[Resolvido] pfsense 2.3.4 +pf2ad + squidguard + samba 4 (AD)
-
Boa tarde pessoal estou com um problema para terminar a configruacao da minha rede.
Instalei o PFSENSE , fiz toda configuracao normal , instalei o pf2ad tornei ele membro do meu dominio (AD SAMBA4)
e a navegacao funciona normalmente autenticando pelo pf2ado problema vem no SquidGuard
ele simplesmente nao autentica com meu servidor LDAP que fica no meu AD e eu nao consigo fazer regras de bloqueio por grupos do meu dominio , ja tentei varios tutoriais
ex eu coloco o squid guard pra bloquear todas as paginas por Defeultseto
Enable LDAP Filter
cn=administrator,cn=Users,dc=EMFA,dc=LOCAL
e a senhamais ele nao funciona
e o servidor de Ldap esta rodando veja abaixo
Nmap scan report for ad.emfa.local (192.168.0.2)
Host is up (0.0000010s latency).
Not shown: 988 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
636/tcp open ldapssl
1024/tcp open kdm
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPsslNmap done: 1 IP address (1 host up) scanned in 1.65 seconds
aguardo uma luz
obrigado
-
já verificou a senha se não contem caracteres especiais ???
outro detalhe que tirou meu sono, já verificou se o usuário "administrator" esta dentro de "Users" (no meu caso eu estava realizando consulta com outro usuário ADM que não estava na OU Users)
posta tb como esta sua consulta de grupo no "Groups ACL" do SquidGuard
-
Obrigado , pela dica o meu usuario administrador nao estava no grupo Users e sim no Grupo Domain users , funcionou perfeito..
so tem mais um detalhe quando ele bloqueia pagina por ex redtube.com nao da a mensagem site bloqueado , ela simplesmente expira.
voce sabe o que pode ser?
aparece assim
Não é possível acessar esse site
A página da web em https://www.redtube.com/ pode estar temporariamente indisponível ou pode ter sido movida permanentemente para um novo endereço da web.
ERR_TUNNEL_CONNECTION_FAILED -
Provavelmente pelo fato do site estar utilizando SSL. Pelo que entendi em outros tópicos, para aparecer a tela de bloqueio seria necessário fazer interceptação SSL, sendo que só funciona em proxy transparente.
-
era isso mesmo , em http ele aparece a mensagem.
Obrigado
-
Pessoal,
Estou usando PF2AD com Samba 4.
Sobre o erro (squidGuard): ldap_simple_bind_s failed: Strong(er) authentication required no log de configuração do SquidGuard, eu descobri que nas novas versões do Samba a configuração ldap server require strong auth vem por padrão setada com YES, ou seja, exige uma conexão segura dos sistemas que irão acessar o LDAP.
Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.
Editei o SMB.CONF
#vi /etc/samba/smb.conf
E adicionei a seguinte linha no Global Parameters.
ldap server require strong auth = no
Salvei o arquivo
#:wq!
E reiniciei o serviço do Samba.
systemctl restart samba-ad-dc
No squidGuard nos Groups ACL configurei o LDAPSEARCH conforme a minha necessidade e pronto, tudo funcionando.
Segue abaixo alguns links sobre o ldap server require strong auth, rebaixar esse parametro de segurança não é o ideal, mas não achei nenhuma forma de atender aos requisitos do LDAP para aceitar a comunicação entre o SquidGuard e o SAMBA 4.
Mandei um e-mail pro Luiz Gustavo, pai do PF2AD, quem sabe ele consegue dar um jeito nisso.
Espero ter ajudado.
Links
https://wiki.samba.org/index.php/Updating_Samba#Default_for_LDAP_Connections_Requires_Strong_Authentication_.28updating_from_.3C.3D4.4.0.2C_.3C.3D4.3.6_or_.3C.3D4.2.9.29https://www.samba.org/samba/history/samba-4.4.1.html
https://access.redhat.com/pt/node/2262001
Att,
Bruno Rigamont