjrsp:

Lucas agora vc me pego como eu vejo esse campo Integration ?

Em services, proxy server, no fim da pagina, custon settings

na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

pra ele meio que buscar os users do AD

modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”

nunca precisei colocar nada no squid.inc é tudo transparente…

davidjrsp

eu coloquei pq vi um procedimento e um cara falando que só funcionou com o -R no arquivo

segue Custon

redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

davidjrsp

:'( :'( :'(

Montei uma VM nova para testar o squidguard e nada também, fiz as mesmas configuração da maquina fisica e não atribui as ACL para o grupo de usuários :(

lucaspolli

nao sei se isso implica em algo mais o campo "Order" no Group ACL eu sempre deixo em branco..

davidjrsp

Também deixei Lucas mais não foi também!

como vc deixa o Client (source) no Groups ACL ?

O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))

lucaspolli

@davidjrsp:

Também deixei Lucas mais não foi também!

como vc deixa o Client (source) no Groups ACL ?

O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))

ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

montei um server novo ontem, com essa string… e ta 100%

davidjrsp

é Windows Server se sim qual Versão ?

lucaspolli

a autenticacao é no Server 2012 R2 Standart x64

davidjrsp

UHHH mesmo que o meu Windows Server 2012 R2 x64

No seu tem

(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

Bloqueados é o Grupo igual no AD ?
OU Internet é a unidade Organizacional do AD ?
OU XXXXXX o que seria ?

vc liberou alguma coisa no firewall do Windows Server ?

lucaspolli

@davidjrsp:

UHHH mesmo que o meu Windows Server 2012 R2 x64

No seu tem

(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

Bloqueados é o Grupo igual no AD ?

Sim

OU Internet é a unidade Organizacional do AD ?

Sim, é uma OU do AD

OU XXXXXX o que seria ?

Unidade Organizacional que apenas mascarei o nome (uma OU dentro de uma OU)

vc liberou alguma coisa no firewall do Windows Server ?

Nao uso firewall do windows, todos, inclusive desktops estao desativados

se voce for no seu AD, no grupo Bloqueados por exemplo, botao direiro do mouse, va em propriedades, na aba "Attribute Editor" o campo "distinguishedName" tem a Base, basta copiar

davidjrsp

Vou desabilitar o Firewall do Windows Server então e fazer o teste

Vc tem OU dentro de Ou entendi

no seu LDAP DN no general Settings vc deixa como ?

Obrigado pela força

lucaspolli

CN=Administrator,CN=Users,DC=XXXXX,DC=com,DC=br

davidjrsp

Ta ativo o seu

Blacklist options

no General

no meu no AD nao achei essas propriedades do Grupo
"Attribute Editor" o campo "distinguishedName"
Meu Ad instalei modo 2008 R2 será que tinha que estar modo 2012 R2 ? para aparecer esses atributos

![Propriedades do Grupo.jpg](/public/imported_attachments/1/Propriedades do Grupo.jpg)
![Propriedades do Grupo.jpg_thumb](/public/imported_attachments/1/Propriedades do Grupo.jpg_thumb)

lucaspolli

por padrao é desativado no server 2012 (fica mais "limpo" com menos opcoes), va no menu acima, na aba View, marque a opcao "Advanced Features"

BlackList Ativo

davidjrsp

Agora ta aparecendo no Ad.

deixei igual mais não vai.

Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.

dominioatrubutos.jpg_thumb

pfsense222lpdapacl.jpg_thumb

lucaspolli

Na Blacklist do grupo o Default access vc deixa como allow e no General Settings vc deixa como deny

nao esqueca do apply no general settings apos cada mudanca efetuada, senao a regra nao é aplicada

holiveira

Bom dia,

Percebi que no AD o nome do grupo está: "bloqueado" (com b em minusculo)
No pfSense o nome do grupo tem que ser idêntico ao que está no AD, você está colocando "Bloqueado" (com B em maisculo)
Mude o grupo no pfsense para: "bloqueado" e veja se irá funcionar.

lucaspolli

@davidjrsp:

Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.

ja esta autenticando entao.. agora seu problema é so as configuracoes de blacklist bem mais simples.. segue o que falei acima que vai funcionar