Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Problema] E2Guardian + Squid Autenticado

    Scheduled Pinned Locked Moved Portuguese
    16 Posts 5 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      androse
      last edited by

      Pessoal,

      Estou com um pequeno problema no E2Guardian.

      Eu o configurei com o squid para atuar como autenticado. A autenticação está funcionando perfeitamente. Entretanto surgiram dois problemas onde eu passei o dia inteiro ontem tentando resolver e não consegui.

      O primeiro é relacionado a autenticação quando o cliente acessa primeiramente um site HTTPS. O E2guardian retorna a seguinte tela:

      Ou seja, não está autenticando quando acessado primeiramente HTTPS!

      Gostaria de saber se é possível autenticar acessando um site HTTPs, ou se vou precisar fazer uma manobra para o cliente sempre acessar primeiramente um site HTTP?

      O segundo problema é Configuração dos Grupos de acordo com os grupos do LDAP. Neste ponto são várias as dúvidas.

      1. Configurei a aba LDAP mas não tenho certeza qual máscara aplicar.

      Neste ponto eu testei as seguintes máscaras:
      sAMAccountName=%s
      pgm.for.br\USER
      USER
      NAME
      Campo limpo

      Não consigo saber se ele está conseguindo coletar a informação sobre o usuário, mas mesmo assim configurei e testei os passos seguintes.

      2. Configurei as ACLs

      3. Configurei o grupo com o mesmo nome do grupo do AD

      4. No grupo configurei as acls correspondentes e a configuração do LDAP

      Pelo que li, a associação do grupo do E2Guardian com o grupo
      do AD acontece quando os nomes de ambos são iguais. Dessa forma
      ele é capaz de associar um usuário pertencente ao grupo do AD
      na regra do E2guardian (grupo). Entretanto com todos os testes
      que fiz o usuário autenticado e pertencente ao grupo chefes no AD
      só cai na regra do grupo default.

      No final das contas meu dois principais problemas são esses dois

      1. Possibilitar a autenticação a partir de um primeiro acesso a HTTPS.
      2. Associar a regra/grupo do E2guardian ao grupo do AD

      Conto com vcs!  ;)

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Como está a configuração entre o e2guardian e o squid? Quem está na frente de quem?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • A
          androse
          last edited by

          Não sei dizer. Configurei assim:

          O ip ocultado é o endereço do proprio squid no pfsense!

          No cliente eu seto a porta 8080 apontando pro E2Guardian e uso para todas as conexões.

          Sinto falta de uma DOC.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @androse:

            Sinto falta de uma DOC.

            Assistiu ao screencast? http://sys-squad.com/screencast/59

            Que autenticações marcou na aba general do e2guardian?

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            A 2 Replies Last reply Reply Quote 0
            • A
              androse
              last edited by

              Assisti!

              Marquei apenas IP Address

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @androse:

                Marquei apenas IP Address

                Se tem autenticação habilitada no Squid, marque basic e ntlm. A autenticação  por ip é do proprio E2guardian.

                Se não tiver autenticação no squid, não precisa dele pro e2guardian autenticar por ip.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • A
                  androse
                  last edited by

                  Corrgi!


                  Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    @androse:

                    Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.

                    Isso pode ser um bug. Faz mais umas validações que vou tentar montar um lab para confirmar também.

                    Se confirmarmos o bug, abrimos um ticket no projeto (https://github.com/e2guardian/e2guardian)

                    Você pode inverter a ordem de conexão também, deixando o e2guardian receber o usuário já autenticado do squid.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • A
                      androse
                      last edited by

                      Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

                      Consegui resolver o segundo problema; a questão dos grupos com LDAP.

                      Ficou assim...

                      Deixei as configurações do LDAP usando a máscara 'USER'

                      Nas configurações do grupo deixei como estava, preservando o nome igual ao grupo do AD.

                      Mas o pulo do gato foi a aba Users quando coloquei meu usuário lá.

                      Testei com o meu usuário e com um usuário fora do grupo. Ambos foram encaminhados corretamente de acordo com seus grupos.

                      Pensei que não precisasse fazer essa intervenção pois no squidguard bastava adicionar o usuário no grupo do AD que funcionava.

                      Agora só preciso resolver esse negocio da autenticação HTTTPS.  :D

                      1 Reply Last reply Reply Quote 0
                      • G
                        germinoskull
                        last edited by

                        @androse:

                        Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

                        Consegui resolver o segundo problema; a questão dos grupos com LDAP.

                        Ficou assim...

                        Deixei as configurações do LDAP usando a máscara 'USER'

                        Tive problemas para configurar proxy autenticado também.
                        Todos usuários que não informar dentro dos grupos criados irão dar o erro "Failed to negotiate ssl connection to serve" se a opção "Filter ssl sites forging SSL Certificates" estiver selecionada, isso quando vai validar o HTTPS, mas para HTTP não retorna o erro, e perceba que a autenticação do squid não é solicitada nesse momento e abaixo do titulo Access has been denied mostra apenas um hifen sem o username.
                        Para contornar isso criei um novo grupo grupo_default e informo os usuários dentro desse grupo, mas isso de forma manual, onde estou sentando todos os usuários dentro dos grupos.

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

                          Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

                          A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

                          Uma alternativa é rodar o comando do cron na console. ex:

                          /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

                          Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

                          É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            germinoskull
                            last edited by

                            @marcelloc:

                            Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

                            Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

                            A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

                            Uma alternativa é rodar o comando do cron na console. ex:

                            /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

                            Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

                            É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT

                            marcelloc efetuei a atualização…
                            a sincronização dos usuarios nos grupos estão ocorrendo apenas rodando no console
                            informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

                            após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos

                            cron_e2guardian.JPG
                            cron_e2guardian.JPG_thumb
                            phrase_mode.JPG
                            phrase_mode.JPG_thumb
                            filtro_palavra_analista.JPG
                            filtro_palavra_analista.JPG_thumb

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @germinoskull:

                              informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

                              Eu sugiro pelo menos 5 minutos. Se você tiver essa mudança toda de usuarios no grupo, seu e2guardian vai viver recarregando…
                              E a ideia do batch update é exatamente não "estressar" o AD com tanta query.

                              @germinoskull:

                              após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos

                              Acredito que esse filtro que apareceu na imagem é o de url. O weighted phrase é do conteúdo do site.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • P
                                pereira_master
                                last edited by

                                Boa tarde pessoal,

                                Instalei o E2Guardian e estou fazendo uns testes e estou notando que ele esta bloqueando o proprio pfsense. Mesmo que eu coloque o IP do pfsense na lista de IP para nao ser filtrado mesmo assim esta barrando o acesso ao pfsense.

                                Sera que estou fazendo errado?

                                Outra coisa tambem: fiz os passos para que ele populasse os usuarios no grupo BANESCAIXA. Porem, ele nao esta filtrando os acessos e colocando na coluna USERS do RealTime. Como faço para que nesta coluna apareça o usuario que logou determinado site?

                                Existe alguma forma de ligar o E2Guardian no ligthSquid ou algum outro relatorio de acesso?

                                1 Reply Last reply Reply Quote 0
                                • A
                                  arielberlandi @marcelloc
                                  last edited by

                                  This post is deleted!
                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    arielberlandi @marcelloc
                                    last edited by

                                    @marcelloc said in [Problema] E2Guardian + Squid Autenticado:

                                    @androse:

                                    Sinto falta de uma DOC.

                                    Assistiu ao screencast? http://sys-squad.com/screencast/59

                                    Que autenticações marcou na aba general do e2guardian?

                                    @marcelloc será que essa screencast está disponível em outra plataforma? A do link está off e gostaria de testar o e2guardian para substituir o squid/squidguard na minha rede.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.