Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Integração Pfsense 2.4.4 com Active Directory

    Portuguese
    16
    49
    7692
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rafamaximo2018
      last edited by

      Pessoal boa noite!

      preciso integrar o pfsense 2.4.4 com active directory com proxy autenticado, mas não gostaria que pedisse autenticação na hora da abertura do browser. Quando usuario logar no windows ele ja esta autenticado no pfsense. Pode me ajudar?

      1 Reply Last reply Reply Quote 0
      • J
        juniorvaz
        last edited by

        Só conheço o pacote pf2ad que faz isso!

        1 Reply Last reply Reply Quote 0
        • R
          rafamaximo2018
          last edited by

          Sim, gostaria de saber como instalo ele no pfsense nesta versão!

          1 Reply Last reply Reply Quote 0
          • Markinho1970M
            Markinho1970
            last edited by

            Se for integração transparente para não pedir mais senha do dominio, segue:

            Mesmo para a versão 2.4.4_1 você pode fazer assim:

            Edite version em:
            vi /etc/version

            Vai estar --> 2.4.4 mude para 2.4.3

            apague também o samba.patch.version

            rm -rf /etc/samba.patch.version

            Agora rode normalmente o pf2ad para versão 2.4.3:

            fetch -q -o - https://raw.githubusercontent.com/pf2ad/pf2ad/2.4.3-SAMBA4/pf2ad.sh | sh

            Ao final basta somente entrar no squid na aba authentication e veja se o Authentication Method esta com Winbind NTLM??

            Se sim, basta sair salvando.

            Pronto

            Marco Antonio
            Support Analyst

            M C 2 Replies Last reply Reply Quote 0
            • R
              rafamaximo2018
              last edited by

              Amigo Markinho!

              Não entendi, quais os comandos preciso fazer?

              Markinho1970M 1 Reply Last reply Reply Quote 0
              • Markinho1970M
                Markinho1970 @rafamaximo2018
                last edited by Markinho1970

                @rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:

                Amigo Markinho!

                Não entendi, quais os comandos preciso fazer?

                Você vai no servidor pfsense o qual quer integrar com o AD.
                Vai na console via SSH e depois replique os comandos abaixo:

                edite o arquivo "version"

                vi /etc/version

                dentro desse arquivo terá a seguinte linha

                2.4.4-RELEASE

                você tem que mudar para

                2.4.3-RELEASE

                Saia salvando.

                Depois apague o arquivo "samba.patch.version" com o seguinte comando, ainda na console.

                rm -rf /etc/samba.patch.version

                Agora execute ,ainda na console, o comando abaixo:

                fetch -q -o - https://raw.githubusercontent.com/pf2ad/pf2ad/2.4.3-SAMBA4/pf2ad.sh | sh

                Ao final a integração estará realizada.

                Basta você acessar nas configurações do squid do seu PFSENSE a ABA "AUTHENTICATION"
                Veja imagem abaixo:

                alt text

                Espero ter ajudado...

                Marco Antonio
                Support Analyst

                1 Reply Last reply Reply Quote 0
                • R
                  rafamaximo2018
                  last edited by

                  Velho muito obrigado!

                  Deu tudo certinho.. vc é o cara!! Valew!!!!

                  Markinho1970M 1 Reply Last reply Reply Quote 1
                  • Markinho1970M
                    Markinho1970 @rafamaximo2018
                    last edited by

                    @rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:

                    Velho muito obrigado!

                    Deu tudo certinho.. vc é o cara!! Valew!!!!

                    De nada...

                    Marco Antonio
                    Support Analyst

                    1 Reply Last reply Reply Quote 0
                    • R
                      rafamaximo2018
                      last edited by

                      O Markinho bom dia!

                      Sem querer incomodar, mas fiz toda integração, com ad tudo certinho.

                      Só que as páginas so dão acesso negado e quando fui olhar nos logs ele não esta autenticando com os usuários do ad.. Sabe o que pode ser... meu ad e um samba 4

                      Markinho1970M 1 Reply Last reply Reply Quote 0
                      • Markinho1970M
                        Markinho1970 @rafamaximo2018
                        last edited by Markinho1970

                        @rafamaximo2018 Verifique na aba AUTHENTICATION se o NTLM esta assinalado...
                        Informe os dados do seu servidor AD.

                        alt text

                        Após desça mais um pouco e veja se o "NTLMSSP Negotiate" está marcado (isso é muito importante para a integração) e coloque os dados do seu domínio. No meu caso é exsa.local e com 50 processos.

                        alt text

                        Depois vai no menu services e procure o Samba (AD) , esse item no meu foi incluído pelo Pf2AD.

                        alt text

                        Selecione e informe os dados do seu AD. O meu esquema é Windows 2008+ veja qual eh o seu.

                        Esse procedimento vai incluir seu PFSense server no seu domínio. Verifique no seu domino pelo "Acitive directory Users and Computers" se o servidor do PFSense apareceu no seu Unidade Organizacional "Computers".

                        Salve e faça testes.

                        alt text

                        Marco Antonio
                        Support Analyst

                        1 Reply Last reply Reply Quote 0
                        • R
                          rafamaximo2018
                          last edited by

                          Apo MArkinho consegui novamente!

                          Agora não consigo é a integração do mesmo com o squidguard... Ele não reconhece as regras de bloqueio... NO Squid sim ele reconhece mas preciso de criar grupos..

                          Eu fiz assim:

                          ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))

                          Está certo?

                          Markinho1970M 1 Reply Last reply Reply Quote 0
                          • M
                            marcello marques
                            last edited by

                            Boa noite pessoal,
                            estava lendo o post de voces, e estou com uma duvida, fiz tudo que nosso amigo falou, ele so funciona com squid em modo transparente?

                            1 Reply Last reply Reply Quote 0
                            • R
                              rafamaximo2018
                              last edited by

                              Oi Marcello bom dia!

                              Não, funciona também em modo autenticado, mas não to conseguindo pois me parece que há algo na configuração do SquidGuard que não esta batendo.

                              Por isso so consegui transparente, mandei as configurações acima para ver se alguem mais experiente consiga me ajudar...

                              1 Reply Last reply Reply Quote 0
                              • Markinho1970M
                                Markinho1970 @rafamaximo2018
                                last edited by Markinho1970

                                @rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:

                                ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))

                                Rafamaximo2018 você tem que ver 2 coisas pelo que percebi:

                                Primeiro - Ver se a integração com o LDAP está correta:

                                alt text

                                Em "LDAP options" você tem que habilitar a integração e também ter uma conta no AD que fara a conexão com o Squidguard, que vai digitar ela no "LDAP DN", como na figura.

                                Esse LDAP DN você pega o CN (Common Name) através do "ADSI Edit" (ferramenta do domínio para edição das OU's) isso dentro do seu servidor de domínio.

                                Eu criei uma conta (não administradora) para fazer a integração "pfuser" e peguei o DN (Distinguished Name) dela.

                                alt text

                                Copie e cole no campo "LDAP DN" e depois digite a senha.
                                Mark Strip NT DOMIN e Strip Kerberos.
                                Escolha a versão do LDAP, meu caso é 3.

                                Salve e depois de "Applay" aquela tecla verde na imagem anterior do Squidguard.

                                Obs importante: Sempre que mexer nas regras ou configurações você tem que dar o "Applay".

                                Pronto a integração esta feita.

                                Segundo - Vi que a linha de busca no LDAP está errada. Ela esta assim:

                                ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))

                                E na verdade deveria ser assim:

                                ldapusersearch ldap://192.168.20.1:3268/DC=dukar,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))

                                Vi que seu domínio é dukar.local... então o primeiro DC=domain deve ser mudado para DC=dukar e o segundo para DC=local.

                                Faça testes...

                                Marco Antonio
                                Support Analyst

                                M 1 Reply Last reply Reply Quote 0
                                • Markinho1970M
                                  Markinho1970
                                  last edited by

                                  @marcello-marques Essas configurações são para o modo autenticado do Squid.

                                  Marco Antonio
                                  Support Analyst

                                  1 Reply Last reply Reply Quote 0
                                  • R
                                    rafamaximo2018
                                    last edited by

                                    Sim, tentei as duas alternativas. E não deu certo!

                                    Posso até te mandar os prints da minha tela, o usuário que eu criei dentro do AD para integração está com nome de Pfsense..

                                    Ressalto que meu Ad é Samba 4.. Será que tem algo a ver?

                                    Markinho1970M 1 Reply Last reply Reply Quote 0
                                    • Markinho1970M
                                      Markinho1970 @rafamaximo2018
                                      last edited by

                                      @rafamaximo2018 é a mesma versão minha. Pode ser que tenha algo errado com seu AD e não com o PFSENSE.
                                      Era pra funcionar direito essa questão de filtro do SquidGuard.
                                      Faça um checklist detalhado de todas s configurações... é demorado mas garanta que não esqueceu nada... Essa questão de integração do AD qqer detalhes pequeno, mesmo uma virgula fora de lugar, impede o bom funcionamento... Outra coisa, verifique esse esse usuário do AD não esta bloqueado.

                                      Marco Antonio
                                      Support Analyst

                                      1 Reply Last reply Reply Quote 0
                                      • R
                                        rafamaximo2018
                                        last edited by

                                        Cara fiz e refiz 2 vezes essa verificação!

                                        Realmente não sei o porque isso acontece.... Será pq é samba 4?

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          rafamaximo2018
                                          last edited by

                                          Certamente é algo relacionado ao SquidGuard pois no Squid funciona as regras normalmente!

                                          Engraçado que eu dou o comando wbinfo -u e ele lista os usuários no pfsense inclusive o que eu criei para integração!

                                          1 Reply Last reply Reply Quote 0
                                          • R
                                            rafamaximo2018
                                            last edited by

                                            eu to achando que pode ser a complexibilidade de senha do samba4...

                                            Exemplo criei um usuário pfuser e senha = senha_1 sera que pode ser isso?

                                            1 Reply Last reply Reply Quote 0
                                            • R
                                              rafamaximo2018
                                              last edited by

                                              Peguei os logs do squidguard... segue:

                                              (squidGuard): ldap_simple_bind_s falhou: Requer autenticação forte (er)

                                              Markinho1970M 1 Reply Last reply Reply Quote 0
                                              • Markinho1970M
                                                Markinho1970 @rafamaximo2018
                                                last edited by

                                                @rafamaximo2018 Olha faz o seguinte, assiste esse video:

                                                Link de PFSense Integrado com AD+SquidGuard

                                                Tem ferramentas de testes..

                                                Marco Antonio
                                                Support Analyst

                                                1 Reply Last reply Reply Quote 0
                                                • R
                                                  rafamaximo2018
                                                  last edited by

                                                  Amigo consegui resolver!!! GRAÇAS A DEUS e ao forum aqui também!!!

                                                  Velho vi isso no forum após os logs do squid....

                                                  Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.

                                                  Editei o SMB.CONF

                                                  #vi /etc/samba/smb.conf

                                                  E adicionei a seguinte linha no Global Parameters.

                                                  ldap server require strong auth = no

                                                  Salvei o arquivo

                                                  #:wq!

                                                  E reiniciei o serviço do Samba.

                                                  Fiz e resolveu.. obrigaod demais viu!

                                                  1 Reply Last reply Reply Quote 0
                                                  • M
                                                    marcello marques
                                                    last edited by

                                                    Pessoal, boa tarde!

                                                    Desculpe a demora... Consegui configurar os dois Squid e SquidGuard, mas o procedimento so fucnionou depois de reiniciar o FW, nao foi o suficiente reiniciar o serviço. Após isso! td funcionando, @Markinho1970 muito boa sua dica da versão parabens.

                                                    Markinho1970M 1 Reply Last reply Reply Quote 0
                                                    • Markinho1970M
                                                      Markinho1970 @marcello marques
                                                      last edited by

                                                      @marcello-marques Obrigado amigo...

                                                      Marco Antonio
                                                      Support Analyst

                                                      1 Reply Last reply Reply Quote 0
                                                      • M
                                                        marcelfreitas
                                                        last edited by

                                                        Prezados..
                                                        Apos fazer todos os processos tudo testado e funcionando o meu pfsense não habilita os campos Authentication Server e Port para digitar informações0_1547846747613_Screenshot_8.png

                                                        M M 3 Replies Last reply Reply Quote 0
                                                        • M
                                                          marcello marques @marcelfreitas
                                                          last edited by

                                                          @marcelfreitas qual a versao do seu squid

                                                          1 Reply Last reply Reply Quote 0
                                                          • M
                                                            marcello marques @marcelfreitas
                                                            last edited by

                                                            @marcelfreitas qual a versao do seu pfsense, ja temos o script para versao 2.4.4

                                                            M 1 Reply Last reply Reply Quote 0
                                                            • L
                                                              lindomarrf25
                                                              last edited by

                                                              Bom dia, você tem como me mandar a versão pro pfsense 2.4.4-release?

                                                              Fiz os procedimentos acima e o squid e squidguard não iniciam.

                                                              1 Reply Last reply Reply Quote 0
                                                              • L
                                                                lindomarrf25
                                                                last edited by

                                                                Boa tarde, após refazer os procedimentos os serviços do squid, squidguard e samba estão ok. Configurei no navegador o endereço do proxy e fica pedindo usuário a todo momento. Já configurei a parte do NTLM também. Sabe o que pode ser?

                                                                E 2 Replies Last reply Reply Quote 0
                                                                • M
                                                                  marochavieira @marcello marques
                                                                  last edited by

                                                                  @marcello-marques Boa tarde amigo
                                                                  Tem o comando para a última versão?

                                                                  Att,

                                                                  Marco Aurélio

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • M
                                                                    marochavieira @marcelfreitas
                                                                    last edited by

                                                                    @marcelfreitas

                                                                    Isso já aconteceu comigo, é meio que um bug.
                                                                    É so vc marcar a opção LDAP, vai habilitar.. aí é so vc mudar pra Winbind NTLM que vai estar acessível.

                                                                    Att,

                                                                    Marco Aurélio

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • M
                                                                      marcello marques
                                                                      last edited by

                                                                      Tenho sim.
                                                                      Você vai precisar editar a primeira parte do script.
                                                                      Vou ver certinho e repasso.

                                                                      M 1 Reply Last reply Reply Quote 0
                                                                      • M
                                                                        marochavieira @marcello marques
                                                                        last edited by

                                                                        @marcello-marques
                                                                        Boa tarde Marcello

                                                                        Seria esse que está no começo desse tópico?

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • F
                                                                          feldinez
                                                                          last edited by

                                                                          Bom dia, alguém está com problemas com o Do Not Cache essa versão?
                                                                          Quando adiciono algum endereço na lista e dou salvar aparece o erro abaixo:

                                                                          Fatal error: Uncaught Error: Call to undefined function split() in /usr/local/pkg/squid.inc:943 Stack trace: #0 /usr/local/www/pkg_edit.php(135) : eval()'d code(1): squid_validate_cache(Array, Array) #1 /usr/local/www/pkg_edit.php(135): eval() #2 {main} thrown in /usr/local/pkg/squid.inc on line 943 PHP ERROR: Type: 1, File: /usr/local/pkg/squid.inc, Line: 943, Message: Uncaught Error: Call to undefined function split() in /usr/local/pkg/squid.inc:943 Stack trace: #0 /usr/local/www/pkg_edit.php(135) : eval()'d code(1): squid_validate_cache(Array, Array) #1 /usr/local/www/pkg_edit.php(135): eval() #2 {main} thrown

                                                                          M maxwelberM 2 Replies Last reply Reply Quote 0
                                                                          • M
                                                                            marochavieira @Markinho1970
                                                                            last edited by

                                                                            @Markinho1970
                                                                            Boa tarde

                                                                            Eu uso uma integração gratuita que é show de bola...
                                                                            É muito simples de instalar e configurar.

                                                                            É muito bom mesmo!!!

                                                                            Segue o link
                                                                            Consulta Ldap

                                                                            Abraço

                                                                            Att.
                                                                            Marco Aurélio

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • M
                                                                              marochavieira @feldinez
                                                                              last edited by

                                                                              This post is deleted!
                                                                              1 Reply Last reply Reply Quote 0
                                                                              • M
                                                                                marochavieira @Markinho1970
                                                                                last edited by

                                                                                This post is deleted!
                                                                                1 Reply Last reply Reply Quote 0
                                                                                • E
                                                                                  engreinaldo @lindomarrf25
                                                                                  last edited by

                                                                                  This post is deleted!
                                                                                  1 Reply Last reply Reply Quote 0
                                                                                  • E
                                                                                    engreinaldo @lindomarrf25
                                                                                    last edited by engreinaldo

                                                                                    This post is deleted!
                                                                                    1 Reply Last reply Reply Quote 0
                                                                                    • First post
                                                                                      Last post