[Resolvido] pfsense 2.3.4 +pf2ad + squidguard + samba 4 (AD)



  • Boa tarde pessoal estou com um problema para terminar a configruacao da minha rede.

    Instalei o PFSENSE , fiz toda configuracao normal , instalei o pf2ad tornei ele membro do meu dominio (AD SAMBA4)
    e a navegacao funciona normalmente autenticando pelo pf2ad

    o problema vem no SquidGuard

    ele simplesmente nao autentica com meu servidor LDAP  que fica no meu AD e eu nao consigo fazer regras de bloqueio por grupos do meu dominio , ja tentei varios tutoriais
    ex eu coloco o squid guard pra bloquear todas as paginas por Defeult

    seto
    Enable LDAP Filter
    cn=administrator,cn=Users,dc=EMFA,dc=LOCAL
    e a senha

    mais ele nao funciona

    e o servidor de Ldap esta rodando veja abaixo

    Nmap scan report for ad.emfa.local (192.168.0.2)
    Host is up (0.0000010s latency).
    Not shown: 988 closed ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    53/tcp  open  domain
    88/tcp  open  kerberos-sec
    135/tcp  open  msrpc
    139/tcp  open  netbios-ssn
    389/tcp  open  ldap
    445/tcp  open  microsoft-ds
    464/tcp  open  kpasswd5
    636/tcp  open  ldapssl
    1024/tcp open  kdm
    3268/tcp open  globalcatLDAP
    3269/tcp open  globalcatLDAPssl

    Nmap done: 1 IP address (1 host up) scanned in 1.65 seconds

    aguardo uma luz

    obrigado



  • já verificou a senha se não contem caracteres especiais ???

    outro detalhe que tirou meu sono, já verificou se o usuário "administrator" esta dentro de "Users" (no meu caso eu estava realizando consulta com outro usuário ADM que não estava na OU Users)

    posta tb como esta sua consulta de grupo no "Groups ACL" do SquidGuard



  • Obrigado , pela dica o meu usuario administrador nao estava no grupo Users e sim no Grupo Domain users , funcionou perfeito..

    so tem mais um detalhe quando ele bloqueia pagina por ex redtube.com nao da a mensagem site bloqueado , ela simplesmente expira.

    voce sabe o que pode ser?

    aparece assim

    Não é possível acessar esse site

    A página da web em https://www.redtube.com/ pode estar temporariamente indisponível ou pode ter sido movida permanentemente para um novo endereço da web.
    ERR_TUNNEL_CONNECTION_FAILED



  • Provavelmente pelo fato do site estar utilizando SSL. Pelo que entendi em outros tópicos, para aparecer a tela de bloqueio seria necessário fazer interceptação SSL, sendo que só funciona em proxy transparente.



  • era isso mesmo , em http ele aparece a mensagem.

    Obrigado



  • Pessoal,

    Estou usando PF2AD com Samba 4.

    Sobre o erro (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required no log de configuração do SquidGuard, eu descobri que nas novas versões do Samba a configuração ldap server require strong auth vem por padrão setada com YES, ou seja, exige uma conexão segura dos sistemas que irão acessar o LDAP.

    Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.

    Editei o SMB.CONF

    #vi /etc/samba/smb.conf

    E adicionei a seguinte linha no Global Parameters.

    ldap server require strong auth = no

    Salvei o arquivo

    #:wq!

    E reiniciei o serviço do Samba.

    systemctl restart samba-ad-dc

    No squidGuard nos Groups ACL configurei o LDAPSEARCH conforme a minha necessidade e pronto, tudo funcionando.

    Segue abaixo alguns links sobre o ldap server require strong auth, rebaixar esse parametro de segurança não é o ideal, mas não achei nenhuma forma de atender aos requisitos do LDAP para aceitar a comunicação entre o SquidGuard e o SAMBA 4.

    Mandei um e-mail pro Luiz Gustavo, pai do PF2AD, quem sabe ele consegue dar um jeito nisso.

    Espero ter ajudado.

    Links
    https://wiki.samba.org/index.php/Updating_Samba#Default_for_LDAP_Connections_Requires_Strong_Authentication_.28updating_from_.3C.3D4.4.0.2C_.3C.3D4.3.6_or_.3C.3D4.2.9.29

    https://www.samba.org/samba/history/samba-4.4.1.html

    https://access.redhat.com/pt/node/2262001

    Att,
    Bruno Rigamont


Log in to reply