Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    AD (SAMBA4) não autentica no Squid

    Scheduled Pinned Locked Moved Portuguese
    10 Posts 6 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      marceloengecom
      last edited by

      Olá,

      Tenho um ambiente com samba4 funcionando perfeitamente como AD. Necessito agora fazer controle e regras de acesso dos usuários a internet (squid autenticado).

      Usei como referência o material do Marcelo Moraes (http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/)

      Mas ocorre que não consigo autenticar no squid. Quando acesso o navegador web (chrome, firefox, etc.) de alguma estação, o sistema solicita usuário e senha, mas mesmo eu informando usuário e senha válidos do AD, não autentica.

      Obs: Tanto o pfsense como o AD (SAMBA4) são virtualizados em xenserver.

      Abraço,
      Marcelo Costa

      Marcelo Costa

      telefone: (51) 3022.5100
      e-mail: marcelo@comdesk.com.br
      web-site: www.comdesk.com.br

      1 Reply Last reply Reply Quote 0
      • E
        evertonaperes
        last edited by

        Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

        utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

        https://pf2ad.mundounix.com.br/pt/index.html

        Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

        1 Reply Last reply Reply Quote 0
        • M
          marceloengecom
          last edited by

          Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

          utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

          https://pf2ad.mundounix.com.br/pt/index.html

          Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

          Obrigadão,

          Vou conferir a tua dica e qualquer coisa, posto aqui.

          Marcelo Costa

          telefone: (51) 3022.5100
          e-mail: marcelo@comdesk.com.br
          web-site: www.comdesk.com.br

          1 Reply Last reply Reply Quote 0
          • A
            aandreborges
            last edited by

            Boa noite,

            ja tentei de todas as formas e todos os tutorias, mais meu Squid não autentica no AD. Fica em loop pedindo o usuário no browser. Quando faço a busca por linha de comando funcionada OK.

            Alguem pode me dar uma força? Obrigado

            1 Reply Last reply Reply Quote 0
            • R
              roberto.gualberto
              last edited by

              Amigão, passei por isso, mas resolvi de uma forma até simples.

              Ao invés de por ex: cn=pfsense,dc=dominio,dc=local
              Deixei assim
              pfsense@dominio.local

              No local que você coloca o usuário que vai fazer a integração.

              1 Reply Last reply Reply Quote 0
              • A
                aandreborges
                last edited by

                Isso eu não tentei. Vou testar para ver se funciona.
                Obrigado

                1 Reply Last reply Reply Quote 0
                • R
                  roberto.gualberto
                  last edited by

                  @aandreborges:

                  Isso eu não tentei. Vou testar para ver se funciona.
                  Obrigado

                  Deve funcionar sim.

                  1 Reply Last reply Reply Quote 0
                  • A
                    aandreborges
                    last edited by

                    @roberto.gualberto:

                    @aandreborges:

                    Isso eu não tentei. Vou testar para ver se funciona.
                    Obrigado

                    Deve funcionar sim.

                    Testei ontem fazendo desta forma e não funcionou. Meu AD é Microsoft, será que tem alguma incompatibilidade?

                    Olha os logs do cache.log

                    
[2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: tail -f cache.log
Maximum Resident Size: 143040 KB
Page faults with physical i/o: 0
2017/07/01 14:16:53 kid1| Creating missing swap directories
2017/07/01 14:18:56 kid1| Starting Squid Cache version 3.5.26 for amd64-portbld-freebsd10.3...
2017/07/01 14:18:56 kid1| Service Name: squid
2017/07/01 14:18:56| pinger: Initialising ICMP pinger ...
2017/07/01 14:19:24 kid1| Starting new basicauthenticator helpers...
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
^C
[2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: /usr/local/libexec/squid/basic_ldap_auth -R -b "DC=ta,DC=DIFL,DC=BR" -D "pfsense@ta.difl.br" -w "pfsense" -f sAMAccountName=%s -h 10.27.2.102
pfsense pfsense
OK
pfsense pfsEnse
ERR Success

                    Meu squid.conf:

                    
# This file is automatically generated by pfSense
# Do not edit manually !

http_port 10.27.2.105:3128
icp_port 0
digest_generation off
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language pt-br
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pinger

logfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  10.27.2.0/23
forwarded_for on
uri_whitespace strip

acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic

cache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 100 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow all
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:    1440  20%  10080
refresh_pattern ^gopher:  1440  0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
refresh_pattern .    0  20%  4320

#Remote proxies

# Setup some default acls
# ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535
acl sslports port 443 563

acl purge method PURGE
acl connect method CONNECT

# Define protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc

# Reverse Proxy settings

# Custom options before auth

acl sglog url_regex -i sgr=ACCESSDENIED
auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ta,DC=DIFL,DC=BR -D pfsense@ta.difl.br -w pfsense -f "saMAccoutName=%s" -u uid -P 10.27.2.102:389
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED
# Custom options after auth

http_access deny password sglog
http_access allow password localnet
# Default block all to be sure
http_access deny allsrc
                    1 Reply Last reply Reply Quote 0
                    • H
                      heaccioly
                      last edited by

                      Fala amigo, alterei o LDAP Server User DN para "usuario@dominio" e funcoinou perfeitamente!

                      Estava à dias tentando solucionar este problema aqui.
                      Obrigado pela dica!

                      1 Reply Last reply Reply Quote 0
                      • M
                        Mateus Marques
                        last edited by

                        @heaccioly Você poderia colocar um print das configurações de autenticação do squid? Coloquei da forma que você falou mas, ainda sim, não deu certo.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.