Squidguarde não bloqueia user baseado em autenticação squid

isaiasbertin

boa noite

nos últimos dias postei bastante tópicos no fórum pfsense, motivo estou estudando o mesmo e aprendendo seu funcionamento.

umas das coisa agora que não estou entendendo é que tenho o squid configurado para autenticar via ldap, até ai beleza, mas quando criei grupo e coloquei os nomes dos usuários com algumas regras de bloqueio, pois o mesmo não esta bloqueando. os senhores não poderia me explicar o que esta errado veja a figura

holiveira

No campo onde você informou os usuários, deve-se usar um ldapsearch, para buscar diretamente no seu ldap, segue exemplo:

ldapusersearch ldap://192.168.1.100/dc=dominio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=PFS-AcessoPadrao%2cou=PFSense%2cdc=dominio%2cdc=local))

IP AD: 192.168.1.100
Dominio: dominio.local
OU onde usuários estao: PFSense > PFS-AcessoPadrao

bacconi

Aqui no meu, tive que colocar os nomes de usuarios entre aspas simples. Eg. 'marcelo.bacconi'

marcelloc

@bacconi:

Aqui no meu, tive que colocar os nomes de usuarios entre aspas simples. Eg. 'marcelo.bacconi'

Isso mesmo, veja a descrição/mini help logo abaixo do campo.

isaiasbertin

ta pessoal, eu ja tenho autenticação via o squid, mas ainda tenho que colocar o que o holiveira falou?

pois vi alguns materiais no forum que não utilizava o que o holiveira falou bastava criar um grupo no squidguard  e somente colocar os usuários com aspa simples que nem esta na figura que postei

marcelloc

@isaiasbertin:

ta pessoal, eu ja tenho autenticação via o squid, mas ainda tenho que colocar o que o holiveira falou?

Não necessáriamente. Você pode colocar manualmente como fez ou partir para consultas automaticas via LDAP.

As duas formas funcionam.

isaiasbertin

então da forma que fiz postado na figura esta correto certo?

cara não esta bloqueando desta forma, mas minha regra padrão Common ACL  esta allow all, mas se coloco deny all bloqueia tudo

como posso debugar isso, pois sou novo neste cara..

isaiasbertin

segui este post

http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/

o que vc acha

marcelloc

Veja no log do squid como estão aparecendo os usuários e deixe igual no squidguard.

A integração do squidguard está habilitada e funcionando? você recebe telas de erro do squidguard em algum momento?

isaiasbertin

sim recebo quando dou um deny all Common ACL  default

bloqueia tudo

em anexo esta as imagens

mas quando coloco em allow  passa tudo e não bloquei pelo grupo, o proxy esta configurado no navegado, antes de acessar a internet ele pede usuário e senha

isaiasbertin

olha pessoal, fiz da forma que esta na imagem, mas também não funcionou agora pegunto tem alguma coisa para debugar, pois não sei onde estou errando.

marcelloc

Não sei se você sabe mas o squidguard não entende várias listas de acls.

O conceito dele para na primeira regra que atende os criterios.

Por exemplo, se o ip/usuario bateu no financeiro, ele só entende por exemplo o "on time" "off time" e o que foi definido na regra padrão.

isaiasbertin

beleza

caras sabes que ainda não consegui fazer funcionar pelo squidguard?

segui alguns tutorial e nada, talvez poderiam me indicar algo.

isaiasbertin

agora vcs podem me ajudar gerou um log do squidguard

ldap_search_ext_s failed: Operations error (params: dc=bertin,dc=local, 2, (&(sAMAccountName=zaira)(memberOf=cn=acesso,cn=Users,dc=bertin,dc=local)(sAMAccountName=zaira)), sAMAccountName)

esta é minha configuração

ldapusersearch ldap://192.168.2.2/dc=bertin,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=acesso%2ccn=Users%2cdc=bertin%2cdc=local)(sAMAccountName=%s))

acho que agora os senhores podem me ajudar.