4. AD (SAMBA4) não autentica no Squid

AD (SAMBA4) não autentica no Squid

  • M

    Olá,

    Tenho um ambiente com samba4 funcionando perfeitamente como AD. Necessito agora fazer controle e regras de acesso dos usuários a internet (squid autenticado).

    Usei como referência o material do Marcelo Moraes (http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/)

    Mas ocorre que não consigo autenticar no squid. Quando acesso o navegador web (chrome, firefox, etc.) de alguma estação, o sistema solicita usuário e senha, mas mesmo eu informando usuário e senha válidos do AD, não autentica.

    Obs: Tanto o pfsense como o AD (SAMBA4) são virtualizados em xenserver.

    Abraço,
    Marcelo Costa

    0
  • E

    Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

    utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

    https://pf2ad.mundounix.com.br/pt/index.html

    Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

    0
  • M

    Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

    utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

    https://pf2ad.mundounix.com.br/pt/index.html

    Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

    Obrigadão,

    Vou conferir a tua dica e qualquer coisa, posto aqui.

    0
  • A

    Boa noite,

    ja tentei de todas as formas e todos os tutorias, mais meu Squid não autentica no AD. Fica em loop pedindo o usuário no browser. Quando faço a busca por linha de comando funcionada OK.

    Alguem pode me dar uma força? Obrigado

    0
  • R

    Amigão, passei por isso, mas resolvi de uma forma até simples.

    Ao invés de por ex: cn=pfsense,dc=dominio,dc=local
    Deixei assim
    pfsense@dominio.local

    No local que você coloca o usuário que vai fazer a integração.

    0
  • A

    Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado

    0
  • R

    @aandreborges:

    Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado

    Deve funcionar sim.

    0
  • A

    @roberto.gualberto:

    @aandreborges:

    Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado

    Deve funcionar sim.

    Testei ontem fazendo desta forma e não funcionou. Meu AD é Microsoft, será que tem alguma incompatibilidade?

    Olha os logs do cache.log

    
[2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: tail -f cache.log
Maximum Resident Size: 143040 KB
Page faults with physical i/o: 0
2017/07/01 14:16:53 kid1| Creating missing swap directories
2017/07/01 14:18:56 kid1| Starting Squid Cache version 3.5.26 for amd64-portbld-freebsd10.3...
2017/07/01 14:18:56 kid1| Service Name: squid
2017/07/01 14:18:56| pinger: Initialising ICMP pinger ...
2017/07/01 14:19:24 kid1| Starting new basicauthenticator helpers...
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
^C
[2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: /usr/local/libexec/squid/basic_ldap_auth -R -b "DC=ta,DC=DIFL,DC=BR" -D "pfsense@ta.difl.br" -w "pfsense" -f sAMAccountName=%s -h 10.27.2.102
pfsense pfsense
OK
pfsense pfsEnse
ERR Success

    Meu squid.conf:

    
# This file is automatically generated by pfSense
# Do not edit manually !

http_port 10.27.2.105:3128
icp_port 0
digest_generation off
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language pt-br
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pinger

logfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  10.27.2.0/23
forwarded_for on
uri_whitespace strip

acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic

cache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 100 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow all
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:    1440  20%  10080
refresh_pattern ^gopher:  1440  0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
refresh_pattern .    0  20%  4320

#Remote proxies

# Setup some default acls
# ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535
acl sslports port 443 563

acl purge method PURGE
acl connect method CONNECT

# Define protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc

# Reverse Proxy settings

# Custom options before auth

acl sglog url_regex -i sgr=ACCESSDENIED
auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ta,DC=DIFL,DC=BR -D pfsense@ta.difl.br -w pfsense -f "saMAccoutName=%s" -u uid -P 10.27.2.102:389
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED
# Custom options after auth

http_access deny password sglog
http_access allow password localnet
# Default block all to be sure
http_access deny allsrc
    0
  • H

    Fala amigo, alterei o LDAP Server User DN para "usuario@dominio" e funcoinou perfeitamente!

    Estava à dias tentando solucionar este problema aqui.
    Obrigado pela dica!

    0
  • M

    @heaccioly Você poderia colocar um print das configurações de autenticação do squid? Coloquei da forma que você falou mas, ainda sim, não deu certo.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy