Squid3 no authentica con AD


  • Buenos Dias,

    He tenido serios problemas con el Squid y la autheticacion con AD he tratado muchas cosas y nada parece funcionar, logro que el pfsense se authetique utilizando el AD pero cuando vamos a la parte de lograr que el squid funcione el a historia es diferente el squid cuando coloco  en modo transparente functiona perfecto, pero cuando le habilita la configuracion oara que filter basado en usuarios de la red siempre la misma respuesta, solicita el usuario y el password 1000 veces.

    aqui les coloco el archive de configuracion para ver si tienen alguna respuesta a esta duda, el seguido los tutorials y nada

    
    # This file is automatically generated by pfSense
    # Do not edit manually !
    
    http_port 172.28.102.7:3128
    icp_port 0
    dns_v4_first off
    pid_filename /var/run/squid/squid.pid
    cache_effective_user squid
    cache_effective_group proxy
    error_default_language en
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    netdb_filename /var/squid/logs/netdb.state
    pinger_enable on
    pinger_program /usr/local/libexec/squid/pinger
    
    logfile_rotate 1
    debug_options rotate=1
    shutdown_lifetime 3 seconds
    # Allow local network(s) on interface(s)
    acl localnet src  172.28.102.0/24
    forwarded_for on
    uri_whitespace strip
    
    acl dynamic urlpath_regex cgi-bin ?
    cache deny dynamic
    
    cache_mem 64 MB
    maximum_object_size_in_memory 256 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    minimum_object_size 0 KB
    maximum_object_size 4 MB
    cache_dir ufs /var/squid/cache 100 16 256
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95
    cache allow all
    # Add any of your own refresh_pattern entries above these.
    refresh_pattern ^ftp:    1440  20%  10080
    refresh_pattern ^gopher:  1440  0%  1440
    refresh_pattern -i (/cgi-bin/|?) 0  0%  0
    refresh_pattern .    0  20%  4320
    
    #Remote proxies
    
    # Setup some default acls
    # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
    # acl localhost src 127.0.0.1/32
    acl allsrc src all
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535 
    acl sslports port 443 563  
    
    # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
    #acl manager proto cache_object
    
    acl purge method PURGE
    acl connect method CONNECT
    
    # Define protocols used for redirects
    acl HTTP proto HTTP
    acl HTTPS proto HTTPS
    acl allowed_subnets src 172.28.102.0/24
    http_access allow manager localhost
    
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports
    
    # Always allow localhost connections
    # From 3.2 further configuration cleanups have been done to make things easier and safer.
    # The manager, localhost, and to_localhost ACL definitions are now built-in.
    # http_access allow localhost
    
    request_body_max_size 0 KB
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow allsrc
    
    # Reverse Proxy settings
    
    # Package Integration
    url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
    url_rewrite_bypass off
    url_rewrite_children 16 startup=8 idle=4 concurrency=0
    
    # Custom options before auth
    
    auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=pfsense,DC=local -D CN=enlace,CN=Users,DC=pfsense,DC=local -w Caracas1 -f 'sAMAccountName=%s' -u sAMAccountName -P 172.28.102.1:
    auth_param basic children 5
    auth_param basic realm coloque su password
    auth_param basic credentialsttl 5 minutes
    acl password proxy_auth REQUIRED
    # Custom options after auth
    
    http_access allow password localnet
    http_access allow password allowed_subnets
    # Default block all to be sure
    http_access deny allsrc
    
    

    cuando revise los logs veo lo siguiente

    
    Squid - Access Logs
    Date	IP	Status	Address	User	Destination
    17.07.2016 17:58:16	172.28.102.15	TCP_DENIED/407	http://localhost:3128/squid-internal-static/icons/SN.png	omaita@pfsense	-
    17.07.2016 17:58:14	172.28.102.15	TCP_DENIED/407	http://www.google.com/	omaita@pfsense	-
    17.07.2016 17:57:56	172.28.102.15	TCP_DENIED/407	http://www.google.com/	pfsense\\omaita	-
    17.07.2016 17:57:38	172.28.102.15	TCP_DENIED/407	http://www.google.com/	omaita	-
    17.07.2016 17:57:19	172.28.102.15	TCP_DENIED/407	www.google.co.ve:443	omaita	-
    17.07.2016 17:57:03	172.28.102.15	TCP_DENIED/407	www.google.co.ve:443	omaita	-
    17.07.2016 17:48:26	172.28.102.15	TCP_DENIED/407	http://localhost:3128/squid-internal-static/icons/SN.png	omaita	-
    17.07.2016 17:48:16	172.28.102.15	TCP_DENIED/407	http://localhost:3128/squid-internal-static/icons/SN.png	omaita
    
    

    En espera de la respuesta de algun alma caritativa

    Saludos


  • Fijate si este link te puede ayudar

    Es para implementar SSO en AD con Squid3 en pfSense

    http://pf2ad.mundounix.com.br/en/index.html

    Slds!


  • Como dice rocaembole, es la mejor solución, yo lo tengo funcionando en un ambiente de aprox 200 usuarios y funciona casi a la perfección. Te recomiendo seguir este tutorial: https://www.youtube.com/watch?v=C84EJcrwEvg


  • Gracias por responder,  en realidad he aplicado la solucion y funciona para la autheticacion de los usuarios.  de verdad muchas gracias,  ahora tengo un tema por solucionar como crear grupos para limitar el acceso de los usuarios utilizando el AD

    Si alguien  tienen alguna iudea se los gradecere de verdad…