[Problema] E2Guardian + Squid Autenticado



  • Pessoal,

    Estou com um pequeno problema no E2Guardian.

    Eu o configurei com o squid para atuar como autenticado. A autenticação está funcionando perfeitamente. Entretanto surgiram dois problemas onde eu passei o dia inteiro ontem tentando resolver e não consegui.

    O primeiro é relacionado a autenticação quando o cliente acessa primeiramente um site HTTPS. O E2guardian retorna a seguinte tela:

    Ou seja, não está autenticando quando acessado primeiramente HTTPS!

    Gostaria de saber se é possível autenticar acessando um site HTTPs, ou se vou precisar fazer uma manobra para o cliente sempre acessar primeiramente um site HTTP?

    O segundo problema é Configuração dos Grupos de acordo com os grupos do LDAP. Neste ponto são várias as dúvidas.

    1. Configurei a aba LDAP mas não tenho certeza qual máscara aplicar.

    Neste ponto eu testei as seguintes máscaras:
    sAMAccountName=%s
    pgm.for.br\USER
    USER
    NAME
    Campo limpo

    Não consigo saber se ele está conseguindo coletar a informação sobre o usuário, mas mesmo assim configurei e testei os passos seguintes.

    2. Configurei as ACLs

    3. Configurei o grupo com o mesmo nome do grupo do AD

    4. No grupo configurei as acls correspondentes e a configuração do LDAP

    Pelo que li, a associação do grupo do E2Guardian com o grupo
    do AD acontece quando os nomes de ambos são iguais. Dessa forma
    ele é capaz de associar um usuário pertencente ao grupo do AD
    na regra do E2guardian (grupo). Entretanto com todos os testes
    que fiz o usuário autenticado e pertencente ao grupo chefes no AD
    só cai na regra do grupo default.

    No final das contas meu dois principais problemas são esses dois

    1. Possibilitar a autenticação a partir de um primeiro acesso a HTTPS.
    2. Associar a regra/grupo do E2guardian ao grupo do AD

    Conto com vcs!  ;)



  • Como está a configuração entre o e2guardian e o squid? Quem está na frente de quem?



  • Não sei dizer. Configurei assim:

    O ip ocultado é o endereço do proprio squid no pfsense!

    No cliente eu seto a porta 8080 apontando pro E2Guardian e uso para todas as conexões.

    Sinto falta de uma DOC.



  • @androse:

    Sinto falta de uma DOC.

    Assistiu ao screencast? http://sys-squad.com/screencast/59

    Que autenticações marcou na aba general do e2guardian?



  • Assisti!

    Marquei apenas IP Address



  • @androse:

    Marquei apenas IP Address

    Se tem autenticação habilitada no Squid, marque basic e ntlm. A autenticação  por ip é do proprio E2guardian.

    Se não tiver autenticação no squid, não precisa dele pro e2guardian autenticar por ip.



  • Corrgi!


    Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.



  • @androse:

    Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.

    Isso pode ser um bug. Faz mais umas validações que vou tentar montar um lab para confirmar também.

    Se confirmarmos o bug, abrimos um ticket no projeto (https://github.com/e2guardian/e2guardian)

    Você pode inverter a ordem de conexão também, deixando o e2guardian receber o usuário já autenticado do squid.



  • Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

    Consegui resolver o segundo problema; a questão dos grupos com LDAP.

    Ficou assim...

    Deixei as configurações do LDAP usando a máscara 'USER'

    Nas configurações do grupo deixei como estava, preservando o nome igual ao grupo do AD.

    Mas o pulo do gato foi a aba Users quando coloquei meu usuário lá.

    Testei com o meu usuário e com um usuário fora do grupo. Ambos foram encaminhados corretamente de acordo com seus grupos.

    Pensei que não precisasse fazer essa intervenção pois no squidguard bastava adicionar o usuário no grupo do AD que funcionava.

    Agora só preciso resolver esse negocio da autenticação HTTTPS.  :D



  • @androse:

    Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

    Consegui resolver o segundo problema; a questão dos grupos com LDAP.

    Ficou assim...

    Deixei as configurações do LDAP usando a máscara 'USER'

    Tive problemas para configurar proxy autenticado também.
    Todos usuários que não informar dentro dos grupos criados irão dar o erro "Failed to negotiate ssl connection to serve" se a opção "Filter ssl sites forging SSL Certificates" estiver selecionada, isso quando vai validar o HTTPS, mas para HTTP não retorna o erro, e perceba que a autenticação do squid não é solicitada nesse momento e abaixo do titulo Access has been denied mostra apenas um hifen sem o username.
    Para contornar isso criei um novo grupo grupo_default e informo os usuários dentro desse grupo, mas isso de forma manual, onde estou sentando todos os usuários dentro dos grupos.



  • Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

    Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

    A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

    Uma alternativa é rodar o comando do cron na console. ex:

    /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

    Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

    É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT



  • @marcelloc:

    Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

    Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

    A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

    Uma alternativa é rodar o comando do cron na console. ex:

    /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

    Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

    É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT

    marcelloc efetuei a atualização…
    a sincronização dos usuarios nos grupos estão ocorrendo apenas rodando no console
    informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

    após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos








  • @germinoskull:

    informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

    Eu sugiro pelo menos 5 minutos. Se você tiver essa mudança toda de usuarios no grupo, seu e2guardian vai viver recarregando…
    E a ideia do batch update é exatamente não "estressar" o AD com tanta query.

    @germinoskull:

    após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos

    Acredito que esse filtro que apareceu na imagem é o de url. O weighted phrase é do conteúdo do site.