Nao valida usuario do LDAP [RESOLVIDO]



  • Ola pessoal,

    bom dia! Estou instalando um pfsense 2.3.2 em minha rede… neste momento, estou configurando a autenticacao com o LDAP, mas nao consigo ter exito na validacao do usuario.

    Abro o browser com uma url valida. Nesse momento aparece uma janela solicitando as credenciais. Informo os dados, mas ao transmitir a janela volta em branco.

    Tentando atraves do putty o comando /usr/local/libexec/squid/basic_ldap_auth nao retorna nada.

    O que sera que esta errado?

    Obrigado!



  • @Cavalcante:

    Ola pessoal,

    bom dia! Estou instalando um pfsense 2.3.2 em minha rede… neste momento, estou configurando a autenticacao com o LDAP, mas nao consigo ter exito na validacao do usuario.

    Abro o browser com uma url valida. Nesse momento aparece uma janela solicitando as credenciais. Informo os dados, mas ao transmitir a janela volta em branco.

    Tentando atraves do putty o comando /usr/local/libexec/squid/basic_ldap_auth nao retorna nada.

    O que sera que esta errado?

    Obrigado!

    E ai, pessoal? Alguma ideia? Tentei criar uma regra LAN liberando tudo, sem exito. Parei o firewall do servidor, sem exito. Igualei os relogios dos dois servidores ( firewall e dominio), sem exito.

    Alguma dica???

    Obrigado!





  • Bom dia

    Cavalcante,
    Vamos por partes:
    1 - essa autenticação com LDAP é no squid? squidguard?
    2 - é o Openldap ou o Active directory?

    Se for squid e squidguard manda um print das confs de autenticação dos dois.

    Obrigado.





  • @indio29:

    Bom dia

    Cavalcante,
    Vamos por partes:
    1 - essa autenticação com LDAP é no squid? squidguard?
    2 - é o Openldap ou o Active directory?

    Se for squid e squidguard manda um print das confs de autenticação dos dois.

    Obrigado.

    Beleza!!! Bom dia!!!

    Vamos la…

    1. Ainda estou na instalacao e configuracao do squid. Vou instalar o squidguard depois de validar essa autenticacao. Por exemplo, atraves do putty eu executo o comando "/usr/local/libexec/squid/basic_ldap_auth -v 3 -b /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=recantoce,DC=org -D CN=pfsense,OU=OrganizacaoRecanto,DC=recantoce,DC=org -w XXXXXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.180.20:389" e nao tenho nenhum retorno. Nao deveria dar timeout?

    2. Uso Active directoryem um servidor Windows 2012 r2.

    Mando print de tudo? Essas configuracoes ficam em qual arquivo? Posso enviar o arquivo?

    Obrigado!



  • @Cavalcante:

    @indio29:

    Bom dia

    Cavalcante,
    Vamos por partes:
    1 - essa autenticação com LDAP é no squid? squidguard?
    2 - é o Openldap ou o Active directory?

    Se for squid e squidguard manda um print das confs de autenticação dos dois.

    Obrigado.

    Beleza!!! Bom dia!!!

    Vamos la…

    1. Ainda estou na instalacao e configuracao do squid. Vou instalar o squidguard depois de validar essa autenticacao. Por exemplo, atraves do putty eu executo o comando "/usr/local/libexec/squid/basic_ldap_auth -v 3 -b /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=recantoce,DC=org -D CN=pfsense,OU=OrganizacaoRecanto,DC=recantoce,DC=org -w XXXXXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.180.20:389" e nao tenho nenhum retorno. Nao deveria dar timeout?

    2. Uso Active directoryem um servidor Windows 2012 r2.

    Mando print de tudo? Essas configuracoes ficam em qual arquivo? Posso enviar o arquivo?

    Obrigado!

    Desculpa… esqueci de colocar o usuario a ser validado no comando. Melhorando... faco assim:

    /usr/local/libexec/squid/basic_ldap_auth -v 3 -b /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=recantoce,DC=org -D CN=pfsense,OU=OrganizacaoRecanto,DC=recantoce,DC=org -w XXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.180.20:389 francisco.cavalcante senhax



  • Manda os prints das confs do squid nessa parte de autenticação que você fez, outra coisa qual o primeiro DNS do seu firewall? Ele resolve do dominio quando você tenta dar um ping nele?

    Obrigado.



  • @indio29:

    Manda os prints das confs do squid nessa parte de autenticação que você fez, outra coisa qual o primeiro DNS do seu firewall? Ele resolve do dominio quando você tenta dar um ping nele?

    Obrigado.

    Bom dia!

    Vamos la… estou enviando 3 imagens da aba de autenticacao e 1 com informacoes de DNS, que estou configurando com o IP do meu servidor de dominio.

    Atraves do Putty, me loguei no firewall e de la fiz um ping no servidor de dominio e nao obtive erro.

    . Servidor de dominio (DHCP, DNS) (Windows 2012 r2):  192.168.180.20
    . Firewall (Firewall + Proxy): 192.168.180.30

    Obrigado!

    ![Squid Autent1.png](/public/imported_attachments/1/Squid Autent1.png)
    ![Squid Autent1.png_thumb](/public/imported_attachments/1/Squid Autent1.png_thumb)
    ![Squid Autent2.png](/public/imported_attachments/1/Squid Autent2.png)
    ![Squid Autent2.png_thumb](/public/imported_attachments/1/Squid Autent2.png_thumb)
    ![Squid Autent3.png](/public/imported_attachments/1/Squid Autent3.png)
    ![Squid Autent3.png_thumb](/public/imported_attachments/1/Squid Autent3.png_thumb)
    ![Squid DNS.png](/public/imported_attachments/1/Squid DNS.png)
    ![Squid DNS.png_thumb](/public/imported_attachments/1/Squid DNS.png_thumb)



  • Nas confs do squid aparentemente estão ok, sobre o ping se você fizer do firewall no dominio recantoce.org ele responde no ip do AD?

    Outra coisa tenta colocar essa porta 3268 no "Authentication server port" do squid e ve como se comporta.



  • @indio29:

    Nas confs do squid aparentemente estão ok, sobre o ping se você fizer do firewall no dominio recantoce.org ele responde no ip do AD?

    Outra coisa tenta colocar essa porta 3268 no "Authentication server port" do squid e ve como se comporta.

    Beleza!!!

    Alguns pontos:

    1. Faco ping sem perda de pacote;

    2. Com firewall do Windows ligado nao tenho retorno do telnet: [2.3.2-RELEASE][root@RCEFirewall.recantoce.org]/usr/local/etc/squid: telnet 192.168.180.20 3128 Trying 192.168.180.20…

    3. Sem firewall do Windows recebo um erro do telnet:
    [2.3.2-RELEASE][root@RCEFirewall.recantoce.org]/usr/local/etc/squid: telnet 192.168.180.20 3128
    Trying 192.168.180.20…
    telnet: connect to address 192.168.180.20: Connection refused
    telnet: Unable to connect to remote host

    4. Quando chegar no Recanto altero a porta para testar.

    Estou achando que eh problema no meu servidor. Sera?!?

    Obrigado!!!



  • Ola Indio,

    bom dia. Com o firewall do windows server 2012 desligado fiz os testes e nao obtive sucesso.

    Veja na imagem…

    ![Squid Testes.png](/public/imported_attachments/1/Squid Testes.png)
    ![Squid Testes.png_thumb](/public/imported_attachments/1/Squid Testes.png_thumb)



  • @Cavalcante:

    @indio29:

    Nas confs do squid aparentemente estão ok, sobre o ping se você fizer do firewall no dominio recantoce.org ele responde no ip do AD?

    Outra coisa tenta colocar essa porta 3268 no "Authentication server port" do squid e ve como se comporta.

    Beleza!!!

    Alguns pontos:

    1. Faco ping sem perda de pacote;

    2. Com firewall do Windows ligado nao tenho retorno do telnet: [2.3.2-RELEASE][root@RCEFirewall.recantoce.org]/usr/local/etc/squid: telnet 192.168.180.20 3128 Trying 192.168.180.20…

    3. Sem firewall do Windows recebo um erro do telnet:
    [2.3.2-RELEASE][root@RCEFirewall.recantoce.org]/usr/local/etc/squid: telnet 192.168.180.20 3128
    Trying 192.168.180.20…
    telnet: connect to address 192.168.180.20: Connection refused
    telnet: Unable to connect to remote host

    4. Quando chegar no Recanto altero a porta para testar.

    Estou achando que eh problema no meu servidor. Sera?!?

    Obrigado!!!

    Eita… nesse nesse teste coloquei a porta errada. Mas o post anterior ja mostra o teste que queria. Obrigado!



  • Caro Indio,

    acho que encontrei uma informacao importante: Acesso negado ao cache. Seria entao, permissao?!?

    Essa mensagem mostra, bem rapido, durante as tentativas de validacao do usuario pelo browser.

    Obrigado!

    ![Squid Acesso negado.png](/public/imported_attachments/1/Squid Acesso negado.png)
    ![Squid Acesso negado.png_thumb](/public/imported_attachments/1/Squid Acesso negado.png_thumb)
    ![Squid Acesso negado.png](/public/imported_attachments/1/Squid Acesso negado.png)
    ![Squid Acesso negado.png_thumb](/public/imported_attachments/1/Squid Acesso negado.png_thumb)
    ![Squid Permissao.png](/public/imported_attachments/1/Squid Permissao.png)
    ![Squid Permissao.png_thumb](/public/imported_attachments/1/Squid Permissao.png_thumb)



  • Amigos,

    bom dia! Tentei seguir o que foi orientado em https://forum.pfsense.org/index.php?topic=113289.msg630523#msg630523 , mas ocorreu em erro. Veja:

    Quando fui parar o squid pelo comando: /usr/local/etc/rc.d/squid.sh stop

    [2.3.2-RELEASE][admin@RCEFirewall.recantoce.org]/root: /usr/local/etc/rc.d/squid.sh stop
    squid: ERROR: No running copy

    O que pode ta errado?

    Abaixo o arquivo  /usr/local/etc/rc.d/squid.sh

    #!/bin/sh

    This file was automatically generated

    by the pfSense service handler.

    rc_start() {
            #/sbin/sysctl net.inet.ip.portrange.reservedhigh=0
    if [ -z "/bin/ps auxw | /usr/bin/grep "[s]quid " | /usr/bin/awk '{print $2}'" ]; then
            /usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf
    fi

    }

    rc_stop() {
            /usr/local/sbin/squid -k shutdown -f /usr/local/etc/squid/squid.conf

    Just to be sure…

    sleep 5
    if [ -n "/bin/ps auxw | /usr/bin/grep "[s]quid " | /usr/bin/awk '{print $2}'" ]; then
            /usr/local/sbin/squid -k kill -f /usr/local/etc/squid/squid.conf
    fi

    if [ -x /usr/bin/ipcs ]; then

    http://man.chinaunix.net/newsoft/squid/Squid_FAQ/FAQ-22.html#ss22.8

    /usr/bin/ipcs | /usr/bin/grep '^[mq]' | /usr/bin/awk '{printf "ipcrm -%s %s\n", $1, $2}' | /bin/sh
    fi

    /usr/bin/killall -9 squid 2>/dev/null
    /usr/bin/killall pinger 2>/dev/null

    }

    case $1 in
            start)
                    rc_start
                    ;;
            stop)
                    rc_stop
                    ;;
            restart)
                    rc_stop
                    rc_start
                    ;;
    esac

    Obrigado pelo apoio.



  • Outra coisa… veja o resultado do comando ps. Nao deveria ter uma resposta?!?

    Obrigado!!!

    ![Squid resultado ps.png](/public/imported_attachments/1/Squid resultado ps.png)
    ![Squid resultado ps.png_thumb](/public/imported_attachments/1/Squid resultado ps.png_thumb)



  • Bom dia

    Cavalcante,
    Desculpe a demora estava em projeto vamos la, aquelas imagens que você me passou é normal se você não se autentica ele aparece aquela mensagem mesmo, me faz um favor me manda as imagens das suas ACL do squid, porque aparentemente esta tudo ok mais ainda ele bloqueia algo.

    Obrigado.



  • Bom dia, Indio.

    Obrigado pelo retorno. Acho que encontrei o problema… espaco em disco. Veja a imagem...

    Ele ta com problema de espaco mesmo, ne? Ou essas pastas com 100% de uso sao pastas de trabalho do pfsense? O que devo fazer?

    Obrigado!

    Sim... as ACLs estao todas em branco.

    ![Squid resultado df.png](/public/imported_attachments/1/Squid resultado df.png)
    ![Squid resultado df.png_thumb](/public/imported_attachments/1/Squid resultado df.png_thumb)



  • Boa Noite

    Cavalcante,
    Não é problema de espaço em disco, verifica se essas confs do seu firewall estão como nas imagens abaixo:






  • Caro Indio, boa dia!

    Bom… sobre as suas orientacoes:

    1. Allowed Subnets: Nao tinha informado nada, pois acredito que a rede do proxy ja esta automaticamente incluida nessa opcao. Mesmo assim, inclui e o problema continuou;

    2. Allow Users on Interface: Ja estava marcada;

    Abraco e obrigado!



  • Gostaria de passar mais uma informacao…

    Quando eu tento me logar pelo Chrome, as vezes, a janela das credenciais fecha antes do click no botao e, no firefox, gera a mensagem no log anexado.

    Alguma dica?

    Obrigado.

    ![Squid log cache.png_thumb](/public/imported_attachments/1/Squid log cache.png_thumb)
    ![Squid log cache.png](/public/imported_attachments/1/Squid log cache.png)



  • Boa tarde Cavalcante.
    Confira se o Distinguished Name e a senha do usuário que você está usando para acessar o AD estão corretos.
    Se não for isso, em alguns casos é melhor você iniciar tudo do zero. Já tive situações que, de tanto fuçar para encontrar a solução de um problema, alterei mais que devia e nada funcionava. Ai quando reinstalei tudo do zero e segui uma receita deu certo.
    Boa sorte.



  • @claupers:

    Boa tarde Cavalcante.
    Confira se o Distinguished Name e a senha do usuário que você está usando para acessar o AD estão corretos.
    Se não for isso, em alguns casos é melhor você iniciar tudo do zero. Já tive situações que, de tanto fuçar para encontrar a solução de um problema, alterei mais que devia e nada funcionava. Ai quando reinstalei tudo do zero e segui uma receita deu certo.
    Boa sorte.

    Obrigado claupers, mas vou tentar mais um pouco. Pois ja estamos em producao e nao queria parar a instituicao toda.

    Valeu mesmo… conforme voce orientou, vou ver se pode ser algo com usuario ou senha.

    Abraco!



  • Bom dia

    Cavalcante,
    Pela imagem é o que o nosso amigo claupers falou mesmo, um outro detalhe o squid não suporta caracteres especiais na senha tenta colocar senhas mais simples só com letras e números nesse usuário.

    Obrigado.



  • @indio29:

    Bom dia

    Cavalcante,
    Pela imagem é o que o nosso amigo claupers falou mesmo, um outro detalhe o squid não suporta caracteres especiais na senha tenta colocar senhas mais simples só com letras e números nesse usuário.

    Obrigado.

    Bom dia!!!

    Verdade, pessoal… troquei as senhas do usuario pfsense e do meu usuario, e deu certo.  O meu usuario usava o @.  :)

    Ta meio estranho, mas ta funcionando.

    Muito obrigado a todos!!!



  • Que bom.
    Marque o tópico como resolvido.



  • @claupers:

    Que bom.
    Marque o tópico como resolvido.

    Obrigado. Como marco como resolvido?



  • Olá. Vá na primeira mensagem e edite o assunto colocando a palabra [RESOLVIDO] entre colchetes.

    Cordialmente;



  • @claupers:

    Olá. Vá na primeira mensagem e edite o assunto colocando a palabra [RESOLVIDO] entre colchetes.

    Cordialmente;

    Obrigado!