Pfsense Squid Active Directory



  • Recien actualice a la ultima version de pfsense, en el tengo instalado squid, integrado al directorio, me funcionaba perfecto justo antes de la insalacion. luego de instalar, me rechaza todo intento de autenticacion y me bloquea en el servidor de active directory la cuenta con la que lo integro, esto sucede cuando algun usuario intenta ponr mal la clave mas de 3 veces la cuenta de windows se bloquea, rectifique la clave en ambos sistemas pero el problema persiste...... me rechaza y me rechaza el inicio de sesion para verificar las cuentas.
    si desactivo la autenticacion la navegacion me funciona, parece ser que el squid no envia las credenciales al Ad server o las envia mal. ya la he rectificado y la estoy tecleando correctamente.



  • Si actualizaste, ese puede ser el problema. No sé porqué razón, al actualizar de una versión en producción a una nueva, siempre hay "algo" que queda mal o no trabaja.

    Lo mejor es que respaldes reglas y demás, formatees, para luego realizar una instalación desde CERO e importar nuevamente todas tus reglas.



  • @BrujoNic eso hice, acabo de reinstalar, incluso instale la version anterior, pero sigo viendo el error, me rechaza y me bloquea la cuenta en el servidor active directory luego de 3 intentos fallidos, como si enviase malformada la clave o con caracteres de mas o distorsionada, luego de examinar el conf.xml esta bien la clave sin caracteres raros en la clave.
    Examine ademas el squid.conf generado
    basic program /usr/local/libexec/squid/basic_ldap_auth -v 2 -b 'OU=myou_User,DC=*** -R' -D 'CN=cuenta_ad,CN=***' '-w myclavesegura741' -f '(&(objectclass=person)(sAMAccountName=%s)(memberof=CN=InternetAccess,OU=***))' -u 'uid' -P 'ip AD'
    ademas de que en los logs veo
    basic_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
    por alguna razon en mi adtive directory se generaron errores en el propio servidory estaba detenido el servicio errores que me habian pasado otras veces pero luego de reiniciar y comprobar eldirectorio esta OK....



  • No recuerdo bien, pero creo que cuando instalas pfSense y lo queres autenticar con AD, debes registrar el equipo. Si no lo haces te lo va a rechazar, es similar cuando no das de alta un cliente en el servidor. Intenta eliminando el equipo pfsense en el Servidor de Dominio, lo volves a registrar a ver que pasa.



  • Lo tenia funcionando... y se autenticaba perfectamente



  • Bueno, no se me ocurre otra cosa, solo que intentes ver si el usuario creado en el AD para pfSense, te funciona en otro equipo. De esa forma descartas que el usuario pfSense esté bloqueado.



  • @BrujoNic said in Pfsense Squid Active Directory:

    e ocurre otra cosa, solo que intentes ver si el usuario creado en el AD para pfSense, te funciona en otro equipo. De esa forma descartas que el usuario pfSense esté bloqueado.

    Pues nada! ni modo, tuve que cambiar a radios , agregueel rol NPS a ese servidor de direcrorio y agregue ese servidor a la lista de servidores de autenticacion y me funciona con radius, muy raro luego nvestigo mejor con mas calma.



  • @luisenrique Es raro que luego de una actualización se haya dañado. Ya que por lo general, cuando se utilizan los paquete propios del pfsense es mas seguro. He tenido escenario similares (squid + squdiguard + ldap o AD) y las actualizaciones me han funcionamiento bien. Por lo menos sin saltos tan brusoc. ej, de la 2.0.1. a la 2.4.4 pero que alli si puede que de problemas.

    En cuanto a las instalaciones de software de tercero, si elimina todo. por ej: tengo un proxy con la 2.3 pero alli instale Samba y winbind. Esto para autenticar contra AD pero con SSO (que no le pida usuario y clave en popup al navegar al usuario).

    Esto: basic program /usr/local/libexec/squid/basic_ldap_auth -v 2 -b 'OU=m .......

    Lo haz corrido manual y te da ok?

    Prueba primero los comandos de forma manual con CLI.

    Valida si el "LDAP Search Filter" es el mismo que tenias. Pero esto lo sabras ejecutando el query por consola.

    Saludos.

    PD: y si tenias squidguard a lo mejor debes ajustar tambien. Por que el pasa primero por el squid, pero squidguard hace query de busqueda en la ACL para luego dar o no el permiso. Entonces puede que pases luego el squid pero te quedas en squidguard.

    Saludos.



  • @BrujoNic said in Pfsense Squid Active Directory:

    no, no se me ocurre otra cosa, solo que intentes ver si el usuario creado en el AD para pfSense, te funciona en otro equipo. De esa forma descartas que el usuario pfSense esté bloqueado

    la cuenta se bloqueaba, como si enviase el password mal y luego de 3 intentos la cuenta con que autentico squid se bloqueada en el AD... Ya me cambie a Radius, tengo el mismo resultado de momento, llevo años usando este esquema y prmera evz me sucede esto he montado he hecho mil experimento sy jamas me ha sucedido tal cosa.. en fin luego reviso mas a fondo que sucede.
    Saludos y gracias!



  • buenas noches con la nueva actualizacion me paso lo mismo q a usted y el problema radica que el parametro -w se encuentra dentro de las comillas que constituye la contraseña del usuario de acceso al AD por lo que el squid entiende que no hay contraseña de usuario AD . Ejemplo de su configuracion: CN=***' '-w myclavesegura741' aqui le pongo como deberia quedar
    CN=***' -w 'myclavesegura741'. Lo que hago es cambiarlo en squid.conf y reinicio el servicio squid.
    NOTA: Si se apaga el server tendria que volver hacer la misma operacion. slds



  • @maucb
    Gracias.. si, tiene sentido para mí eso creo haber leído después algonde eso... Lo que tiempo después desistí y cambie a radius la autenticación debido a la presión por reestablecer el servicio a mis usuarios...
    Probaré esa solución en un ambiente de prueba y veré qué pasa... Le dejo saber si me funciona... Si es así pues deberíamos reportar... Aunque a estás alturas ya deben haberlo hecho otros usuarios.
    Saludos. Y gracias



  • @luisenrique De nada, aqui le envio unas lineas de codigos que hay que sustituir en el fichero /usr/local/pkg/squid.inc y funciona perfectamente solo tiene que reemplazar las lineas actuales por estas
    $password = (isset($settings['ldap_pass']) ? "-w " . escapeshellarg($settings['ldap_pass']) : '');
    $noreferrals = ($settings['ldap_noreferrals'] == 'on' ? " -R" : '');
    $conf .= "auth_param basic program " . SQUID_LOCALBASE
    . "/libexec/squid/basic_ldap_auth -v {$settings['ldap_version']} -b " . escapeshellarg($settings['ldap_basedomain'])
    . $noreferrals
    . " -D " . escapeshellarg($settings['ldap_user']) . " " . $password
    . " -f " . escapeshellarg($settings['ldap_filter']) . " -u " . escapeshellarg($settings['ldap_userattribute'])
    . " -P " . escapeshellarg($settings['auth_server'] . $port) . "\n";
    break;

    con esto pase lo que pase simpre tendra la configuracion sin problemas

    Saludos



  • @maucb Excelente.

    No debe demorar un patch por alli para corregir eso.

    Deberías pasarlo al foto en Ingles donde se reporten Bug.




Log in to reply