AD (SAMBA4) não autentica no Squid



  • Olá,

    Tenho um ambiente com samba4 funcionando perfeitamente como AD. Necessito agora fazer controle e regras de acesso dos usuários a internet (squid autenticado).

    Usei como referência o material do Marcelo Moraes (http://mmoraessolucoes.com.br/2016/09/15/squid-com-autenticacao-via-ldap-squidguard-com-categorias-no-pfsense/)

    Mas ocorre que não consigo autenticar no squid. Quando acesso o navegador web (chrome, firefox, etc.) de alguma estação, o sistema solicita usuário e senha, mas mesmo eu informando usuário e senha válidos do AD, não autentica.

    Obs: Tanto o pfsense como o AD (SAMBA4) são virtualizados em xenserver.

    Abraço,
    Marcelo Costa



  • Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

    utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

    https://pf2ad.mundounix.com.br/pt/index.html

    Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador



  • Amigo , bom dia felizmente eu consegui fazer funcionar tambem segui esse mesmo tutorial e nao funcionava , meu ambiente e o mesmo a diferença que estou usando o VMWARE ESXI.

    utilizei esse Patch , colocar o PFSENSE como AD member e fiz a autentificação via WINBINDLTLM

    https://pf2ad.mundounix.com.br/pt/index.html

    Agora so preciso fazer as liberacoes e restricoes por grupo do ad gostei de fazer assim que basta logado no ad ele ja autentica nao precisa ficar inserindo usuario e senha no navegador

    Obrigadão,

    Vou conferir a tua dica e qualquer coisa, posto aqui.



  • Boa noite,

    ja tentei de todas as formas e todos os tutorias, mais meu Squid não autentica no AD. Fica em loop pedindo o usuário no browser. Quando faço a busca por linha de comando funcionada OK.

    Alguem pode me dar uma força? Obrigado



  • Amigão, passei por isso, mas resolvi de uma forma até simples.

    Ao invés de por ex: cn=pfsense,dc=dominio,dc=local
    Deixei assim
    pfsense@dominio.local

    No local que você coloca o usuário que vai fazer a integração.



  • Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado



  • @aandreborges:

    Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado

    Deve funcionar sim.



  • @roberto.gualberto:

    @aandreborges:

    Isso eu não tentei. Vou testar para ver se funciona.
    Obrigado

    Deve funcionar sim.

    Testei ontem fazendo desta forma e não funcionou. Meu AD é Microsoft, será que tem alguma incompatibilidade?

    Olha os logs do cache.log

    
    [2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: tail -f cache.log
    Maximum Resident Size: 143040 KB
    Page faults with physical i/o: 0
    2017/07/01 14:16:53 kid1| Creating missing swap directories
    2017/07/01 14:18:56 kid1| Starting Squid Cache version 3.5.26 for amd64-portbld-freebsd10.3...
    2017/07/01 14:18:56 kid1| Service Name: squid
    2017/07/01 14:18:56| pinger: Initialising ICMP pinger ...
    2017/07/01 14:19:24 kid1| Starting new basicauthenticator helpers...
    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
    basic_ldap_auth: WARNING, LDAP search error 'Operations error'
    ^C
    [2.3.4-RELEASE][admin@TAM01SV005.ta.difl.br]/var/squid/logs: /usr/local/libexec/squid/basic_ldap_auth -R -b "DC=ta,DC=DIFL,DC=BR" -D "pfsense@ta.difl.br" -w "pfsense" -f sAMAccountName=%s -h 10.27.2.102
    pfsense pfsense
    OK
    pfsense pfsEnse
    ERR Success
    
    

    Meu squid.conf:

    
    # This file is automatically generated by pfSense
    # Do not edit manually !
    
    http_port 10.27.2.105:3128
    icp_port 0
    digest_generation off
    dns_v4_first off
    pid_filename /var/run/squid/squid.pid
    cache_effective_user squid
    cache_effective_group proxy
    error_default_language pt-br
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    netdb_filename /var/squid/logs/netdb.state
    pinger_enable on
    pinger_program /usr/local/libexec/squid/pinger
    
    logfile_rotate 0
    debug_options rotate=0
    shutdown_lifetime 3 seconds
    # Allow local network(s) on interface(s)
    acl localnet src  10.27.2.0/23
    forwarded_for on
    uri_whitespace strip
    
    acl dynamic urlpath_regex cgi-bin \?
    cache deny dynamic
    
    cache_mem 64 MB
    maximum_object_size_in_memory 256 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    minimum_object_size 0 KB
    maximum_object_size 4 MB
    cache_dir ufs /var/squid/cache 100 16 256
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95
    cache allow all
    # Add any of your own refresh_pattern entries above these.
    refresh_pattern ^ftp:    1440  20%  10080
    refresh_pattern ^gopher:  1440  0%  1440
    refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
    refresh_pattern .    0  20%  4320
    
    #Remote proxies
    
    # Setup some default acls
    # ACLs all, manager, localhost, and to_localhost are predefined.
    acl allsrc src all
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3129 1025-65535
    acl sslports port 443 563
    
    acl purge method PURGE
    acl connect method CONNECT
    
    # Define protocols used for redirects
    acl HTTP proto HTTP
    acl HTTPS proto HTTPS
    http_access allow manager localhost
    
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports
    
    # Always allow localhost connections
    http_access allow localhost
    
    request_body_max_size 0 KB
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow allsrc
    
    # Reverse Proxy settings
    
    # Custom options before auth
    
    acl sglog url_regex -i sgr=ACCESSDENIED
    auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ta,DC=DIFL,DC=BR -D pfsense@ta.difl.br -w pfsense -f "saMAccoutName=%s" -u uid -P 10.27.2.102:389
    auth_param basic children 5
    auth_param basic realm Please enter your credentials to access the proxy
    auth_param basic credentialsttl 5 minutes
    acl password proxy_auth REQUIRED
    # Custom options after auth
    
    http_access deny password sglog
    http_access allow password localnet
    # Default block all to be sure
    http_access deny allsrc
    
    


  • Fala amigo, alterei o LDAP Server User DN para "usuario@dominio" e funcoinou perfeitamente!

    Estava à dias tentando solucionar este problema aqui.
    Obrigado pela dica!



  • @heaccioly Você poderia colocar um print das configurações de autenticação do squid? Coloquei da forma que você falou mas, ainda sim, não deu certo.