[SOLUCIONADO] Squid en pfSense 2.3.2 con el AD
-
Hola foreros , estoy tratando de unir el pfSense 2.3.2 con un active directory 2008R2 , pero no lo logro autenticar , cada que abro cualquier browser me pide un usuario y password del dominio pero no lo autentica , he intentado con estas guías y nada
http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/
http://aafikry.web.id/index.php/2016/06/22/how-to-setting-squid-on-pfsense-2-3-with-authentiaction-ldap-windows/he creado un usuario con privilegios de administrador del dominio , he usado el administrador del dominio pero sin éxito
les pego como lo tengo actualmente , a ver si alguien del foro me de una mano.



 -
Has visto los logs que error te muestra?
-
@
:
Has visto los logs que error te muestra?
si , el log de squid me muestra esto:
1481994255.626 0 192.168.10.45 TCP_DENIED/407 4338 GET http://fxfeeds.mozilla.com/es-ES/firefox/headlines.xml - HIER_NONE/- text/html
1481994265.500 6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994266.078 5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994266.595 5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994267.174 5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994271.760 8 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994273.029 7 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994273.165 6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994273.425 5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994273.603 6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994273.779 5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
1481994274.252 8 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/htmlestoy tratando de autenticar con usuario normal del ad , el usuario es ricardog
gracias por la ayuda.
-
Tienes squid guardian instalado? Y habilitado?
-
dansguardian lo tengo desactivado , quiero ir paso a paso.
aquí mire en su momento que lo hacían por debajo.
https://forum.pfsense.org/index.php?topic=45548.0
sldss
-
Estás usando el squid en modo transparente?
-
@
:
Estás usando el squid en modo transparente?
No
-
En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).
te recomiendo lo primero:
Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.
De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD. Por su puesto en este punto no hay restricciones de navegación.
Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.
En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL, el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.
Referencia: http://www.squidguard.org/Doc/authentication.html
En tu caso debes hacerlo con dansguardians.
Saludos.
-
En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).
te recomiendo lo primero:
Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.
De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD. Por su puesto en este punto no hay restricciones de navegación.
Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.
En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL, el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.
Referencia: http://www.squidguard.org/Doc/authentication.html
En tu caso debes hacerlo con dansguardians.
Saludos.
te comento que tengo desactivado el squidguard , esto lo hice para ir depurando donde podía estar el error , así que no es squidguard , el squid no se esta validando al Active Directory eso es lo que entiendo por ahorita
-
OJO,
Viendo tu printscreen el puerto ldap tienes 3389 y es 389 (se te fue un 3 de mas).
Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian), veo que tienes LDAP, en el Combo del método, quizás deba ser: NTdomain. Prueba ambas opciones.
Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.
En LDAP BASE DOMAIN: tienes que termina con un -R Creo que esta de mas.
tu LDAP USER NAME ATRIBUTE: tienes uid y si es AD debe ser: sAMAccountName ya que uid es OpenLdap.
el LDAP SEARCH FILTER: debes buscar mas infor para validar si esa es la forma correcta.
-
OJO,
Viendo tu printscreen el puerto ldap tienes 3389 y es 389 (se te fue un 3 de mas).
Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian), veo que tienes LDAP, en el Combo del método, quizás deba ser: NTdomain. Prueba ambas opciones.
Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.
En LDAP BASE DOMAIN: tienes que termina con un -R Creo que esta de mas.
tu LDAP USER NAME ATRIBUTE: tienes uid y si es AD debe ser: sAMAccountName ya que uid es OpenLdap.
el LDAP SEARCH FILTER: debes buscar mas infor para validar si esa es la forma correcta.
bueno el problema era el dedaso jejej , 389 ahora si esta haciendo la validación con squid y el AD navega muy bien , , ahora tengo un problema con el squidguard y el query de búsqueda dentro del AD
me muestra este mensaje

 -
a ver si me ayudan también en esta parte , tengo una OU llamada pfSense y dentro de ella tengo dos grupos , uno que se llama permitidos y bloqueados , y respectivamente cada usuario que pertenece a ese grupo.
adjunto un screen del ad y el query que tengo en el dansguardian.
ldapusersearch ldap://192.168.10.2/DC=netsoluciones,DC=priv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=permitido%2cCN=Users%2cDC=netsoluciones%2cDC=priv))

 -
hola foro , he logrado conseguir hacer filtrar los grupos del AD con squidguard , mañana posteare como me quedo el squidguard y anexare unos screen del ad para que las personas que están en la misma situación se ayuden.
lo único algo molesto es que cada que cierro el browser me pide de nuevo usuario y contraseña.
he visto también que hay una solución de paga por $75.00 te lo integran, alguien la ha probado?
-
Que bueno, felicitaciones.
Si nos puedes enviar la linea del query del squidguard ldapusersearch seria de gran ayuda para integraciones contra AD que otras personas vayan a realizar.
Respecto a que te pide clave cada vez que abres un navegador es normal.
La única forma de que no lo haga es que el pfsense se autentique contra el dominio AD, pero creo que ya tendrías que jugar con el por debajo y no por su interfaz gráfica.
Yo logre que un proxy no me pida clave, sino que valide con el inicio de sesión del usuario. Mi formula fue:
Debian + samba + winbind + squid + ntml eso fue hace tiempo. Hoy en día este método quizás sea obsoleto e inseguro, ya que la opción apuntara siempre a utilizar Kerberos.
Referencia: Squid + Ntml o kerberos: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#Authentication
Saludos.
-
hola de nuevo aquí , lo prometido es deuda , logre hacer la integración del pfSense con el Active Directory 2008r2 que tengo en la empresa , les anado como me quedo el squidguard haciendo las búsquedas con el AD , tengo dos grupos dentro del ad "permitido y bloqueados" , en cada grupo van los usuarios que quiero que naveguen libre y en el otro a los cuales quiero restringir a ciertas paginas.
les pego las búsquedas del query en el squidguard para cada grupo, si les interesa las del ad me avisan.
sldss



 -
Que bien.
Gracias por el aporte.
Saludos.