Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema al validar usuario con el AD usando LDAP

    Scheduled Pinned Locked Moved Español
    16 Posts 5 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jjescalona
      last edited by

      Perdona que te moleste, pero quiero anexarte el "Proxy config" , ya que tal vez con tu experiencia puedas ver algo que yo no. Muchas gracias por el apoyo.

      Do not edit manually !

      http_port 11.120.11.23:8080
      icp_port 0

      pid_filename /var/run/squid.pid
      cache_effective_user proxy
      cache_effective_group proxy
      error_directory /usr/pbi/squid-amd64/etc/squid/errors/Spanish
      icon_directory /usr/pbi/squid-amd64/etc/squid/icons
      visible_hostname midominio
      cache_mgr jescalona@midominio.com
      access_log /dev/null
      cache_log /var/squid/logs/cache.log
      cache_store_log none
      logfile_rotate 0
      shutdown_lifetime 3 seconds

      Allow local network(s) on interface(s)

      acl localnet src  11.120.11.0/255.255.255.0
      uri_whitespace strip

      cache_mem 8 MB
      maximum_object_size_in_memory 32 KB
      memory_replacement_policy heap GDSF
      cache_replacement_policy heap LFUDA
      cache_dir ufs /var/squid/cache 100 16 256
      minimum_object_size 0 KB
      maximum_object_size 10 KB
      offline_mode off

      No redirector configured

      Setup some default acls

      acl all src 0.0.0.0/0.0.0.0
      acl localhost src 127.0.0.1/255.255.255.255
      acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
      acl sslports port 443 563 
      acl manager proto cache_object
      acl purge method PURGE
      acl connect method CONNECT
      acl dynamic urlpath_regex cgi-bin ?
      acl allowed_subnets src 11.120.11.0/24
      cache deny dynamic
      http_access allow manager localhost

      http_access deny manager
      http_access allow purge localhost
      http_access deny purge
      http_access deny !safeports
      http_access deny CONNECT !sslports

      Always allow localhost connections

      http_access allow localhost

      request_body_max_size 0 KB
      reply_body_max_size 0 deny all
      delay_pools 1
      delay_class 1 2
      delay_parameters 1 -1/-1 -1/-1
      delay_initial_bucket_level 100
      delay_access 1 allow all

      Custom options

      url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf
      url_rewrite_bypass off
      url_rewrite_children 16 startup=8 idle=4 concurrency=0
      auth_param basic program /usr/pbi/squid-amd64/libexec/squid/squid_ldap_auth -v 3 -b dc=midominio,dc=com -R -D 'cn=pfsense_admin,dc=Users,dc=midominio,dc=com' -w Pfsense -f 'sAMAccountName' -u  -P 11.120.11.4:389
      auth_param basic children 5
      auth_param basic realm Ingrese su usuario y clave de Windows
      auth_param basic credentialsttl 60 minutes
      acl password proxy_auth REQUIRED
      http_access allow password localnet
      http_access allow password allowed_subnets

      Default block all to be sure

      http_access deny all

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#squid.conf

        ### /etc/squid3/squid.conf Configuration File ####

### provide basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=example,dc=local" -D squid@example.local -W /etc/squid3/ldappass.txt -f sAMAccountName=%s -h dc1.example.local
auth_param basic children 10
auth_param basic realm Internet Proxy
auth_param basic credentialsttl 1 minute

### acl for proxy auth and ldap authorizations
acl auth proxy_auth REQUIRED

### enforce authentication
http_access deny !auth
http_access allow auth
http_access deny all
        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          Si no funciona correctamente diría que el problema tiene que estar en la línea

          auth_param basic program /usr/pbi/squid-amd64/libexec/squid/squid_ldap_auth -v 3 -b dc=midominio,dc=com -R -D 'cn=pfsense_admin,dc=Users,dc=midominio,dc=com' -w Pfsense -f 'sAMAccountName' -u  -P 11.120.11.4:389

          Verifica que los parámetros sean correctos para tu LDAP.

          1 Reply Last reply Reply Quote 0
          • J
            jjescalona
            last edited by

            Gracias por la información, aprovecho para decirte que no tengo un directorio "/etc/squid3/", de hecho al leer tu mensaje, procedí a instalar el paquete "squid3", pero aun así no tengo el directorio especificado, no se si es que me falta otro paquete más y no lo conozco. Los paquetes que tengo son: "squid","squid3","squidGuard","squidGuard-devel", de nuevo gracias por la ayuda.

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              No puedes tener squid 2.x y squid 3.x

              Uno u otro.

              Los directorios que te dí están sacados de la wiki de squid y no tiene por qué ser los mismos en la distribución que se emplea. En este caso pfSense, que aunque sea FreeBSD tampoco tiene exactamente la misma distribución de directorios.

              Siento haber provocado confusión…

              1 Reply Last reply Reply Quote 0
              • J
                jjescalona
                last edited by

                Hola bellera, quería agradecerte el apoyo prestado, pude solventar el problema que tenia y efectivamente ya esta funcionando sin inconveniente el proceso, tuve que eliminar los grupos y usuarios creados en el AD y procedí a crearlos en una nueva unidad organizativa. Inicie todo el proceso de configuración del pfsense y todo esta OK.

                De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.

                1 Reply Last reply Reply Quote 0
                • A
                  acriollo
                  last edited by

                  Hola
                  Entonces el problema fue del lado del AD y no del squid ?

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    @jjescalona:

                    De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.

                    De nada.

                    La mejor forma de colaborar es ser activo en el foro. Entre todos, mejoramos…

                    1 Reply Last reply Reply Quote 0
                    • J
                      jjescalona
                      last edited by

                      @acriollo:

                      Hola
                      Entonces el problema fue del lado del AD y no del squid ?

                      Efectivamente, el problema estaba en la manera como se creo inicialmente en el AD. Para resolver el problema cree una nueva Unidad Organizativa, dentro de ella el usuario de verificación y el grupo a validar el privilegio de navegación.

                      1 Reply Last reply Reply Quote 0
                      • S
                        slayther
                        last edited by

                        Buenas tardes, tengo exactamente el mismo problema. como lograste solucionarlo? saludos

                        1 Reply Last reply Reply Quote 0
                        • J
                          j.sejo1
                          last edited by

                          Adicional, y notas para futuros casos de Squid+SquidGuard con AD.

                          1. Traten de que los grupos esten creados sin espacios, en ou sin espacios, cuestion de que sea mas facil la ubicacion ej:  cn=GrupoVIP,ou=Internet,dc=dominio,dc=local

                          2. Traten de que el usuario no tenga ni apellidos ni nombre (me refiero al usuario que usa Squidguard para leer el LDAP) , ya que el Squid usa el ID puro ejemplo  pperez, pero el squidGuard utiliza el CN completo:  Pedro Perez,  por lo que el estring quedara en el squidguard seria: cn=Pedro Perez,ou=Usuarios,dc=dominio,dc=local

                          Y en el Squid: cn=pperez,ou=Usuarios,dc=dominio,dc=local

                          1. Eviten ACL o GPO en el AD donde el usuario se pueda conectar en una sola maquina, esto debido a que al AD llega la peticion del usuario como si intentara conectarse al squid. Por lo que el AD no lo dejara autenticar.  Esto lo pueden arreglar haciendo desde el squid con ma_user_ip Acl pura del squid.  Asi evitan que el usuario preste su contraseña.

                          Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                          Hardening Linux
                          Telegram: @vtlbackupbacula
                          http://www.smartitbc.com/en/contact.html

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.