Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    AD (SAMBA4) não autentica no Squid

    Portuguese
    6
    10
    1743
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      marceloengecom last edited by

      Olá,

      Tenho um ambiente com samba4 funcionando perfeitamente como AD. Necessito agora fazer controle e regras de acesso dos usuários a internet (squid autenticado).

      Usei como referência o material do Marcelo Moraes (http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/)

      Mas ocorre que não consigo autenticar no squid. Quando acesso o navegador web (chrome, firefox, etc.) de alguma estação, o sistema solicita usuário e senha, mas mesmo eu informando usuário e senha válidos do AD, não autentica.

      Obs: Tanto o pfsense como o AD (SAMBA4) são virtualizados em xenserver.

      Abraço,
      Marcelo Costa

      1 Reply Last reply Reply Quote 0
      • E
        evertonaperes last edited by

        Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

        utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

        https://pf2ad.mundounix.com.br/pt/index.html

        Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

        1 Reply Last reply Reply Quote 0
        • M
          marceloengecom last edited by

          Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

          utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

          https://pf2ad.mundounix.com.br/pt/index.html

          Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

          Obrigadão,

          Vou conferir a tua dica e qualquer coisa, posto aqui.

          1 Reply Last reply Reply Quote 0
          • A
            aandreborges last edited by

            Boa noite,

            ja tentei de todas as formas e todos os tutorias, mais meu Squid não autentica no AD. Fica em loop pedindo o usuário no browser. Quando faço a busca por linha de comando funcionada OK.

            Alguem pode me dar uma força? Obrigado

            1 Reply Last reply Reply Quote 0
            • R
              roberto.gualberto last edited by

              Amigão, passei por isso, mas resolvi de uma forma até simples.

              Ao invés de por ex: cn=pfsense,dc=dominio,dc=local
              Deixei assim
              pfsense@dominio.local

              No local que você coloca o usuário que vai fazer a integração.

              1 Reply Last reply Reply Quote 0
              • A
                aandreborges last edited by

                Isso eu não tentei. Vou testar para ver se funciona.
                Obrigado

                1 Reply Last reply Reply Quote 0
                • R
                  roberto.gualberto last edited by

                  @aandreborges:

                  Isso eu não tentei. Vou testar para ver se funciona.
                  Obrigado

                  Deve funcionar sim.

                  1 Reply Last reply Reply Quote 0
                  • A
                    aandreborges last edited by

                    @roberto.gualberto:

                    @aandreborges:

                    Isso eu não tentei. Vou testar para ver se funciona.
                    Obrigado

                    Deve funcionar sim.

                    Testei ontem fazendo desta forma e não funcionou. Meu AD é Microsoft, será que tem alguma incompatibilidade?

                    Olha os logs do cache.log

                    
                    [2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: tail -f cache.log
                    Maximum Resident Size: 143040 KB
                    Page faults with physical i/o: 0
                    2017/07/01 14:16:53 kid1| Creating missing swap directories
                    2017/07/01 14:18:56 kid1| Starting Squid Cache version 3.5.26 for amd64-portbld-freebsd10.3...
                    2017/07/01 14:18:56 kid1| Service Name: squid
                    2017/07/01 14:18:56| pinger: Initialising ICMP pinger ...
                    2017/07/01 14:19:24 kid1| Starting new basicauthenticator helpers...
                    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
                    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
                    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
                    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
                    ^C
                    [2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: /usr/local/libexec/squid/basic_ldap_auth -R -b "DC=ta,DC=DIFL,DC=BR" -D "pfsense@ta.difl.br" -w "pfsense" -f sAMAccountName=%s -h 10.27.2.102
                    pfsense pfsense
                    OK
                    pfsense pfsEnse
                    ERR Success
                    
                    

                    Meu squid.conf:

                    
                    # This file is automatically generated by pfSense
                    # Do not edit manually !
                    
                    http_port 10.27.2.105:3128
                    icp_port 0
                    digest_generation off
                    dns_v4_first off
                    pid_filename /var/run/squid/squid.pid
                    cache_effective_user squid
                    cache_effective_group proxy
                    error_default_language pt-br
                    icon_directory /usr/local/etc/squid/icons
                    visible_hostname localhost
                    cache_mgr admin@localhost
                    access_log /var/squid/logs/access.log
                    cache_log /var/squid/logs/cache.log
                    cache_store_log none
                    netdb_filename /var/squid/logs/netdb.state
                    pinger_enable on
                    pinger_program /usr/local/libexec/squid/pinger
                    
                    logfile_rotate 0
                    debug_options rotate=0
                    shutdown_lifetime 3 seconds
                    # Allow local network(s) on interface(s)
                    acl localnet src  10.27.2.0/23
                    forwarded_for on
                    uri_whitespace strip
                    
                    acl dynamic urlpath_regex cgi-bin \?
                    cache deny dynamic
                    
                    cache_mem 64 MB
                    maximum_object_size_in_memory 256 KB
                    memory_replacement_policy heap GDSF
                    cache_replacement_policy heap LFUDA
                    minimum_object_size 0 KB
                    maximum_object_size 4 MB
                    cache_dir ufs /var/squid/cache 100 16 256
                    offline_mode off
                    cache_swap_low 90
                    cache_swap_high 95
                    cache allow all
                    # Add any of your own refresh_pattern entries above these.
                    refresh_pattern ^ftp:    1440  20%  10080
                    refresh_pattern ^gopher:  1440  0%  1440
                    refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
                    refresh_pattern .    0  20%  4320
                    
                    #Remote proxies
                    
                    # Setup some default acls
                    # ACLs all, manager, localhost, and to_localhost are predefined.
                    acl allsrc src all
                    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535
                    acl sslports port 443 563
                    
                    acl purge method PURGE
                    acl connect method CONNECT
                    
                    # Define protocols used for redirects
                    acl HTTP proto HTTP
                    acl HTTPS proto HTTPS
                    http_access allow manager localhost
                    
                    http_access deny manager
                    http_access allow purge localhost
                    http_access deny purge
                    http_access deny !safeports
                    http_access deny CONNECT !sslports
                    
                    # Always allow localhost connections
                    http_access allow localhost
                    
                    request_body_max_size 0 KB
                    delay_pools 1
                    delay_class 1 2
                    delay_parameters 1 -1/-1 -1/-1
                    delay_initial_bucket_level 100
                    delay_access 1 allow allsrc
                    
                    # Reverse Proxy settings
                    
                    # Custom options before auth
                    
                    acl sglog url_regex -i sgr=ACCESSDENIED
                    auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ta,DC=DIFL,DC=BR -D pfsense@ta.difl.br -w pfsense -f "saMAccoutName=%s" -u uid -P 10.27.2.102:389
                    auth_param basic children 5
                    auth_param basic realm Please enter your credentials to access the proxy
                    auth_param basic credentialsttl 5 minutes
                    acl password proxy_auth REQUIRED
                    # Custom options after auth
                    
                    http_access deny password sglog
                    http_access allow password localnet
                    # Default block all to be sure
                    http_access deny allsrc
                    
                    
                    1 Reply Last reply Reply Quote 0
                    • H
                      heaccioly last edited by

                      Fala amigo, alterei o LDAP Server User DN para "usuario@dominio" e funcoinou perfeitamente!

                      Estava à dias tentando solucionar este problema aqui.
                      Obrigado pela dica!

                      1 Reply Last reply Reply Quote 0
                      • M
                        Mateus Marques last edited by

                        @heaccioly Você poderia colocar um print das configurações de autenticação do squid? Coloquei da forma que você falou mas, ainda sim, não deu certo.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post

                        Products

                        • Platform Overview
                        • TNSR
                        • pfSense Plus
                        • Appliances

                        Services

                        • Training
                        • Professional Services

                        Support

                        • Subscription Plans
                        • Contact Support
                        • Product Lifecycle
                        • Documentation

                        News

                        • Media Coverage
                        • Press
                        • Events

                        Resources

                        • Blog
                        • FAQ
                        • Find a Partner
                        • Resource Library
                        • Security Information

                        Company

                        • About Us
                        • Careers
                        • Partners
                        • Contact Us
                        • Legal
                        Our Mission

                        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                        Subscribe to our Newsletter

                        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                        © 2021 Rubicon Communications, LLC | Privacy Policy