Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ajuda para autenticar o squid por grupos do AD [RESOLVIDO] [TUTORIAL]

    Scheduled Pinned Locked Moved Portuguese
    25 Posts 5 Posters 15.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      valtecirgmail.com
      last edited by

      Fala Ricardo,

      É o seguinte… seu eu escrever diretor no squid.conf, deixo a guia auth Settings em branco e reiniciar o serviço... Tudo funciona.
      Depois tento colar no squid.inc e depois reinicio o servidor aí ele não escreve no squid.conf.

      O que gostaria mesmo era escrever direto no squid.conf e se ele reiniciar um script meu vai lá e copia o meu squid.conf,, mas vai ficar um gambiarra do inferno.... Ou tem um jeito de anular o squid.inc?

      Esse negócio tá ficando cada vez mais complicado, mas estou aprendendo um bocado... hehehe

      Mas se
      @ricardodru:

      Ok Valter,
      Esta certo do jeito que vc fez.
      Poste a imagem da guia Auth Settings do Squid, e tambem o trecho do squid.inc onde vc personaliza as configurações.

      Nas linhas de configuração personalizadas, bem como na guia Auth Settings do squid, vc está usando qual usuário para pesquisar no AD ?
      Se vc leu o meu tutorial, veja que fiz testes na maquina fisica, e tambem em VMs.
      Na VM, utilizei um usuario comum chamado squid, ja na maquina fisica, isto nao funcionou, tive que utilizar o Administrator.
      Faça os testes e poste o resultado.

      1 Reply Last reply Reply Quote 0
      • R
        ricardodru
        last edited by

        Valter, conseguiu resolver o problema?
        Acho estranho vc alterar o squid.inc, reiniciar o serviço, e o squid.conf nao ser reescrito.
        É padrão do pfsense (squid.inc) reescrever o squid.conf, sempre que o serviço ou o sistema for reiniciado. A nao ser que vc altere o squid.conf, faça uma copia, e um script se encarrega de repor o squid.conf original quando o sistema for reiniciado.
        Quando vc reinicia o serviço, vc faz isto via ssh ?
        Ao invez de reiniciar, ja tentou apenas salvar (clicando no botão), em uma das guias do proxy server ? Isto pode ser feito a guia Access Control.
        Qual a versão do pfsense que vc esta usando ?

        1 Reply Last reply Reply Quote 0
        • V
          valtecirgmail.com
          last edited by

          Oi Ricardo,

          Agora ficou bom. Coloquei em custom option e deu certo. Eu dei mole com o ";" entre linhas, mas agora foi. (Veja abaixo observe o ";" no final de cada linha).

          Porém deixei a aba Auth Setting em branco, o parâmetro http_access allow localnet estava aparecendo, então coloquei http_access deny localnet no início do meu código e deu certo. Outro detalhe é que tive que desmarcar a opção Allow users on interface. Testei reiniciando o serviço, depois reiciando o server e ficou 10. Tudo funcionado belezinha.

          Creio o problema do squid.inc era várias abas do navegador aberta, lá para as 3 da madruga, e mexendo em códigos do squid… lendo email, pfds e vendo HBO, aí nada vai dar certo mesmo...
          Fui dormir, e depois com calma e com a ajuda do Leandro Bandeira on-line, foi show, tudo 100%.

          O mais fantástico do open source não é o produto em si, mas a colaboração voluntária dos seus usuários. Eita falei bonito!!!

          Mais uma vez muito obrigado mesmo...

          Um forte abraço. Valter

          access deny localhost;
          auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -R -b dc=srg,dc=net -D cn=Administrador,cn=Users,dc=srg,dc=net -w MinhaSenha -f "sAMAccountName=%s" -u uid -P 192.168.1.202;

          auth_param basic children 5;
          auth_param basic realm INTERNET CORPORATIVA;
          auth_param basic credentialsttl 60 minutes;
          acl password proxy_auth REQUIRED;

          external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=srg,dc=net" -D "cn=Administrador,cn=Users,dc=srg,dc=net" -w "MinhaSenha" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.1.202;

          acl gprodutividade external ldap_group CN=g_prod,OU=u_internet,DC=srg,DC=net;

          acl restrito dstdom_regex -i "/var/squid/acl/produtividade.acl";

          http_access allow gprodutividade restrito;

          acl gtotal external ldap_group CN=g_total,OU=u_internet,DC=srg,DC=net;

          http_access allow gtotal;

          http_access deny all;

          @ricardodru:

          Valter, conseguiu resolver o problema?
          Acho estranho vc alterar o squid.inc, reiniciar o serviço, e o squid.conf nao ser reescrito.
          É padrão do pfsense (squid.inc) reescrever o squid.conf, sempre que o serviço ou o sistema for reiniciado. A nao ser que vc altere o squid.conf, faça uma copia, e um script se encarrega de repor o squid.conf original quando o sistema for reiniciado.
          Quando vc reinicia o serviço, vc faz isto via ssh ?
          Ao invez de reiniciar, ja tentou apenas salvar (clicando no botão), em uma das guias do proxy server ? Isto pode ser feito a guia Access Control.
          Qual a versão do pfsense que vc esta usando ?

          1 Reply Last reply Reply Quote 0
          • R
            ricardogarcia
            last edited by

            Boa noite, pessoal sou novo aqui,
            Tenho pfsense 2.0 já atualizado, squid, lightsquid e squidGuard
            A primeira duvida é fazer a autenticação por usuário no AD.  Até ja consegui mas só com usuarios da OU Users
            Porem, tenho uma OU com o nome ( funcionários ) com 5 usuarios, quando eu faço a alteração para enxergar os 5 usuarios….ex:(cn=squid,cn=FUNCIONARIOS,dc=dominio,dc=com,dc=br).  ele simplesmente não reconhece.

            A segunda duvida seria criar os grupos de liberação dentro de uma OU..
            OU - funcionarios   e  dentro desta grupo liberado e grupo bloqueado. nao entendi a parte de colar os codigos dentro do squid.inc

            Pessoal desde já agradeço a atenção de todos.

            Att

            1 Reply Last reply Reply Quote 0
            • R
              ricardodru
              last edited by

              @ricardogarcia:

              Boa noite, pessoal sou novo aqui,
              Tenho pfsense 2.0 já atualizado, squid, lightsquid e squidGuard
              A primeira duvida é fazer a autenticação por usuário no AD.  Até ja consegui mas só com usuarios da OU Users
              Porem, tenho uma OU com o nome ( funcionários ) com 5 usuarios, quando eu faço a alteração para enxergar os 5 usuarios….ex:(cn=squid,cn=FUNCIONARIOS,dc=dominio,dc=com,dc=br).  ele simplesmente não reconhece.

              A segunda duvida seria criar os grupos de liberação dentro de uma OU..
              OU - funcionarios   e  dentro desta grupo liberado e grupo bloqueado. nao entendi a parte de colar os codigos dentro do squid.inc

              Pessoal desde já agradeço a atenção de todos.

              Att

              Ricardo

              Primeiramente, sobre as duvidas no arquivo squid.inc, leia o tutorial que escrevi, lá vc entenderá o porque alterar o arquivo squid.inc.
              O tutorial está em PDF, veja nos posts anteriores o local de acesso ao arquivo.

              Para trabalhar com os grupos, crie uma OU chamada Internet. Dentro desta OU, vc cria os grupos (e relacione os usuarios aos grupos), e depois relacione estes grupos no squid.inc.

              Veja o exemplo:

              external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3  -R -b "dc=dominio,dc=com,dc=br" -D "cn=squid,cn=Users,dc=dominio,dc=com,dc=br" -w "SENHA" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br))" -h  10.22.5.10 -p 389

              Neste trecho:  memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br
              Em ou=Internet, é a OU que contem os grupos a serem autenticados.

              Depois de criar os grupos e relacionar cada usuario com os grupos, é só seguir o tutorial que eu fiz, indicando os grupos de acesso no squid.inc

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.