[Problema] E2Guardian + Squid Autenticado
-
Pessoal,
Estou com um pequeno problema no E2Guardian.
Eu o configurei com o squid para atuar como autenticado. A autenticação está funcionando perfeitamente. Entretanto surgiram dois problemas onde eu passei o dia inteiro ontem tentando resolver e não consegui.
O primeiro é relacionado a autenticação quando o cliente acessa primeiramente um site HTTPS. O E2guardian retorna a seguinte tela:
Ou seja, não está autenticando quando acessado primeiramente HTTPS!
Gostaria de saber se é possível autenticar acessando um site HTTPs, ou se vou precisar fazer uma manobra para o cliente sempre acessar primeiramente um site HTTP?
O segundo problema é Configuração dos Grupos de acordo com os grupos do LDAP. Neste ponto são várias as dúvidas.
1. Configurei a aba LDAP mas não tenho certeza qual máscara aplicar.
Neste ponto eu testei as seguintes máscaras:
sAMAccountName=%s
pgm.for.br\USER
USER
NAME
Campo limpoNão consigo saber se ele está conseguindo coletar a informação sobre o usuário, mas mesmo assim configurei e testei os passos seguintes.
2. Configurei as ACLs
3. Configurei o grupo com o mesmo nome do grupo do AD
4. No grupo configurei as acls correspondentes e a configuração do LDAP
Pelo que li, a associação do grupo do E2Guardian com o grupo
do AD acontece quando os nomes de ambos são iguais. Dessa forma
ele é capaz de associar um usuário pertencente ao grupo do AD
na regra do E2guardian (grupo). Entretanto com todos os testes
que fiz o usuário autenticado e pertencente ao grupo chefes no AD
só cai na regra do grupo default.
No final das contas meu dois principais problemas são esses dois
1. Possibilitar a autenticação a partir de um primeiro acesso a HTTPS.
2. Associar a regra/grupo do E2guardian ao grupo do ADConto com vcs! ;)
-
Como está a configuração entre o e2guardian e o squid? Quem está na frente de quem?
-
Não sei dizer. Configurei assim:
O ip ocultado é o endereço do proprio squid no pfsense!
No cliente eu seto a porta 8080 apontando pro E2Guardian e uso para todas as conexões.
Sinto falta de uma DOC.
-
Sinto falta de uma DOC.
Assistiu ao screencast? http://sys-squad.com/screencast/59
Que autenticações marcou na aba general do e2guardian?
-
Assisti!
Marquei apenas IP Address
-
Marquei apenas IP Address
Se tem autenticação habilitada no Squid, marque basic e ntlm. A autenticação por ip é do proprio E2guardian.
Se não tiver autenticação no squid, não precisa dele pro e2guardian autenticar por ip.
-
Corrgi!
Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS. -
Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.
Isso pode ser um bug. Faz mais umas validações que vou tentar montar um lab para confirmar também.
Se confirmarmos o bug, abrimos um ticket no projeto (https://github.com/e2guardian/e2guardian)
Você pode inverter a ordem de conexão também, deixando o e2guardian receber o usuário já autenticado do squid.
-
Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…
Consegui resolver o segundo problema; a questão dos grupos com LDAP.
Ficou assim...
Deixei as configurações do LDAP usando a máscara 'USER'
Nas configurações do grupo deixei como estava, preservando o nome igual ao grupo do AD.
Mas o pulo do gato foi a aba Users quando coloquei meu usuário lá.
Testei com o meu usuário e com um usuário fora do grupo. Ambos foram encaminhados corretamente de acordo com seus grupos.
Pensei que não precisasse fazer essa intervenção pois no squidguard bastava adicionar o usuário no grupo do AD que funcionava.
Agora só preciso resolver esse negocio da autenticação HTTTPS. :D
-
Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…
Consegui resolver o segundo problema; a questão dos grupos com LDAP.
Ficou assim...
Deixei as configurações do LDAP usando a máscara 'USER'
Tive problemas para configurar proxy autenticado também.
Todos usuários que não informar dentro dos grupos criados irão dar o erro "Failed to negotiate ssl connection to serve" se a opção "Filter ssl sites forging SSL Certificates" estiver selecionada, isso quando vai validar o HTTPS, mas para HTTP não retorna o erro, e perceba que a autenticação do squid não é solicitada nesse momento e abaixo do titulo Access has been denied mostra apenas um hifen sem o username.
Para contornar isso criei um novo grupo grupo_default e informo os usuários dentro desse grupo, mas isso de forma manual, onde estou sentando todos os usuários dentro dos grupos. -
Acabei de subir uma atualização que corrige a busca de usuarios via ldap.
Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.
A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.
Uma alternativa é rodar o comando do cron na console. ex:
/usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'
Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.
É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT
-
Acabei de subir uma atualização que corrige a busca de usuarios via ldap.
Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.
A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.
Uma alternativa é rodar o comando do cron na console. ex:
/usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'
Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.
É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT
marcelloc efetuei a atualização…
a sincronização dos usuarios nos grupos estão ocorrendo apenas rodando no console
informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1minapós a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos
-
informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min
Eu sugiro pelo menos 5 minutos. Se você tiver essa mudança toda de usuarios no grupo, seu e2guardian vai viver recarregando…
E a ideia do batch update é exatamente não "estressar" o AD com tanta query.após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos
Acredito que esse filtro que apareceu na imagem é o de url. O weighted phrase é do conteúdo do site.
-
Boa tarde pessoal,
Instalei o E2Guardian e estou fazendo uns testes e estou notando que ele esta bloqueando o proprio pfsense. Mesmo que eu coloque o IP do pfsense na lista de IP para nao ser filtrado mesmo assim esta barrando o acesso ao pfsense.
Sera que estou fazendo errado?
Outra coisa tambem: fiz os passos para que ele populasse os usuarios no grupo BANESCAIXA. Porem, ele nao esta filtrando os acessos e colocando na coluna USERS do RealTime. Como faço para que nesta coluna apareça o usuario que logou determinado site?
Existe alguma forma de ligar o E2Guardian no ligthSquid ou algum outro relatorio de acesso?
-
This post is deleted! -
@marcelloc said in [Problema] E2Guardian + Squid Autenticado:
Sinto falta de uma DOC.
Assistiu ao screencast? http://sys-squad.com/screencast/59
Que autenticações marcou na aba general do e2guardian?
@marcelloc será que essa screencast está disponível em outra plataforma? A do link está off e gostaria de testar o e2guardian para substituir o squid/squidguard na minha rede.
