Integração Pfsense 2.4.4 com Active Directory
-
Oi Marcello bom dia!
Não, funciona também em modo autenticado, mas não to conseguindo pois me parece que há algo na configuração do SquidGuard que não esta batendo.
Por isso so consegui transparente, mandei as configurações acima para ver se alguem mais experiente consiga me ajudar...
-
@rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Rafamaximo2018 você tem que ver 2 coisas pelo que percebi:
Primeiro - Ver se a integração com o LDAP está correta:
Em "LDAP options" você tem que habilitar a integração e também ter uma conta no AD que fara a conexão com o Squidguard, que vai digitar ela no "LDAP DN", como na figura.
Esse LDAP DN você pega o CN (Common Name) através do "ADSI Edit" (ferramenta do domínio para edição das OU's) isso dentro do seu servidor de domínio.
Eu criei uma conta (não administradora) para fazer a integração "pfuser" e peguei o DN (Distinguished Name) dela.
Copie e cole no campo "LDAP DN" e depois digite a senha.
Mark Strip NT DOMIN e Strip Kerberos.
Escolha a versão do LDAP, meu caso é 3.Salve e depois de "Applay" aquela tecla verde na imagem anterior do Squidguard.
Obs importante: Sempre que mexer nas regras ou configurações você tem que dar o "Applay".
Pronto a integração esta feita.
Segundo - Vi que a linha de busca no LDAP está errada. Ela esta assim:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
E na verdade deveria ser assim:
ldapusersearch ldap://192.168.20.1:3268/DC=dukar,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Vi que seu domínio é dukar.local... então o primeiro DC=domain deve ser mudado para DC=dukar e o segundo para DC=local.
Faça testes...
-
@marcello-marques Essas configurações são para o modo autenticado do Squid.
-
Sim, tentei as duas alternativas. E não deu certo!
Posso até te mandar os prints da minha tela, o usuário que eu criei dentro do AD para integração está com nome de Pfsense..
Ressalto que meu Ad é Samba 4.. Será que tem algo a ver?
-
@rafamaximo2018 é a mesma versão minha. Pode ser que tenha algo errado com seu AD e não com o PFSENSE.
Era pra funcionar direito essa questão de filtro do SquidGuard.
Faça um checklist detalhado de todas s configurações... é demorado mas garanta que não esqueceu nada... Essa questão de integração do AD qqer detalhes pequeno, mesmo uma virgula fora de lugar, impede o bom funcionamento... Outra coisa, verifique esse esse usuário do AD não esta bloqueado. -
Cara fiz e refiz 2 vezes essa verificação!
Realmente não sei o porque isso acontece.... Será pq é samba 4?
-
Certamente é algo relacionado ao SquidGuard pois no Squid funciona as regras normalmente!
Engraçado que eu dou o comando wbinfo -u e ele lista os usuários no pfsense inclusive o que eu criei para integração!
-
eu to achando que pode ser a complexibilidade de senha do samba4...
Exemplo criei um usuário pfuser e senha = senha_1 sera que pode ser isso?
-
Peguei os logs do squidguard... segue:
(squidGuard): ldap_simple_bind_s falhou: Requer autenticação forte (er)
-
@rafamaximo2018 Olha faz o seguinte, assiste esse video:
Link de PFSense Integrado com AD+SquidGuard
Tem ferramentas de testes..
-
Amigo consegui resolver!!! GRAÇAS A DEUS e ao forum aqui também!!!
Velho vi isso no forum após os logs do squid....
Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.
Editei o SMB.CONF
#vi /etc/samba/smb.conf
E adicionei a seguinte linha no Global Parameters.
ldap server require strong auth = no
Salvei o arquivo
#:wq!
E reiniciei o serviço do Samba.
Fiz e resolveu.. obrigaod demais viu!
-
Pessoal, boa tarde!
Desculpe a demora... Consegui configurar os dois Squid e SquidGuard, mas o procedimento so fucnionou depois de reiniciar o FW, nao foi o suficiente reiniciar o serviço. Após isso! td funcionando, @Markinho1970 muito boa sua dica da versão parabens.
-
@marcello-marques Obrigado amigo...
-
Prezados..
Apos fazer todos os processos tudo testado e funcionando o meu pfsense não habilita os campos Authentication Server e Port para digitar informações
-
@marcelfreitas qual a versao do seu squid
-
@marcelfreitas qual a versao do seu pfsense, ja temos o script para versao 2.4.4
-
Bom dia, você tem como me mandar a versão pro pfsense 2.4.4-release?
Fiz os procedimentos acima e o squid e squidguard não iniciam.
-
Boa tarde, após refazer os procedimentos os serviços do squid, squidguard e samba estão ok. Configurei no navegador o endereço do proxy e fica pedindo usuário a todo momento. Já configurei a parte do NTLM também. Sabe o que pode ser?
-
-
Isso já aconteceu comigo, é meio que um bug.
É so vc marcar a opção LDAP, vai habilitar.. aí é so vc mudar pra Winbind NTLM que vai estar acessível.Att,
Marco Aurélio
