Proxy filter SquidGuard: Groups Access Control List (ACL)Groups ACL
-
Meu Squid está ignorando ACL de GRUPO, o usuário autentica normalmente, porém, só obtém as regras de ACL COMUM ignorando as ACL DE GRUPO, como devo proceder?
-
@thiago-teixeira Funcionava antes e parou de funcionar do nada, sem alteração na configuração ou updates?
Como está o filtro na parte de grupos?
Tem algum log relevante do Squid ou do sistema?
Qual versão do pfsense está usando? -
@mcury Grato pelo seu feedback. É uma instalação nova, está ignorando a ACL de grupo, considerando apenas ACL COMUM.
-
Como está o filtro na parte de grupos?
Vejo que o IP de origem é 10.179.130.127 e o usuário é teste.
Então você habilitou autenticação no Squid?Precisamos de maiores detalhes para entender o problema, estou praticamente usando o tato aqui...
-
-
Exatamente, o usuário é TESTE e está já no grupo do AD. Na prática, ele autentica no Chrome normalmente, mas só pegas as ACL COMUM e não ACL DO GRUPO
-
@thiago-teixeira então você está fazendo consulta LDAP no AD.
Outros grupos funcionam ou é só esse que está com problema?Dá uma lida nisso e vê se te interessa: https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/
Aqui não tem popup de autenticação, é por ticket Kerberos que é gerado quando o usuário faz login.Voltando pro LDAP, tenta assim:
Qualquer coisa tenta sem a porta, e depois tenta a porta 389.
Altera os valores de acordo com a sua rede aí.ldapusersearch ldap://192.168.xxx.xxx:3268/DC=Empresa,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Proxy-Adm%2cOU=Servicos%2cOU=TI%2cOU=Empresa%2cDC=Empresa%2cDC=local))
Edit: Como você está usando ldap e não ldaps, você pode capturar pacotes para ver o que está acontecendo.
-
@mcury realmente na minha configuração está sem porta, no entanto, a comunicação com AD existe está sincronizado. E qual porta devo fazer o teste?
-
@thiago-teixeira Tenta na 3268, e caso não funcione, tenta na 389.
A captura de pacote nessas portas durante o teste pode trazer o erro pra você.A configuração no samba é a mesma pro squid quando em relação ao AD.
No samba, dá para habilitar o debug pra ver o que acontece durante a consulta, não sei se no caso do Windows Server dá para habilitar o debug, portanto acho que a captura pode esclarecer o que está acontecendo. -
Desculpe-me a informação anterior, na verdade, já estava com a porta configurada.
-
@thiago-teixeira ldapusersearch ldap://192.168.xxx.xxx:3268, estou falando no squidguard.
-
Ele só enxerga o grupo "default" ou seja da ACL COMUM, não busca pelo grupo que está no AD, coloquei as portas que indicou e não funcionou ainda....
-
@thiago-teixeira E você fez a captura de pacotes?
Sem debug no AD, a melhor forma é a captura, você vai ver a pesquisa no AD, a resposta do AD e etc