4. [Problema] E2Guardian + Squid Autenticado

[Problema] E2Guardian + Squid Autenticado

  • A

    Pessoal,

    Estou com um pequeno problema no E2Guardian.

    Eu o configurei com o squid para atuar como autenticado. A autenticação está funcionando perfeitamente. Entretanto surgiram dois problemas onde eu passei o dia inteiro ontem tentando resolver e não consegui.

    O primeiro é relacionado a autenticação quando o cliente acessa primeiramente um site HTTPS. O E2guardian retorna a seguinte tela:

    Ou seja, não está autenticando quando acessado primeiramente HTTPS!

    Gostaria de saber se é possível autenticar acessando um site HTTPs, ou se vou precisar fazer uma manobra para o cliente sempre acessar primeiramente um site HTTP?

    O segundo problema é Configuração dos Grupos de acordo com os grupos do LDAP. Neste ponto são várias as dúvidas.

    1. Configurei a aba LDAP mas não tenho certeza qual máscara aplicar.

    Neste ponto eu testei as seguintes máscaras:
    sAMAccountName=%s
    pgm.for.br\USER
    USER
    NAME
    Campo limpo

    Não consigo saber se ele está conseguindo coletar a informação sobre o usuário, mas mesmo assim configurei e testei os passos seguintes.

    2. Configurei as ACLs

    3. Configurei o grupo com o mesmo nome do grupo do AD

    4. No grupo configurei as acls correspondentes e a configuração do LDAP

    Pelo que li, a associação do grupo do E2Guardian com o grupo
    do AD acontece quando os nomes de ambos são iguais. Dessa forma
    ele é capaz de associar um usuário pertencente ao grupo do AD
    na regra do E2guardian (grupo). Entretanto com todos os testes
    que fiz o usuário autenticado e pertencente ao grupo chefes no AD
    só cai na regra do grupo default.

    No final das contas meu dois principais problemas são esses dois

    1. Possibilitar a autenticação a partir de um primeiro acesso a HTTPS.
    2. Associar a regra/grupo do E2guardian ao grupo do AD

    Conto com vcs!  ;)

    0

  • Como está a configuração entre o e2guardian e o squid? Quem está na frente de quem?

    0
  • A

    Não sei dizer. Configurei assim:

    O ip ocultado é o endereço do proprio squid no pfsense!

    No cliente eu seto a porta 8080 apontando pro E2Guardian e uso para todas as conexões.

    Sinto falta de uma DOC.

    0

  • @androse:

    Sinto falta de uma DOC.

    Assistiu ao screencast? http://sys-squad.com/screencast/59

    Que autenticações marcou na aba general do e2guardian?

    0
  • A

    Assisti!

    Marquei apenas IP Address

    0

  • @androse:

    Marquei apenas IP Address

    Se tem autenticação habilitada no Squid, marque basic e ntlm. A autenticação  por ip é do proprio E2guardian.

    Se não tiver autenticação no squid, não precisa dele pro e2guardian autenticar por ip.

    0
  • A

    Corrgi!


    Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.

    0

  • @androse:

    Entretanto ainda não consigo autenticar quando acessado primeiramente um HTTPS.

    Isso pode ser um bug. Faz mais umas validações que vou tentar montar um lab para confirmar também.

    Se confirmarmos o bug, abrimos um ticket no projeto (https://github.com/e2guardian/e2guardian)

    Você pode inverter a ordem de conexão também, deixando o e2guardian receber o usuário já autenticado do squid.

    0
  • A

    Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

    Consegui resolver o segundo problema; a questão dos grupos com LDAP.

    Ficou assim...

    Deixei as configurações do LDAP usando a máscara 'USER'

    Nas configurações do grupo deixei como estava, preservando o nome igual ao grupo do AD.

    Mas o pulo do gato foi a aba Users quando coloquei meu usuário lá.

    Testei com o meu usuário e com um usuário fora do grupo. Ambos foram encaminhados corretamente de acordo com seus grupos.

    Pensei que não precisasse fazer essa intervenção pois no squidguard bastava adicionar o usuário no grupo do AD que funcionava.

    Agora só preciso resolver esse negocio da autenticação HTTTPS.  :D

    0
  • G

    @androse:

    Ainda não entendi como inverter esse ordem de conexão. Vou continuar tentando mas se puder me orientar como fazer…

    Consegui resolver o segundo problema; a questão dos grupos com LDAP.

    Ficou assim...

    Deixei as configurações do LDAP usando a máscara 'USER'

    Tive problemas para configurar proxy autenticado também.
    Todos usuários que não informar dentro dos grupos criados irão dar o erro "Failed to negotiate ssl connection to serve" se a opção "Filter ssl sites forging SSL Certificates" estiver selecionada, isso quando vai validar o HTTPS, mas para HTTP não retorna o erro, e perceba que a autenticação do squid não é solicitada nesse momento e abaixo do titulo Access has been denied mostra apenas um hifen sem o username.
    Para contornar isso criei um novo grupo grupo_default e informo os usuários dentro desse grupo, mas isso de forma manual, onde estou sentando todos os usuários dentro dos grupos.

    0

  • Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

    Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

    A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

    Uma alternativa é rodar o comando do cron na console. ex:

    /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

    Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

    É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT

    0
  • G

    @marcelloc:

    Acabei de subir uma atualização que corrige a busca de usuarios via ldap.

    Instale o pacte versão pfSense-pkg-E2guardian5-0.5.0.1_3 ou superior, salve as configurações, aplique.

    A atualização dos grupos é via cron, então espere o tempo que definiu para a execução e verifique se o grupo está populado.

    Uma alternativa é rodar o comando do cron na console. ex:

    /usr/local/bin/php /usr/local/www/e2guardian_ldap.php name 'chefes'

    Se a lista de usuários que aparecer no grupo do e2guardian for diferente da lista do AD, verifique os códigos de conta ou não selecione nenhum account code na definição do grupo.

    É importante ressaltar que se o grupo tiver muitos membros, o AD pode negar acesso e responder com um TIMED OUT

    marcelloc efetuei a atualização…
    a sincronização dos usuarios nos grupos estão ocorrendo apenas rodando no console
    informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

    após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos






    0

  • @germinoskull:

    informei 1m para atualização e no cron está colocando hour com 0 deveria ser * para executar a cada 1min

    Eu sugiro pelo menos 5 minutos. Se você tiver essa mudança toda de usuarios no grupo, seu e2guardian vai viver recarregando…
    E a ideia do batch update é exatamente não "estressar" o AD com tanta query.

    @germinoskull:

    após a atualização está aplicando filtrando das palavras mesmo deixando OFF em Weighted phrase mode nos grupos

    Acredito que esse filtro que apareceu na imagem é o de url. O weighted phrase é do conteúdo do site.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy