Integração Pfsense 2.4.4 com Active Directory
-
@rafamaximo2018 said in Integração Pfsense 2.4.4 com Active Directory:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Rafamaximo2018 você tem que ver 2 coisas pelo que percebi:
Primeiro - Ver se a integração com o LDAP está correta:
Em "LDAP options" você tem que habilitar a integração e também ter uma conta no AD que fara a conexão com o Squidguard, que vai digitar ela no "LDAP DN", como na figura.
Esse LDAP DN você pega o CN (Common Name) através do "ADSI Edit" (ferramenta do domínio para edição das OU's) isso dentro do seu servidor de domínio.
Eu criei uma conta (não administradora) para fazer a integração "pfuser" e peguei o DN (Distinguished Name) dela.
Copie e cole no campo "LDAP DN" e depois digite a senha.
Mark Strip NT DOMIN e Strip Kerberos.
Escolha a versão do LDAP, meu caso é 3.Salve e depois de "Applay" aquela tecla verde na imagem anterior do Squidguard.
Obs importante: Sempre que mexer nas regras ou configurações você tem que dar o "Applay".
Pronto a integração esta feita.
Segundo - Vi que a linha de busca no LDAP está errada. Ela esta assim:
ldapusersearch ldap://192.168.20.1:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
E na verdade deveria ser assim:
ldapusersearch ldap://192.168.20.1:3268/DC=dukar,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=adm,OU=Acesso,DC=dukar,DC=local))
Vi que seu domínio é dukar.local... então o primeiro DC=domain deve ser mudado para DC=dukar e o segundo para DC=local.
Faça testes...
-
@marcello-marques Essas configurações são para o modo autenticado do Squid.
-
Sim, tentei as duas alternativas. E não deu certo!
Posso até te mandar os prints da minha tela, o usuário que eu criei dentro do AD para integração está com nome de Pfsense..
Ressalto que meu Ad é Samba 4.. Será que tem algo a ver?
-
@rafamaximo2018 é a mesma versão minha. Pode ser que tenha algo errado com seu AD e não com o PFSENSE.
Era pra funcionar direito essa questão de filtro do SquidGuard.
Faça um checklist detalhado de todas s configurações... é demorado mas garanta que não esqueceu nada... Essa questão de integração do AD qqer detalhes pequeno, mesmo uma virgula fora de lugar, impede o bom funcionamento... Outra coisa, verifique esse esse usuário do AD não esta bloqueado. -
Cara fiz e refiz 2 vezes essa verificação!
Realmente não sei o porque isso acontece.... Será pq é samba 4?
-
Certamente é algo relacionado ao SquidGuard pois no Squid funciona as regras normalmente!
Engraçado que eu dou o comando wbinfo -u e ele lista os usuários no pfsense inclusive o que eu criei para integração!
-
eu to achando que pode ser a complexibilidade de senha do samba4...
Exemplo criei um usuário pfuser e senha = senha_1 sera que pode ser isso?
-
Peguei os logs do squidguard... segue:
(squidGuard): ldap_simple_bind_s falhou: Requer autenticação forte (er)
-
@rafamaximo2018 Olha faz o seguinte, assiste esse video:
Link de PFSense Integrado com AD+SquidGuard
Tem ferramentas de testes..
-
Amigo consegui resolver!!! GRAÇAS A DEUS e ao forum aqui também!!!
Velho vi isso no forum após os logs do squid....
Para resolver o problema, tive que rebaixar esse nivel de segurança configurando o ldap server require strong auth como NO.
Editei o SMB.CONF
#vi /etc/samba/smb.conf
E adicionei a seguinte linha no Global Parameters.
ldap server require strong auth = no
Salvei o arquivo
#:wq!
E reiniciei o serviço do Samba.
Fiz e resolveu.. obrigaod demais viu!
-
Pessoal, boa tarde!
Desculpe a demora... Consegui configurar os dois Squid e SquidGuard, mas o procedimento so fucnionou depois de reiniciar o FW, nao foi o suficiente reiniciar o serviço. Após isso! td funcionando, @Markinho1970 muito boa sua dica da versão parabens.
-
@marcello-marques Obrigado amigo...
-
Prezados..
Apos fazer todos os processos tudo testado e funcionando o meu pfsense não habilita os campos Authentication Server e Port para digitar informações
-
@marcelfreitas qual a versao do seu squid
-
@marcelfreitas qual a versao do seu pfsense, ja temos o script para versao 2.4.4
-
Bom dia, você tem como me mandar a versão pro pfsense 2.4.4-release?
Fiz os procedimentos acima e o squid e squidguard não iniciam.
-
Boa tarde, após refazer os procedimentos os serviços do squid, squidguard e samba estão ok. Configurei no navegador o endereço do proxy e fica pedindo usuário a todo momento. Já configurei a parte do NTLM também. Sabe o que pode ser?
-
-
Isso já aconteceu comigo, é meio que um bug.
É so vc marcar a opção LDAP, vai habilitar.. aí é so vc mudar pra Winbind NTLM que vai estar acessível.Att,
Marco Aurélio
-
Tenho sim.
Você vai precisar editar a primeira parte do script.
Vou ver certinho e repasso.
