[SOLUCIONADO] Squid en pfSense 2.3.2 con el AD
-
@
:Estás usando el squid en modo transparente?
No
-
En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).
te recomiendo lo primero:
Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.
De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD. Por su puesto en este punto no hay restricciones de navegación.
Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.
En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL, el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.
Referencia: http://www.squidguard.org/Doc/authentication.html
En tu caso debes hacerlo con dansguardians.
Saludos.
-
En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).
te recomiendo lo primero:
Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.
De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD. Por su puesto en este punto no hay restricciones de navegación.
Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.
En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL, el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.
Referencia: http://www.squidguard.org/Doc/authentication.html
En tu caso debes hacerlo con dansguardians.
Saludos.
te comento que tengo desactivado el squidguard , esto lo hice para ir depurando donde podía estar el error , así que no es squidguard , el squid no se esta validando al Active Directory eso es lo que entiendo por ahorita
-
OJO,
Viendo tu printscreen el puerto ldap tienes 3389 y es 389 (se te fue un 3 de mas).
Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian), veo que tienes LDAP, en el Combo del método, quizás deba ser: NTdomain. Prueba ambas opciones.
Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.
En LDAP BASE DOMAIN: tienes que termina con un -R Creo que esta de mas.
tu LDAP USER NAME ATRIBUTE: tienes uid y si es AD debe ser: sAMAccountName ya que uid es OpenLdap.
el LDAP SEARCH FILTER: debes buscar mas infor para validar si esa es la forma correcta.
-
OJO,
Viendo tu printscreen el puerto ldap tienes 3389 y es 389 (se te fue un 3 de mas).
Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian), veo que tienes LDAP, en el Combo del método, quizás deba ser: NTdomain. Prueba ambas opciones.
Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.
En LDAP BASE DOMAIN: tienes que termina con un -R Creo que esta de mas.
tu LDAP USER NAME ATRIBUTE: tienes uid y si es AD debe ser: sAMAccountName ya que uid es OpenLdap.
el LDAP SEARCH FILTER: debes buscar mas infor para validar si esa es la forma correcta.
bueno el problema era el dedaso jejej , 389 ahora si esta haciendo la validación con squid y el AD navega muy bien , , ahora tengo un problema con el squidguard y el query de búsqueda dentro del AD
me muestra este mensaje
 -
a ver si me ayudan también en esta parte , tengo una OU llamada pfSense y dentro de ella tengo dos grupos , uno que se llama permitidos y bloqueados , y respectivamente cada usuario que pertenece a ese grupo.
adjunto un screen del ad y el query que tengo en el dansguardian.
ldapusersearch ldap://192.168.10.2/DC=netsoluciones,DC=priv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=permitido%2cCN=Users%2cDC=netsoluciones%2cDC=priv))
 -
hola foro , he logrado conseguir hacer filtrar los grupos del AD con squidguard , mañana posteare como me quedo el squidguard y anexare unos screen del ad para que las personas que están en la misma situación se ayuden.
lo único algo molesto es que cada que cierro el browser me pide de nuevo usuario y contraseña.
he visto también que hay una solución de paga por $75.00 te lo integran, alguien la ha probado?
-
Que bueno, felicitaciones.
Si nos puedes enviar la linea del query del squidguard ldapusersearch seria de gran ayuda para integraciones contra AD que otras personas vayan a realizar.
Respecto a que te pide clave cada vez que abres un navegador es normal.
La única forma de que no lo haga es que el pfsense se autentique contra el dominio AD, pero creo que ya tendrías que jugar con el por debajo y no por su interfaz gráfica.
Yo logre que un proxy no me pida clave, sino que valide con el inicio de sesión del usuario. Mi formula fue:
Debian + samba + winbind + squid + ntml eso fue hace tiempo. Hoy en día este método quizás sea obsoleto e inseguro, ya que la opción apuntara siempre a utilizar Kerberos.
Referencia: Squid + Ntml o kerberos: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#Authentication
Saludos.
-
hola de nuevo aquí , lo prometido es deuda , logre hacer la integración del pfSense con el Active Directory 2008r2 que tengo en la empresa , les anado como me quedo el squidguard haciendo las búsquedas con el AD , tengo dos grupos dentro del ad "permitido y bloqueados" , en cada grupo van los usuarios que quiero que naveguen libre y en el otro a los cuales quiero restringir a ciertas paginas.
les pego las búsquedas del query en el squidguard para cada grupo, si les interesa las del ad me avisan.
sldss
 -
Que bien.
Gracias por el aporte.
Saludos.