Problemas com SQUID e SQUIDGUARD autenticando no AD
-
no squid, ele criou as regras no campo Integration?
-
Lucas agora vc me pego como eu vejo esse campo Integration ?
na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc
pra ele meio que buscar os users do AD
modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”
-
Lucas agora vc me pego como eu vejo esse campo Integration ?
Em services, proxy server, no fim da pagina, custon settings
na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc
pra ele meio que buscar os users do AD
modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”
nunca precisei colocar nada no squid.inc é tudo transparente…
-
eu coloquei pq vi um procedimento e um cara falando que só funcionou com o -R no arquivo
segue Custon
redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5
-
:'( :'( :'(
Montei uma VM nova para testar o squidguard e nada também, fiz as mesmas configuração da maquina fisica e não atribui as ACL para o grupo de usuários :(
-
nao sei se isso implica em algo mais o campo "Order" no Group ACL eu sempre deixo em branco..
-
Também deixei Lucas mais não foi também!
como vc deixa o Client (source) no Groups ACL ?
O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl
ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))
-
Também deixei Lucas mais não foi também!
como vc deixa o Client (source) no Groups ACL ?
O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl
ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))
ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))
montei um server novo ontem, com essa string… e ta 100%
-
é Windows Server se sim qual Versão ?
-
a autenticacao é no Server 2012 R2 Standart x64
-
UHHH mesmo que o meu Windows Server 2012 R2 x64
No seu tem
(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))
Bloqueados é o Grupo igual no AD ?
OU Internet é a unidade Organizacional do AD ?
OU XXXXXX o que seria ?vc liberou alguma coisa no firewall do Windows Server ?
-
UHHH mesmo que o meu Windows Server 2012 R2 x64
No seu tem
(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))
Bloqueados é o Grupo igual no AD ?
Sim
OU Internet é a unidade Organizacional do AD ?
Sim, é uma OU do AD
OU XXXXXX o que seria ?
Unidade Organizacional que apenas mascarei o nome (uma OU dentro de uma OU)
vc liberou alguma coisa no firewall do Windows Server ?
Nao uso firewall do windows, todos, inclusive desktops estao desativados
se voce for no seu AD, no grupo Bloqueados por exemplo, botao direiro do mouse, va em propriedades, na aba "Attribute Editor" o campo "distinguishedName" tem a Base, basta copiar
-
Vou desabilitar o Firewall do Windows Server então e fazer o teste
Vc tem OU dentro de Ou entendi
no seu LDAP DN no general Settings vc deixa como ?
Obrigado pela força
-
CN=Administrator,CN=Users,DC=XXXXX,DC=com,DC=br
-
Ta ativo o seu
Blacklist options
no General
no meu no AD nao achei essas propriedades do Grupo
"Attribute Editor" o campo "distinguishedName"
Meu Ad instalei modo 2008 R2 será que tinha que estar modo 2012 R2 ? para aparecer esses atributos![Propriedades do Grupo.jpg](/public/imported_attachments/1/Propriedades do Grupo.jpg)
![Propriedades do Grupo.jpg_thumb](/public/imported_attachments/1/Propriedades do Grupo.jpg_thumb) -
por padrao é desativado no server 2012 (fica mais "limpo" com menos opcoes), va no menu acima, na aba View, marque a opcao "Advanced Features"
BlackList Ativo
-
Agora ta aparecendo no Ad.
deixei igual mais não vai.
Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.
-
Na Blacklist do grupo o Default access vc deixa como allow e no General Settings vc deixa como deny
nao esqueca do apply no general settings apos cada mudanca efetuada, senao a regra nao é aplicada
-
Bom dia,
Percebi que no AD o nome do grupo está: "bloqueado" (com b em minusculo)
No pfSense o nome do grupo tem que ser idêntico ao que está no AD, você está colocando "Bloqueado" (com B em maisculo)
Mude o grupo no pfsense para: "bloqueado" e veja se irá funcionar. -
Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.
ja esta autenticando entao.. agora seu problema é so as configuracoes de blacklist bem mais simples.. segue o que falei acima que vai funcionar
-
Bom dia Lucas
Tentei fazer as configurações que falou e também não ta bloqueando
Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Denyestou te mandando uns prints.
Henrique Deixei o b minusculo e também não foi :(
-
Estou dando o Apply e ainda vou em status e coloco para recarregar filtro
fecho o browser do usuario e logo novamente, e limpo o cache também do browser -
Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Deny
Desculpe, errei o local é em Common ACL, na blacklist
-
Lucas também não funcionou vc acredita !!!!!
-
deixe a Bloqueia Sites como –- nessa pagina vc nao altera nada, somente se for colocar um whitelist
-
Coloquei o –----- e também não funcionou
-
limpou o cache do squid?
-
Não Limpei, é via Shell Console ? ou da pra fazer com a interface WEB
-
prefiro via shell, va no diretorio do cache, pare o squid, remova todos os arquivos (rm -R *), mais antes verifique se esta no local correto, depois de remover digite squid -z para recriar o cache e inicie novamente o squid, limpe o cache do navegador tb
-
Olá Lucas
fiz os seguintes comados via console e limpei o cache do browser
E também não rolo ate parei o serviço do squidguard e subi novamente e nada
/usr/local/etc/rc.d/squid.sh stop
rm -rf /var/squid/cache/
mkdir -p /var/squid/cache/
chown proxy:proxy /var/squid/cache/
chmod 750 /var/squid/cache/
squid -z/usr/local/etc/rc.d/squid.sh start
-
a porta esta aberta no seu firewall?
-
Eu desabilitei o Firewall do Windows Server 2012 r2
-
firewall do pfsense..
-
Como o pfsense nao esta em producao ainda ta tudo liberado
Wan e Lanto mandando print
-
verifica os logs se aparece algum erro ao reiniciar o squid+squidguard
-
SquidGuard
Show top 50 entries. List from the line: << 0 >>
16.06.2014 15:16:03 [squid_reconfigure] Add new redirector options to Squid config.
16.06.2014 15:16:03 [squid_reconfigure] Remove old redirector options from Squid config.
16.06.2014 15:16:03 [sg_reconfigure] Save squidGuard config to '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf'.
16.06.2014 15:16:03 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:16:03 [sg_create_config] Add Default
16.06.2014 15:16:03 [sg_create_config] Add ACL's: bloqueado;
16.06.2014 15:16:02 [sg_create_config] Add rewrites: safesearch;
16.06.2014 15:16:02 [sg_create_config] Add destinations: Bloqueia_Sites;
16.06.2014 15:16:02 [sg_create_config] Add sources: bloqueado
16.06.2014 15:16:02 [squidguard_rebuild_db] Start rebuild DB.
16.06.2014 15:15:52 [squidguard_rebuild_db] Create rebuild config '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard__usrdbrebuild.conf'.
16.06.2014 15:15:52 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20404&a=%a&n=%n&;i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:15:52 [sg_create_simple_config] Added item 'Bloqueia_Sites' = '/var/db/squidGuard/Bloqueia_Sites'.
16.06.2014 15:15:52 [sg_create_simple_config] Begin with dbhome='/var/db/squidGuard'.
16.06.2014 15:15:52 [squidguard_rebuild_db] Begin with path '/var/db/squidGuard'.
16.06.2014 15:15:51 [sg_reconfigure_user_db] Add Bloqueia_Sites domains 'terra.com.br globo.com';
16.06.2014 15:15:51 [sg_reconfigure_user_db] Add user entries
16.06.2014 15:15:51 [sg_reconfigure_user_db] Begin with '/var/db/squidGuard'
16.06.2014 15:15:14 [squid_reconfigure] Add new redirector options to Squid config.
16.06.2014 15:15:14 [sg_reconfigure] Save squidGuard config to '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf'.
16.06.2014 15:15:14 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:15:14 [sg_create_config] Add Default
16.06.2014 15:15:14 [sg_create_config] Add ACL's: bloqueado;
16.06.2014 15:15:14 [sg_create_config] Add rewrites: safesearch;
16.06.2014 15:15:14 [sg_create_config] Add destinations: Bloqueia_Sites;
16.06.2014 15:15:14 [sg_create_config] Add sources: bloqueado
16.06.2014 15:15:14 [squidguard_rebuild_db] Start rebuild DB.
16.06.2014 15:14:51 [squidguard_rebuild_db] Create rebuild config '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard__usrdbrebuild.conf'.
16.06.2014 15:14:51 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20404&a=%a&n=%n&;i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:14:51 [sg_create_simple_config] Added item 'Bloqueia_Sites' = '/var/db/squidGuard/Bloqueia_Sites'.
16.06.2014 15:14:51 [sg_create_simple_config] Begin with dbhome='/var/db/squidGuard'.
16.06.2014 15:14:51 [squidguard_rebuild_db] Begin with path '/var/db/squidGuard'.
16.06.2014 15:14:51 [sg_reconfigure_user_db] Add Bloqueia_Sites domains 'terra.com.br globo.com';
16.06.2014 15:14:51 [sg_reconfigure_user_db] Add user entries
16.06.2014 15:14:51 [sg_reconfigure_user_db] Begin with '/var/db/squidGuard'
16.06.2014 15:13:57 [squid_reconfigure] Remove old redirector options from Squid config.
16.06.2014 15:13:57 [sg_reconfigure] Save squidGuard config to '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf'.
16.06.2014 15:13:57 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:13:57 [sg_create_config] Add Default
16.06.2014 15:13:57 [sg_create_config] Add ACL's: bloqueado;
16.06.2014 15:13:57 [sg_create_config] Add rewrites: safesearch;
16.06.2014 15:13:57 [sg_create_config] Add destinations: Bloqueia_Sites;
16.06.2014 15:13:57 [sg_create_config] Add sources: bloqueado
16.06.2014 15:13:57 [squidguard_rebuild_db] Start rebuild DB.
16.06.2014 15:13:46 [squidguard_rebuild_db] Create rebuild config '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard__usrdbrebuild.conf'.
16.06.2014 15:13:46 [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20404&a=%a&n=%n&;i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:13:46 [sg_create_simple_config] Added item 'Bloqueia_Sites' = '/var/db/squidGuard/Bloqueia_Sites'.
16.06.2014 15:13:46 [sg_create_simple_config] Begin with dbhome='/var/db/squidGuard'.
16.06.2014 15:13:46 [squidguard_rebuild_db] Begin with path '/var/db/squidGuard'.
16.06.2014 15:13:45 [sg_reconfigure_user_db] Add Bloqueia_Sites domains 'terra.com.br globo.com'; -
eu dei um tail dentro de cd /var/squid/logs tinha o arquivo cache.log
só tinha esse arquivo
[2.1.3-RELEASE][root@pfsense.localdomain]/var/squid/logs(36): tail -f cache.log
2014-06-16 15:16:03 [78648] New setting: ldapbindpass: SENHA
2014-06-16 15:16:03 [78648] syntax error in configfile /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf line 11
2014-06-16 15:16:03 [78648] Going into emergency mode
2014/06/16 15:16:03| Accepting proxy HTTP connections at 192.168.1.240, port 3128, FD 27.
2014/06/16 15:16:03| Accepting proxy HTTP connections at 192.168.21.240, port 3128, FD 28.
2014/06/16 15:16:03| Accepting HTCP messages on port 4827, FD 30.
2014/06/16 15:16:03| Accepting SNMP messages on port 3401, FD 31.
2014/06/16 15:16:03| WCCP Disabled.
2014/06/16 15:16:03| Loaded Icons.
2014/06/16 15:16:03| Ready to serve requests. -
Log do SquidGuard
[2.1.3-RELEASE][root@pfsense.localdomain]/var/squidGuard/log(44): tail -f sg_configurator.log
16.06.2014 15:16:02 : [squidguard_rebuild_db] Start rebuild DB.
16.06.2014 15:16:02 : [sg_create_config] Add sources: bloqueado
16.06.2014 15:16:02 : [sg_create_config] Add destinations: Bloqueia_Sites;
16.06.2014 15:16:02 : [sg_create_config] Add rewrites: safesearch;
16.06.2014 15:16:03 : [sg_create_config] Add ACL's: bloqueado;
16.06.2014 15:16:03 : [sg_create_config] Add Default
16.06.2014 15:16:03 : [sg_redirector_base_url] Select redirector base url (http://192.168.1.240:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u)
16.06.2014 15:16:03 : [sg_reconfigure] Save squidGuard config to '/usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf'.
16.06.2014 15:16:03 : [squid_reconfigure] Remove old redirector options from Squid config.
16.06.2014 15:16:03 : [squid_reconfigure] Add new redirector options to Squid config. -
Parece que tem um erro na conf do squidguard
vou mandar a conf aqui
logdir /var/squidGuard/log
dbhome /var/db/squidGuard
ldapbinddn cn=administrator,cn=Users,dc=dominio,dc=srv
ldapbindpass senha do administrator
ldapprotover 3src bloqueado {
ldapusersearch ldap://192.168.1.208:3268/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))
log block.log
}dest Bloqueia_Sites {
domainlist Bloqueia_Sites/domains
log block.log
}rew safesearch {
s@(google../search?.q=.)@\1&safe=active@i
s@(google../images.q=.)@\1&safe=active@i
s@(google../groups.q=.)@\1&safe=active@i
s@(google../news.q=.)@\1&safe=active@i
s@(yandex../yandsearch?.text=.)@\1&fyandex=1@i
s@(search.yahoo../search.p=.)@\1&vm=r&v=1@i
s@(search.live../.q=.)@\1&adlt=strict@i
s@(search.msn../.q=.)@\1&adlt=strict@i
s@(.bing..*/.q=.)@\1&adlt=strict@i
log block.log
}acl {
#
bloqueado {
pass !Bloqueia_Sites all
log block.log
}
#
default {
pass none
redirect http://192.168.1.240:80/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
log block.log -
BOM DIA A TODOS FUNCIONOUUUUUUUUUUUUUU, DEPOIS ALGUNS DIAS DE TEXTES O PROBLEMA ERA A COISA MAIS BESTA DO MUNDO MEU CENARIO WINDOWS SERVER 2012 R2 PFSENSE 2.1.3 SQUID E SQUIDGUARD EU PRECISO BLOQUEAR GRUPOS DE USUARIOS DO ACTIVE DIRECTORY EM ALGUNS SITES E NAO FUNCIONAVA PELO SQUIDGUARD E PELO SQUID FUNCIONA A BLACKLIST NORMAL, O QUE REALMENTE ERA!!!!!!, É QUE A SENHA DO ADMINISTRATOR DO ACTIVE DIRETORY TINHA XXXX@XXXX O SQUID PASSAVA NUMA BOA PEGAVA OS USUARIOS DIREITINHO AGORA O SQUIDGUARD NAO PEGAVA, POR QUE O SQUIDGUARD NAO ACEITA A SENHA DO ADMINISTRADOR COM @ TROQUEI A SENHA NO WINDOWS SERVER E FUNCIONOU PERFEITAMENTE AS ACL DE BLOQUEIO QUERO AGRADECER O HENRIQUE E LUCAS QUE ME AJUDARAM MUITO MAIS MUITO MESMO COM O TEMPO DELES E O CONHECIMENTO DEUS ABENCOE A VCS POIS COMO EU DISSE PARA O HENRIQUE HOJE EM DIA É DIFICIL AS PESSOAS SEREM PRESTATIVOS