[DUVIDA] Pfsense 2.3.2 com squid+squidguard+NTLM[RESOLVIDO]



  • Bom dia a todos.

    Estou migrando meu pfsense da versão 2.1 para a versão 2.3.2, mas estou com um problema na autenticação NTLM com AD 2012 server, o proxy pelo comportamento apresentado está autenticando certinho, porém ele está barrando tudo menos o que está liberado na common acl..

    os groups ACL estão certinhos de acordo com os grupos no AD.

    Client(source)
    ldapusersearch ldap://192.168.2.2:3268/DC=casa,DC=edu,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=acesso-total,OU=Internet,DC=casa,DC=edu,DC=br))

    ele não libera nada, como disse somente o que está liberado na common acl.



  • Tira os bloqueios de palavra chave no teu squid e deixa tudo pelo o teu squidguard. Proxy transparente? interceptação SSL?



  • Não tem ACL no squid.. somente o squidguard está controlando os acessos, eu não uso proxy transparente e ele é autenticado no AD.



  • @neutonsp:

    Não tem ACL no squid.. somente o squidguard está controlando os acessos, eu não uso proxy transparente e ele é autenticado no AD.

    Vou ficar te devendo. Só trabalho com proxy transparente e com a lista ACL do blacklist.



  • @neutonsp:

    Bom dia a todos.

    Estou migrando meu pfsense da versão 2.1 para a versão 2.3.2, mas estou com um problema na autenticação NTLM com AD 2012 server, o proxy pelo comportamento apresentado está autenticando certinho, porém ele está barrando tudo menos o que está liberado na common acl..

    os groups ACL estão certinhos de acordo com os grupos no AD.

    Client(source)
    ldapusersearch ldap://192.168.2.2:3268/DC=casa,DC=edu,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=acesso-total,OU=Internet,DC=casa,DC=edu,DC=br))

    ele não libera nada, como disse somente o que está liberado na common acl.

    Bom dia!

    Tive este problema, resolvi retirando o hífen da OU ou nome de algum grupo, os espaços no nome da OU utilizei a expressão %20

    No seu caso, tente fazer da forma abaixo:

    Vá no Windows Server, altere o grupo acesso-total para acessototal e na consulta ldap deixe da seguinte forma:

    ldapusersearch ldap://192.168.2.2:3268/DC=casa,DC=edu,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=acessototal,OU=Internet,DC=casa,DC=edu,DC=br))

    Lembre-se também que o usuário que faz a consulta ldap no squid-guard não poderá ter senha com caracter especial.

    Exemplo (Supondo que seu Windows seja em Ingles, caso não seja, utilize cn=administrador em português mesmo):

    LDAP Options

    LDAP DN: cn=administrator,cn=Users,dc=casa,dc=edu,dc=br
    LDAP DN Password: PFsense16

    A senha acima o Windows Server vai aceitar, por ter letra maiúscula, minuscula e número, sem carácter especial pra evitar problema no PFsense.



  • Era a senha com carácteres especiais mesmo..  vlw demais..

    Obrigado pela dica.


Log in to reply