Integração Pfsense 2.2.4 - Squid+SquidGuard AD 2003



  • Boa tarde.
    Estou utilizando o Pfsense 2.2.4, realizei a configuração de autenticação com AD 2003 LDAP(squid+squidguard), consigo logar com usuário do AD, os bloqueios realizados no squidguard não funcionam, Proxy Report ele reconhece somente o ip da maquina, não reconhece o usuário nem grupo criado no squidguard.
    Realizei outra instalação do Pfsense obtive os mesmos resultados.

    Autenticação:

    cn=administrator,OU=ZAP,dc=tal,dc=org

    dc=tal,dc=org

    sAMAccountName=%s



  • Os parâmetros podem variar um pouco, com a versão do Windows.

    Mas, AD 2003 já está defasado a anos.  :(

    Sobe um 2008 R2 pelo menos, inclusive, por questões de segurança.



  • Vou precisar migrar ele para a versão mais nova(posterior), mas preciso integrar o pfsense ao 2003 pois é o que está rodando atualmente na empresa.
    Alguma ajuda?



  • Essa autenticação é transparente?



  • Olá PHIL!
    Boa tarde!

    Sobre o bloqueio do Squidguard que não funciona:
    Cuidado com a porta que vc usa quando se comunicar com o AD via LDAP. a porta 389 não funciona como deveria e, ao invéz dela, use a porta do Global Catalog que é 3268.

    Lá na tela do squidGuard, altere a linha do CLIENT (source) para algo assim:  ldapusersearch ldap://192.168.0.10:3268/DC=seudominio,DC=corp?sAMAccountName?sub?(&(sAMAccountName=%s)…

    Abraço
    Fabricio Guzzy.



  • Fiz a alteração da porta:

    SquiDGuard(Client Source):

    ldapusersearch ldap://192.168.0.1:3268/DC=zap,DC=tal?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Informatica%2cCN=T.I.%2cDC=zap%2cDC=org))

    Alterei também no squid, mas ainda não funciona corretamente.
    Ele consegui validar o login, mas não bloqueia por grupos, no report ele exibe somente o IP da maquina, não pega o usuário/grupo.

    Mais alguma dica?



  • PHIL,

    Eu vejo algo curioso (senão errado) na sua linha ldap.

    você começa com DC=zap, DC=tal  e terminal com DC=zap, DC=org  - tem certeza que não tem algo errado ai? os dois deveriam ser iguais.

    Abraço
    Fabricio Guzzy



  • @brunok:

    Os parâmetros podem variar um pouco, com a versão do Windows.

    Mas, AD 2003 já está defasado a anos.  :(

    Sobe um 2008 R2 pelo menos, inclusive, por questões de segurança.

    Conheço empresas que rodam o Win 2000 Server ainda apesar de nao ser nada recomendado o sistema a nivel de AD eh um dos mais rápidos pra autenticar e faz bem o feijao com o arroz relacionado a dominios, a ultima vez que vi tinha ate maquinas Win 7 penduradas nele. Mas como o colega frisou bem faca a migracao, ate porque deve ter varios exploits ai sem correcao.



  • Fabricio Guzzy, desculpa a confusão, é que alterei na hora da postagem, mas está correto, inclusive testei a autenticação no diagnostico.

    Seguem os prints das configurações.








  • amigo, acesse este site, baixe o PF2AD e acabe com seus problemas

    https://pf2ad.mundounix.com.br/pt/index.html



  • Instalei num ambiente simulado, ficou show a integração.
    Uma pergunta, utilizou openvpn para integração de filiais, se eu atualizar o pfsense principal da versão 2.2.6(Todos estão com essa versão) para  a mais nova 2.3.4 podem ocorrer problemas com as VPNs?



  • Realizei a instalação do pf2ad, o pfsense foi adicionado no domínio, consigo listar os usuários e demais informações via console, mas ao logar ele não está reconhecendo o usuário automaticamente.
    Alguma ajuda?

    Obs: Fiz a configuração em ambiente de teste Virtuais, com o AD 2008 funcionou.()