Integração Pfsense 2.4.4 com Active Directory
-
Pessoal boa noite!
preciso integrar o pfsense 2.4.4 com active directory com proxy autenticado, mas não gostaria que pedisse autenticação na hora da abertura do browser. Quando usuario logar no windows ele ja esta autenticado no pfsense. Pode me ajudar?
-
Só conheço o pacote pf2ad que faz isso!
-
Sim, gostaria de saber como instalo ele no pfsense nesta versão!
-
Se for integração transparente para não pedir mais senha do dominio, segue:
Mesmo para a versão 2.4.4_1 você pode fazer assim:
Edite version em:
vi /etc/versionVai estar --> 2.4.4 mude para 2.4.3
apague também o samba.patch.version
rm -rf /etc/samba.patch.version
Agora rode normalmente o pf2ad para versão 2.4.3:
fetch -q -o - https://raw.githubusercontent.com/pf2ad/pf2ad/2.4.3-SAMBA4/pf2ad.sh | sh
Ao final basta somente entrar no squid na aba authentication e veja se o Authentication Method esta com Winbind NTLM??
Se sim, basta sair salvando.
Pronto
-
Amigo Markinho!
Não entendi, quais os comandos preciso fazer?
-
@rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:
Amigo Markinho!
Não entendi, quais os comandos preciso fazer?
Você vai no servidor pfsense o qual quer integrar com o AD.
Vai na console via SSH e depois replique os comandos abaixo:edite o arquivo "version"
vi /etc/version
dentro desse arquivo terá a seguinte linha
2.4.4-RELEASE
você tem que mudar para
2.4.3-RELEASE
Saia salvando.
Depois apague o arquivo "samba.patch.version" com o seguinte comando, ainda na console.
rm -rf /etc/samba.patch.version
Agora execute ,ainda na console, o comando abaixo:
fetch -q -o - https://raw.githubusercontent.com/pf2ad/pf2ad/2.4.3-SAMBA4/pf2ad.sh | sh
Ao final a integração estará realizada.
Basta você acessar nas configurações do squid do seu PFSENSE a ABA "AUTHENTICATION"
Veja imagem abaixo:Espero ter ajudado...
-
Velho muito obrigado!
Deu tudo certinho.. vc é o cara!! Valew!!!!
-
@rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:
Velho muito obrigado!
Deu tudo certinho.. vc é o cara!! Valew!!!!
De nada...
-
O Markinho bom dia!
Sem querer incomodar, mas fiz toda integração, com ad tudo certinho.
Só que as páginas so dão acesso negado e quando fui olhar nos logs ele não esta autenticando com os usuários do ad.. Sabe o que pode ser... meu ad e um samba 4
-
@rafamaximo2018 Verifique na aba AUTHENTICATION se o NTLM esta assinalado...
Informe os dados do seu servidor AD.Após desça mais um pouco e veja se o "NTLMSSP Negotiate" está marcado (isso é muito importante para a integração) e coloque os dados do seu domínio. No meu caso é exsa.local e com 50 processos.
Depois vai no menu services e procure o Samba (AD) , esse item no meu foi incluído pelo Pf2AD.
Selecione e informe os dados do seu AD. O meu esquema é Windows 2008+ veja qual eh o seu.
Esse procedimento vai incluir seu PFSense server no seu domínio. Verifique no seu domino pelo "Acitive directory Users and Computers" se o servidor do PFSense apareceu no seu Unidade Organizacional "Computers".
Salve e faça testes.
-
Apo MArkinho consegui novamente!
Agora não consigo é a integração do mesmo com o squidguard... Ele não reconhece as regras de bloqueio... NO Squid sim ele reconhece mas preciso de criar grupos..
Eu fiz assim:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Está certo?
-
Boa noite pessoal,
estava lendo o post de voces, e estou com uma duvida, fiz tudo que nosso amigo falou, ele so funciona com squid em modo transparente? -
Oi Marcello bom dia!
Não, funciona também em modo autenticado, mas não to conseguindo pois me parece que há algo na configuração do SquidGuard que não esta batendo.
Por isso so consegui transparente, mandei as configurações acima para ver se alguem mais experiente consiga me ajudar...
-
@rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Rafamaximo2018 você tem que ver 2 coisas pelo que percebi:
Primeiro - Ver se a integração com o LDAP está correta:
Em "LDAP options" você tem que habilitar a integração e também ter uma conta no AD que fara a conexão com o Squidguard, que vai digitar ela no "LDAP DN", como na figura.
Esse LDAP DN você pega o CN (Common Name) através do "ADSI Edit" (ferramenta do domínio para edição das OU's) isso dentro do seu servidor de domínio.
Eu criei uma conta (não administradora) para fazer a integração "pfuser" e peguei o DN (Distinguished Name) dela.
Copie e cole no campo "LDAP DN" e depois digite a senha.
Mark Strip NT DOMIN e Strip Kerberos.
Escolha a versão do LDAP, meu caso é 3.Salve e depois de "Applay" aquela tecla verde na imagem anterior do Squidguard.
Obs importante: Sempre que mexer nas regras ou configurações você tem que dar o "Applay".
Pronto a integração esta feita.
Segundo - Vi que a linha de busca no LDAP está errada. Ela esta assim:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
E na verdade deveria ser assim:
ldapusersearch ldap://192.168.20.1:3268/DC=dukar,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Vi que seu domínio é dukar.local... então o primeiro DC=domain deve ser mudado para DC=dukar e o segundo para DC=local.
Faça testes...
-
@marcello-marques Essas configurações são para o modo autenticado do Squid.
-
Sim, tentei as duas alternativas. E não deu certo!
Posso até te mandar os prints da minha tela, o usuário que eu criei dentro do AD para integração está com nome de Pfsense..
Ressalto que meu Ad é Samba 4.. Será que tem algo a ver?
-
@rafamaximo2018 é a mesma versão minha. Pode ser que tenha algo errado com seu AD e não com o PFSENSE.
Era pra funcionar direito essa questão de filtro do SquidGuard.
Faça um checklist detalhado de todas s configurações... é demorado mas garanta que não esqueceu nada... Essa questão de integração do AD qqer detalhes pequeno, mesmo uma virgula fora de lugar, impede o bom funcionamento... Outra coisa, verifique esse esse usuário do AD não esta bloqueado. -
Cara fiz e refiz 2 vezes essa verificação!
Realmente não sei o porque isso acontece.... Será pq é samba 4?
-
Certamente é algo relacionado ao SquidGuard pois no Squid funciona as regras normalmente!
Engraçado que eu dou o comando wbinfo -u e ele lista os usuários no pfsense inclusive o que eu criei para integração!
-
eu to achando que pode ser a complexibilidade de senha do samba4...
Exemplo criei um usuário pfuser e senha = senha_1 sera que pode ser isso?
-
Peguei os logs do squidguard... segue:
(squidGuard): ldap_simple_bind_s falhou: Requer autenticação forte (er)
-
@rafamaximo2018 Olha faz o seguinte, assiste esse video:
Link de PFSense Integrado com AD+SquidGuard
Tem ferramentas de testes..
-
Amigo consegui resolver!!! GRAÇAS A DEUS e ao forum aqui também!!!
Velho vi isso no forum após os logs do squid....
Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.
Editei o SMB.CONF
#vi /etc/samba/smb.conf
E adicionei a seguinte linha no Global Parameters.
ldap server require strong auth = no
Salvei o arquivo
#:wq!
E reiniciei o serviço do Samba.
Fiz e resolveu.. obrigaod demais viu!
-
Pessoal, boa tarde!
Desculpe a demora... Consegui configurar os dois Squid e SquidGuard, mas o procedimento so fucnionou depois de reiniciar o FW, nao foi o suficiente reiniciar o serviço. Após isso! td funcionando, @Markinho1970 muito boa sua dica da versão parabens.
-
@marcello-marques Obrigado amigo...
-
Prezados..
Apos fazer todos os processos tudo testado e funcionando o meu pfsense não habilita os campos Authentication Server e Port para digitar informações
-
@marcelfreitas qual a versao do seu squid
-
@marcelfreitas qual a versao do seu pfsense, ja temos o script para versao 2.4.4
-
Bom dia, você tem como me mandar a versão pro pfsense 2.4.4-release?
Fiz os procedimentos acima e o squid e squidguard não iniciam.
-
Boa tarde, após refazer os procedimentos os serviços do squid, squidguard e samba estão ok. Configurei no navegador o endereço do proxy e fica pedindo usuário a todo momento. Já configurei a parte do NTLM também. Sabe o que pode ser?
-
-
Isso já aconteceu comigo, é meio que um bug.
É so vc marcar a opção LDAP, vai habilitar.. aí é so vc mudar pra Winbind NTLM que vai estar acessível.Att,
Marco Aurélio
-
Tenho sim.
Você vai precisar editar a primeira parte do script.
Vou ver certinho e repasso. -
@marcello-marques
Boa tarde MarcelloSeria esse que está no começo desse tópico?
-
Bom dia, alguém está com problemas com o Do Not Cache essa versão?
Quando adiciono algum endereço na lista e dou salvar aparece o erro abaixo:Fatal error: Uncaught Error: Call to undefined function split() in /usr/local/pkg/squid.inc:943 Stack trace: #0 /usr/local/www/pkg_edit.php(135) : eval()'d code(1): squid_validate_cache(Array, Array) #1 /usr/local/www/pkg_edit.php(135): eval() #2 {main} thrown in /usr/local/pkg/squid.inc on line 943 PHP ERROR: Type: 1, File: /usr/local/pkg/squid.inc, Line: 943, Message: Uncaught Error: Call to undefined function split() in /usr/local/pkg/squid.inc:943 Stack trace: #0 /usr/local/www/pkg_edit.php(135) : eval()'d code(1): squid_validate_cache(Array, Array) #1 /usr/local/www/pkg_edit.php(135): eval() #2 {main} thrown
-
@Markinho1970
Boa tardeEu uso uma integração gratuita que é show de bola...
É muito simples de instalar e configurar.É muito bom mesmo!!!
Segue o link
Consulta LdapAbraço
Att.
Marco Aurélio -
This post is deleted! -
This post is deleted! -
This post is deleted! -
This post is deleted!
