Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SOLUCIONADO] Squid en pfSense 2.3.2 con el AD

    Scheduled Pinned Locked Moved Español
    16 Posts 3 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rickygm
      last edited by

      Hola foreros , estoy tratando de unir el pfSense 2.3.2 con un active directory 2008R2 , pero no lo logro autenticar , cada que abro cualquier browser me pide un usuario y password del dominio pero no lo autentica , he intentado con estas guías y nada

      http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/
      http://aafikry.web.id/index.php/2016/06/22/how-to-setting-squid-on-pfsense-2-3-with-authentiaction-ldap-windows/

      he creado un usuario con privilegios de administrador del dominio , he usado el administrador del dominio pero sin éxito

      les pego como lo tengo actualmente , a ver si alguien del foro me de una mano.

      ![Captura de pantalla 2016-12-15 a las 3.56.34 PM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-15 a las 3.56.34 PM.png)
      ![Captura de pantalla 2016-12-15 a las 3.56.34 PM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-15 a las 3.56.34 PM.png_thumb)
      ![Captura de pantalla 2016-12-15 a las 3.57.42 PM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-15 a las 3.57.42 PM.png)
      ![Captura de pantalla 2016-12-15 a las 3.57.42 PM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-15 a las 3.57.42 PM.png_thumb)

      1 Reply Last reply Reply Quote 0
      • gersonofstoneG
        gersonofstone
        last edited by

        Has visto los logs que error te muestra?

        Papu!! :V

        1 Reply Last reply Reply Quote 0
        • R
          rickygm
          last edited by

          @😄:

          Has visto los logs que error te muestra?

          si , el log de squid me muestra esto:

          1481994255.626      0 192.168.10.45 TCP_DENIED/407 4338 GET http://fxfeeds.mozilla.com/es-ES/firefox/headlines.xml - HIER_NONE/- text/html
          1481994265.500      6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994266.078      5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994266.595      5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994267.174      5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994271.760      8 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994273.029      7 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994273.165      6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994273.425      5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994273.603      6 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994273.779      5 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html
          1481994274.252      8 192.168.10.45 TCP_DENIED/407 4301 GET http://www.google.com/ ricardog HIER_NONE/- text/html

          estoy tratando de autenticar con usuario normal del ad , el usuario es ricardog

          gracias por la ayuda.

          1 Reply Last reply Reply Quote 0
          • gersonofstoneG
            gersonofstone
            last edited by

            Tienes squid guardian instalado? Y habilitado?

            Papu!! :V

            1 Reply Last reply Reply Quote 0
            • R
              rickygm
              last edited by

              dansguardian lo tengo desactivado , quiero ir paso a paso.

              aquí mire en su momento que lo hacían por debajo.

              https://forum.pfsense.org/index.php?topic=45548.0

              sldss

              1 Reply Last reply Reply Quote 0
              • gersonofstoneG
                gersonofstone
                last edited by

                Estás usando el squid en modo transparente?

                Papu!! :V

                1 Reply Last reply Reply Quote 0
                • R
                  rickygm
                  last edited by

                  @😄:

                  Estás usando el squid en modo transparente?

                  No

                  1 Reply Last reply Reply Quote 0
                  • J
                    j.sejo1
                    last edited by

                    En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).

                    te recomiendo lo primero:

                    Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.

                    De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD.  Por su puesto en este punto no hay restricciones de navegación.

                    Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.

                    En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL,  el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.

                    Referencia:  http://www.squidguard.org/Doc/authentication.html

                    En tu caso debes hacerlo con dansguardians.

                    Saludos.

                    Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                    Hardening Linux
                    Telegram: @vtlbackupbacula
                    http://www.smartitbc.com/en/contact.html

                    1 Reply Last reply Reply Quote 0
                    • R
                      rickygm
                      last edited by

                      @j.sejo1:

                      En este tipo de escenario squid lo que hace es simplemente dejar pasar al usuario, es decir validar la autenticacion contra un LDAP (sea AD u OpenLdap).

                      te recomiendo lo primero:

                      Segun el log que mandaste, el AD esta autenticando el Squid. Para validar, inactiva el Dansguardians o Squidguard.

                      De esta forma sabras que ya tu squid, esta leyendo los usuarios de tu AD.  Por su puesto en este punto no hay restricciones de navegación.

                      Tu segundo paso es activar Dansguardians y validar las ACL con los querys de busqueda.

                      En mi caso utilice squidGuard y cree 5 grupos en el OpenLDap y active las ACL,  el contenido de la ACL no coloca ni IP, ni usuario, solo colocas el query de busqueda LDAP.

                      Referencia:  http://www.squidguard.org/Doc/authentication.html

                      En tu caso debes hacerlo con dansguardians.

                      Saludos.

                      te comento que tengo desactivado el squidguard , esto lo hice para ir depurando donde podía estar el error  , así que no es squidguard , el squid no se esta validando al Active Directory eso es lo que entiendo por ahorita

                      1 Reply Last reply Reply Quote 0
                      • J
                        j.sejo1
                        last edited by

                        OJO,

                        Viendo tu printscreen el puerto ldap tienes 3389  y es 389  (se te fue un 3 de mas).

                        Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian),  veo que tienes LDAP, en el Combo del método,  quizás deba ser: NTdomain.  Prueba ambas opciones.

                        Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.

                        En LDAP BASE DOMAIN:  tienes que termina con un -R    Creo que esta de mas.

                        tu LDAP USER NAME ATRIBUTE:  tienes uid  y si es AD debe ser:  sAMAccountName  ya que uid es OpenLdap.

                        el LDAP SEARCH FILTER:  debes buscar mas infor para validar si esa es la forma correcta.

                        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                        Hardening Linux
                        Telegram: @vtlbackupbacula
                        http://www.smartitbc.com/en/contact.html

                        1 Reply Last reply Reply Quote 0
                        • R
                          rickygm
                          last edited by

                          @j.sejo1:

                          OJO,

                          Viendo tu printscreen el puerto ldap tienes 3389  y es 389  (se te fue un 3 de mas).

                          Lo otro donde tengo duda, ya que a nivel de pfsense nunca he autenticado squid contra AD (lo he hecho es sobre Debian),  veo que tienes LDAP, en el Combo del método,  quizás deba ser: NTdomain.  Prueba ambas opciones.

                          Solo que sea AD u OpenLdap, el protocolo en si, sigue siendo LDAP.

                          En LDAP BASE DOMAIN:  tienes que termina con un -R    Creo que esta de mas.

                          tu LDAP USER NAME ATRIBUTE:  tienes uid  y si es AD debe ser:  sAMAccountName  ya que uid es OpenLdap.

                          el LDAP SEARCH FILTER:  debes buscar mas infor para validar si esa es la forma correcta.

                          bueno el problema era el dedaso jejej , 389 ahora si esta haciendo la validación con squid y el AD navega muy bien , , ahora tengo un problema con el squidguard y el query de búsqueda dentro del AD

                          me muestra este mensaje

                          ![Captura de pantalla 2016-12-19 a las 10.12.19 AM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-19 a las 10.12.19 AM.png)
                          ![Captura de pantalla 2016-12-19 a las 10.12.19 AM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-19 a las 10.12.19 AM.png_thumb)

                          1 Reply Last reply Reply Quote 0
                          • R
                            rickygm
                            last edited by

                            a ver si me ayudan también en esta parte , tengo una OU llamada pfSense y dentro de ella tengo dos grupos , uno que se llama permitidos y bloqueados , y respectivamente cada usuario que pertenece a ese grupo.

                            adjunto un screen del ad y el query que tengo en el dansguardian.

                            ldapusersearch ldap://192.168.10.2/DC=netsoluciones,DC=priv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=permitido%2cCN=Users%2cDC=netsoluciones%2cDC=priv))

                            ![Captura de pantalla 2016-12-19 a las 10.22.25 AM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-19 a las 10.22.25 AM.png)
                            ![Captura de pantalla 2016-12-19 a las 10.22.25 AM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-19 a las 10.22.25 AM.png_thumb)

                            1 Reply Last reply Reply Quote 0
                            • R
                              rickygm
                              last edited by

                              hola foro , he logrado conseguir hacer filtrar los grupos del AD con squidguard , mañana posteare como me quedo el squidguard y anexare unos screen del ad para que las personas que están en la misma situación se ayuden.

                              lo único algo molesto es que cada que cierro el browser me pide de nuevo usuario y contraseña.

                              he visto también que hay una solución  de paga por $75.00 te lo integran, alguien la ha probado?

                              1 Reply Last reply Reply Quote 0
                              • J
                                j.sejo1
                                last edited by

                                Que bueno, felicitaciones.

                                Si nos puedes enviar la linea del query del squidguard ldapusersearch  seria de gran ayuda para integraciones contra AD que otras personas vayan a realizar.

                                Respecto a que te pide clave cada vez que abres un navegador es normal.

                                La única forma de que no lo haga es que el pfsense se autentique contra el dominio AD, pero creo que ya tendrías que jugar con el por debajo y no por su interfaz gráfica.

                                Yo logre que un proxy no me pida clave, sino que valide con el inicio de sesión del usuario. Mi formula fue:

                                Debian + samba + winbind + squid + ntml    eso fue hace tiempo.  Hoy en día este método quizás sea obsoleto e inseguro, ya que la opción apuntara siempre a utilizar Kerberos.

                                Referencia: Squid + Ntml o kerberos: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#Authentication

                                Saludos.

                                Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                                Hardening Linux
                                Telegram: @vtlbackupbacula
                                http://www.smartitbc.com/en/contact.html

                                1 Reply Last reply Reply Quote 0
                                • R
                                  rickygm
                                  last edited by

                                  hola de nuevo aquí , lo prometido es deuda , logre hacer la integración del pfSense con el Active Directory 2008r2 que tengo en la empresa , les anado como me quedo el squidguard haciendo las búsquedas con el AD , tengo dos grupos dentro del ad "permitido y bloqueados" ,  en cada grupo van los usuarios que quiero que naveguen libre y en el otro a los cuales quiero restringir a ciertas paginas.

                                  les pego las búsquedas del query en el squidguard para cada grupo, si les interesa las del ad me avisan.

                                  sldss

                                  ![Captura de pantalla 2016-12-27 a las 3.11.31 PM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-27 a las 3.11.31 PM.png)
                                  ![Captura de pantalla 2016-12-27 a las 3.11.31 PM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-27 a las 3.11.31 PM.png_thumb)
                                  ![Captura de pantalla 2016-12-27 a las 3.11.10 PM.png](/public/imported_attachments/1/Captura de pantalla 2016-12-27 a las 3.11.10 PM.png)
                                  ![Captura de pantalla 2016-12-27 a las 3.11.10 PM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-12-27 a las 3.11.10 PM.png_thumb)

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    j.sejo1
                                    last edited by

                                    Que bien.

                                    Gracias por el aporte.

                                    Saludos.

                                    Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                                    Hardening Linux
                                    Telegram: @vtlbackupbacula
                                    http://www.smartitbc.com/en/contact.html

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.