Pfsense + Squid + NTLM (Autenticação AD transparente)
-
Luiz, encontras no site:
http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/Muito Obrigado! Vou postar a instalação atualizada.
-
Olá!
Primeiramente:
ESTE PACOTE AINDA ESTÁ EM DESENVOLVIMENTO! JAMAIS UTILIZE DIRETO EM AMBIENTE DE PRODUÇÃO!Com ajuda do colega marcosjost eu obtive acesso aos arquivos de instalação do pacote novamente.
Assumi a manutenção de um PFSense que está com esse pacote implantado. O problema foi que o Squid perdeu a integração com o WinBind e eu precisava rodar o path novamente. O site www.mundounix.com.br está fora do ar.
Eu atualizei o script de instalação para o diretório que utilizei. Segue o Script:
#!/bin/sh arch=$(uname -p) fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/pbi-2_1/samba4-4.0.8-${arch}.pbi pbi_add --no-checksig /tmp/samba4-4.0.8-${arch}.pbi fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.inc fetch -o /usr/local/pkg -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/samba4.xml fetch -o /usr/local/www -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/fbegin.inc fetch -o /usr/local/www/javascript -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/samba4/jquery-1.9.1.min.js fetch -o /tmp -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squid_with_ntlm.patch mkdir -p /var/run/samba4 /var/log/samba4 /var/db/samba4 chown -R :proxy /var/db/samba4/winbindd_privileged chmod -R 0750 /var/db/samba4/winbindd_privileged cd /usr/local/pkg if [ -e '/usr/local/pkg/squid.inc' ]; then patch -p0 < /tmp/squid_with_ntlm.patch fiOs links nesse script são mantidos pelo Luiz Gustavo, não posso garantir que continuem os mesmos. Se quiserem implantar esse pacote, aconselho a fazer um backup local desses arquivos e do Script. Se funcionar, uma doação para o colega Luiz Gustavo não faz mal.
Mais uma coisa… eu testei apenas com a versão 2.0.3, vou testar com a 2.1.3 e dou um feedback depois.
-
ah ! funciona de boa no 2.1.3 ;)
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
samba4 = com as novas versões 2.1.x, algumas libs necessárias para o funcionamento do samba4 quebraram, eu tenho um esquema dele rodando em jail, etc… mas é versão alpha, gama, beta, xyz.... nem pensar ainda em colocar algo publico pq não esta tão funcional.
samba3 = Mais simples, menos lib e mais funcional para atuar como membro do AD, 100% funcional.
-
Eu reparei que há o Samba 3 e o 4 no diretório.
Basicamente, qual a diferença entre os pacotes que você desenvolveu, não no samba em si, na integração com o PFSense e com o Squid.
samba4 = com as novas versões 2.1.x, algumas libs necessárias para o funcionamento do samba4 quebraram, eu tenho um esquema dele rodando em jail, etc… mas é versão alpha, gama, beta, xyz.... nem pensar ainda em colocar algo publico pq não esta tão funcional.
samba3 = Mais simples, menos lib e mais funcional para atuar como membro do AD, 100% funcional.
E presumo que isso não tenha subido pro repositório por conta dessa turbulência toda envolvendo a ESF. Andei lendo os tópicos hoje e a coisa me parece feia entre a ESF e os colaboradores da comunidade.
-
ok!
Help!To ficando louco com isso aqui.
Não consigo fazer funcionar no PFSense 2.0.3 e eu preciso!
O PFSense 2.0.3 não vêm com o PBI Manager. A versão do FreeBSD é a 8.1, instalei o PBI Manager da 8.3, rodo o script pra versão samba 3, roda a instalação numa boa, mas não sobre Winbind.
Tentei instalando manualmente o Samba 3.6.16_1 que está rodando no outro servidor, não consigo subir o serviço, dando erro de dependencia, a biblioteca libz.so.6. Já criei link para o libz.so, ai dá erro com a versão ZLIB 1.2.4.0.
Alguém poderia dizer como raios colocar esse Samba 3 pra rodar no PFSense 2.0.3?
-
Consegui…
Tive que instalar o PBI Manager do FreeBSD 8.3 no PFSense 2.0.3(FreeBSD 8.1).
Depois rodei o Script do Luiz Gustavo para o Samba 3.
Instalei o Samba 3.6.16_1 usando o "pkg_add -r".
Removi o Samba 3.6.16_1.
Reinstalei o Squid para limpar o Patch do Samba 3 do Luiz Gustavo.
Instalei usando o Script do Luiz Gustavo novamente.
-
Bom dia eu posso seguir esse tutorial aonde ?
-
-
Galera blz?
Como está o Status desse projeto? Precisando de alguma auxilio? Abraços…
Tenho conhecimento em Linux, e estou a 1 ano trabalhando com PFSense, o que eu puder ajudar estou a disposição.
-
Ae Galerinha,
Script testado em ambiente Virtual de Testes…
Como os sources foram para o mundolinux... alterei:
--- inicio do script -----
#!/bin/sh
arch="
uname -p"fetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/pbi-2_1/samba-3.6.18-${arch}.pbi
pbi_add --no-checksig /tmp/samba-3.6.18-${arch}.pbi
rm -rf /tmp/samba-3.6.18-${arch}.pbifetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.inc
fetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.xml
fetch -o /usr/local/www -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/fbegin.inc
fetch -o /usr/local/www/javascript -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/jquery-1.9.1.min.jsfetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba-libs-${arch}.tar.gz | tar -C / -zxpf -
echo 'samba_enable="YES"' > /etc/rc.conf.local
echo 'winbindd_enable="YES"' >> /etc/rc.conf.localcd /usr/local/etc/rc.d/
ln -s samba samba.shfetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/squid_with_ntlm.patch
cd /usr/local/pkg
patch -p0 < /tmp/squid_with_ntlm.patchmkdir -p /var/db/samba/winbindd_privileged
chown -R :proxy /var/db/samba/winbindd_privileged
chmod -R 0750 /var/db/samba/winbindd_privilegedln -s /usr/pbi/samba-${arch}/etc/smb.conf /usr/local/etc/smb.conf
--- fim do script ---
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio...Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
-
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio…Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
Essa função é executada quando você acessa, pela WebGUI em Services > Samba(AD), ao salvar ele faz a integração ao dominio.
-
Tive que fazer manual pq nao funcionou.
Mas agora tá ok funcionando… (apos fazer na mao). Versao 3 do samba.Vou montar o ambiente com a 4.
Abracos.
-
Funcionou com o pacote squid3-dev 3.3.10 pkg 2.2.6 no pfSense 2.1.4, mas tive que fazer os seguintes passos:
1 - Editar o arquivo samba3.inc e no bloco [libdefaults] acrescentar a linha
allow_weak_crypto = true2 - Rodar manualmente os comandos
kinit usuario_admin net ads join -U usuario_admin3 - Modificar o arquivo squid.inc e squid_auth.xml com as alterações do arquivo squid_with_ntlm.patch manualmente
squid.inc_original.txt
squid.inc_corrigido.txt
squid_auth.xml_original.txt
squid_auth.xml_corrigido.txt -
Bom dia a todos, sei que deve existir um tutorial de como fazer essa autenticação transparente do openldap com o samba e squid no pfsense… porém não achei nada na internet, só achei com o Active Directory do Windows, já intalei a ultima versão do pfsense e o samba nele mesmo, e tenho tudo rodando certinho, porém pede naquele popup o usuário e senha para logar...
Muito obrigado
-
Bom dia a todos! Primeiramente, parabéns e obrigado por tudo que fazem pelo software livre.
Estou com o pfSense 2.1.5 com autenticação NTLM funcionando perfeitamente. Autenticação por grupos, squidguard, tudo como eu queria, exceto um porém: máquinas fora do domínio (visitantes) não funciona a autenticação. Tenho no meu squid.conf as linhas abaixo:
#Para autenticação NTLM
auth_param ntlm program /usr/local/bin/ntlm_auth –domain=TBM.COM.BR --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 200
auth_param ntlm keep_alive on#Para autenticação fora do dominio
auth_param basic program /usr/local/bin/ntlm_auth --domain=TBM.COM.BR --helper-protocol=squid-2.5-basic
auth_param basic children 200
auth_param basic realm Proxy User
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive offObs: Uso squid3-dev e squidguard-squid3.
-
exceto um porém: máquinas fora do domínio (visitantes) não funciona a autenticação.
Neste caso é melhor para visitantes ter uma rede separada, mais segurança.
-
Tomas, eu entendo a necessidade do digaovaa. Eu estou na mesma situação.
Temos os usuários cadastrados no AD e também controlamos o acesso de visitantes à internet através do Proxy (para que não hajam acessos indevidos e para que possamos monitorar o que estão acessando).
Claro que a maneira mais "prática" e mais "segura", seria isolar fisicamente as redes e pronto. Porém entramos em outra seara, que é a processual; acaso, por exemplo, alguém acesse "livremente" por um link separado de internet, conteúdos ilegais (pirataria, pornografia, etc.) dentro da empresa, e a empresa seja auditada em escala civil, os links de internet estarão registrados em nome da empresa e ela será responsabilizada por isso.
Portanto, mais seguro para ambas as partes, seria controlar o que os visitantes (fora do domínio) acessam.
Existe algum procedimento que seja necessário realizar nessa configuração? Algum ponto falho?
-
Mas o que eu quis dizer era fazer por exemplo uma VLAN para a rede visitante e nela colocar o proxy para controlar o conteúdo.
Não pensei em deixar a rede visitante sem controle, mas deixar isolada da rede interna por questões de segurança e fora da autenticação pelo AD.
Você poderia colocar um Captive Portal nessa rede visitante e cadastrar os usuários ou gerar Voucher para acesso temporário registrado.