AD (SAMBA4) não autentica no Squid
-
Olá,
Tenho um ambiente com samba4 funcionando perfeitamente como AD. Necessito agora fazer controle e regras de acesso dos usuários a internet (squid autenticado).
Usei como referência o material do Marcelo Moraes (http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/)
Mas ocorre que não consigo autenticar no squid. Quando acesso o navegador web (chrome, firefox, etc.) de alguma estação, o sistema solicita usuário e senha, mas mesmo eu informando usuário e senha válidos do AD, não autentica.
Obs: Tanto o pfsense como o AD (SAMBA4) são virtualizados em xenserver.
Abraço,
Marcelo Costa -
Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.
utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM
https://pf2ad.mundounix.com.br/pt/index.html
Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador
-
Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.
utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM
https://pf2ad.mundounix.com.br/pt/index.html
Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador
Obrigadão,
Vou conferir a tua dica e qualquer coisa, posto aqui.
-
Boa noite,
ja tentei de todas as formas e todos os tutorias, mais meu Squid não autentica no AD. Fica em loop pedindo o usuário no browser. Quando faço a busca por linha de comando funcionada OK.
Alguem pode me dar uma força? Obrigado
-
Amigão, passei por isso, mas resolvi de uma forma até simples.
Ao invés de por ex: cn=pfsense,dc=dominio,dc=local
Deixei assim
pfsense@dominio.localNo local que você coloca o usuário que vai fazer a integração.
-
Isso eu não tentei. Vou testar para ver se funciona.
Obrigado -
-
Isso eu não tentei. Vou testar para ver se funciona.
ObrigadoDeve funcionar sim.
Testei ontem fazendo desta forma e não funcionou. Meu AD é Microsoft, será que tem alguma incompatibilidade?
Olha os logs do cache.log
[2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: tail -f cache.log Maximum Resident Size: 143040 KB Page faults with physical i/o: 0 2017/07/01 14:16:53 kid1| Creating missing swap directories 2017/07/01 14:18:56 kid1| Starting Squid Cache version 3.5.26 for amd64-portbld-freebsd10.3... 2017/07/01 14:18:56 kid1| Service Name: squid 2017/07/01 14:18:56| pinger: Initialising ICMP pinger ... 2017/07/01 14:19:24 kid1| Starting new basicauthenticator helpers... basic_ldap_auth: WARNING, LDAP search error 'Operations error' basic_ldap_auth: WARNING, LDAP search error 'Operations error' basic_ldap_auth: WARNING, LDAP search error 'Operations error' basic_ldap_auth: WARNING, LDAP search error 'Operations error' ^C [2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: /usr/local/libexec/squid/basic_ldap_auth -R -b "DC=ta,DC=DIFL,DC=BR" -D "pfsense@ta.difl.br" -w "pfsense" -f sAMAccountName=%s -h 10.27.2.102 pfsense pfsense OK pfsense pfsEnse ERR SuccessMeu squid.conf:
# This file is automatically generated by pfSense # Do not edit manually ! http_port 10.27.2.105:3128 icp_port 0 digest_generation off dns_v4_first off pid_filename /var/run/squid/squid.pid cache_effective_user squid cache_effective_group proxy error_default_language pt-br icon_directory /usr/local/etc/squid/icons visible_hostname localhost cache_mgr admin@localhost access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none netdb_filename /var/squid/logs/netdb.state pinger_enable on pinger_program /usr/local/libexec/squid/pinger logfile_rotate 0 debug_options rotate=0 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 10.27.2.0/23 forwarded_for on uri_whitespace strip acl dynamic urlpath_regex cgi-bin \? cache deny dynamic cache_mem 64 MB maximum_object_size_in_memory 256 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA minimum_object_size 0 KB maximum_object_size 4 MB cache_dir ufs /var/squid/cache 100 16 256 offline_mode off cache_swap_low 90 cache_swap_high 95 cache allow all # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #Remote proxies # Setup some default acls # ACLs all, manager, localhost, and to_localhost are predefined. acl allsrc src all acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3129 1025-65535 acl sslports port 443 563 acl purge method PURGE acl connect method CONNECT # Define protocols used for redirects acl HTTP proto HTTP acl HTTPS proto HTTPS http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow allsrc # Reverse Proxy settings # Custom options before auth acl sglog url_regex -i sgr=ACCESSDENIED auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ta,DC=DIFL,DC=BR -D pfsense@ta.difl.br -w pfsense -f "saMAccoutName=%s" -u uid -P 10.27.2.102:389 auth_param basic children 5 auth_param basic realm Please enter your credentials to access the proxy auth_param basic credentialsttl 5 minutes acl password proxy_auth REQUIRED # Custom options after auth http_access deny password sglog http_access allow password localnet # Default block all to be sure http_access deny allsrc -
Fala amigo, alterei o LDAP Server User DN para "usuario@dominio" e funcoinou perfeitamente!
Estava à dias tentando solucionar este problema aqui.
Obrigado pela dica! -
@heaccioly Você poderia colocar um print das configurações de autenticação do squid? Coloquei da forma que você falou mas, ainda sim, não deu certo.