[Resolvido] Integração Proxy + AD2008 - Erro! Proibido acesso ao cache.



  • Olá amigo sou novo no forum e estou com um problema. Gostaria da ajuda de vcs para solucionar.
    Estou rodando um server Proxy com o PFSENSE 2.0 RC3 autenticando no ADServer2008, porem na estação fica pedindo usuario e senha toda hora e não navega e da o erro PROIBIDO ACESSO AO CACHE.

    estou enviando o codigo q adicionei no squid.inc\conf

    desde já agradeço muito a tds que puderem me ajudar

    auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
    auth_param basic realm INTERNET CORPORATIVA
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED

    external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=squid,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123456" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175

    #Grupo Acesso Padrao Acesso Limitado
    acl ldapInternetBancos external ldap_group InternetBancos

    #Grupo Acesso Full Acesso Full
    acl ldapInternetTI external ldap_group InternetTI

    #acl bloqueio url_regex -i "/var/squid/acl/bloqueio.acl"

    acl liberado url_regex -i "/var/squid/acl/liberado.acl"
    http_access allow ldapInternetTI
    http_access deny ldapInternetBancos



  • @htortorello:

    Olá amigo sou novo no forum e estou com um problema. Gostaria da ajuda de vcs para solucionar.
    Estou rodando um server Proxy com o PFSENSE 2.0 RC3 autenticando no ADServer2008, porem na estação fica pedindo usuario e senha toda hora e não navega e da o erro PROIBIDO ACESSO AO CACHE.

    estou enviando o codigo q adicionei no squid.inc\conf

    desde já agradeço muito a tds que puderem me ajudar

    auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
    auth_param basic realm INTERNET CORPORATIVA
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED

    external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=squid,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123456" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175

    #Grupo Acesso Padrao Acesso Limitado
    acl ldapInternetBancos external ldap_group InternetBancos

    #Grupo Acesso Full Acesso Full
    acl ldapInternetTI external ldap_group InternetTI

    #acl bloqueio url_regex -i "/var/squid/acl/bloqueio.acl"

    acl liberado url_regex -i "/var/squid/acl/liberado.acl"
    http_access allow ldapInternetTI
    http_access deny ldapInternetBancos

    @htortorello

    Veja/Reveja este tópico aqui mesmo do fórum: http://forum.pfsense.org/index.php/topic,38998.0.html

    Abraços!
    Jack



  • Bom dia

    Antes de mais nada obrigado pelo apoio ai Jack.

    Tentei fazer os passos do tutorial que o amigo postou anteriormente, alias qdo montei o servidor foi com o "pdf" que o mesmo elaborou (achado no google). Porém nao tive sucesso, segui todos os passos virgula a virgula.

    Acredito q o pfsense nao esteja conectando com o ad criado no server 2008 . vou explicar meu cénario de forma melhor.

    Estou rodando 02 maquinas virtuais

    VM1 - Windows 2008 IP 192.168.0.175 - Login: Administrador Senha: 123
    VM2 - PFSENSE 2.0 RC IP 192.168.0.215

    Firewall configurado conforme imagem no link
    http://www.jack.eti.br/www/?p=3052

    PROXY SERVER: GENERAL

    Transparent proxy - desativado
    Allow users on interface: ativado (porém ja tentei desativar tb)
    Proxy port: 3128

    PROXY SERVER: AUTENTICATION

    Authentication method: LDAP
    LDAP version: 3
    Authentication server: 192.168.0.175
    Authentication server port: 389
    LDAP server user DN: cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br  (ja tentei com o usuario squid)
    LDAP password: 123
    LDAP base domain: dc=gruporuette,dc=com,dc=br
    LDAP username DN attribute: uid
    LDAP search filter: sAMAccountName=%s (ja tentei com c=%s)
    Authentication processes: 5
    Authentication TTL:60

    STATUS DOS SERVIÇOS RODANDO NO PFSENSE TD OK

    dhcpd,DHCP Service,Running
    dnsmasq,DNS Forwarder,Running
    ntpd,NTP clock sync,Running
    squid, Proxy server Service,Running

    Configuração completa no squid.conf

    Do not edit manually !

    http_port 192.168.0.215:3128
    icp_port 0

    pid_filename /var/run/squid.pid
    cache_effective_user proxy
    cache_effective_group proxy
    error_directory /usr/local/etc/squid/errors/Portuguese
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /dev/null
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    shutdown_lifetime 3 seconds
    uri_whitespace strip

    cache_mem 8 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir ufs /var/squid/cache 200 16 256
    minimum_object_size 0 KB
    maximum_object_size 4 KB
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95

    No redirector configured

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563 
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    cache deny dynamic
    http_access allow manager localhost

    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports

    Always allow localhost connections

    http_access allow localhost

    auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "sAMAccountName=%s" -u uid -P 192.168.0.175:389

    auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=Administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
    auth_param basic realm INTERNET CORPORATIVA
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED

    external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=Administrador,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175

    #AUTENTICACAO PERSONALIZADA GRUPOS DO AD

    #Define uma ACL denominada "Internet-Bloqueada" para um grupo que terá acesso restrito.
    acl InternetBloqueada external ldap_group CN=Internet-Bloqueada, OU= u_Internet, DC=gruporuette,dc=com, dc=br

    #Define uma ACL para acesso restrito aos domínios listados em um arquivo texto
    acl restrito dstdom_regex -i "/var/squid/acl/liberada.acl"

    #Define a diretiva formada pela combinação das ACLs acima definidas (AND lógico).
    http_access allow InternetBloqueada restrito

    #Define uma ACL para um grupo com acesso total.
    acl InternetLiberada external ldap_group CN=Internet-Liberada, OU= u_Internet, DC=gruporuette,dc=com, dc=ruette

    #Define a diretiva de acesso total.
    http_access allow InternetLiberada

    Default block all to be sure

    http_access deny all

    Default block all to be sure

    http_access deny all

    WINDOWS SERVER 2008 - AD

    OU: Internet
    GRUPOS: Internet-Liberada e Internet-Bloqueada
    USUARIO: heverton SENHA 123456 Membro do grupo (Internet-Liberada)

    ESTACAO XP
    Logo no dominio normalmente com o usuario criado (heverton)
    configurei o proxy no navegar 192.168.0.215 Porta: 3128
    O navegador fica pedindo usuario e senha acho q nao esta comunicando com o ad. Lembrando q estou usando o Windows Server 2008
    até dar o erro: Proibido acesso ao Cache.

    **OBS: Tentei adicionar um servidor em System: Authentication Servers com as mesmas configurações usadas no proxyserver: autentication
    porem, em Authentication containers quando clico em SELECT me retorna a seguinte msg: Could not connect to the LDAP server. Please check your LDAP configuration. O que me leva a pensar que realmente estou sem comunicação com o AD.

    Tentei desabilitar o firewall do WindowsServer tambem mais nao obtive sucesso.

    Vou tentando aqui … espero fazer funcionar

    Obrigado a tds pela ajuda e compreenção.**



  • @htortorello:

    Bom dia

    Antes de mais nada obrigado pelo apoio ai Jack.

    Tentei fazer os passos do tutorial que o amigo postou anteriormente, alias qdo montei o servidor foi com o "pdf" que o mesmo elaborou (achado no google). Porém nao tive sucesso, segui todos os passos virgula a virgula.

    Atenção…

    Utilize sempre a conta "Administrador" com o "A" maiúsculo... em bases LDAP isso faz diferença!

    Abraços!
    Jack



  • MInha Configuração

    Windows 2008 server
    Pfsense 2.0

    Configração tolamente funcional.

    Authentication method - LDAP
    LDAP version - 3
    Authentication server - IP do AD
    Authentication port - 389
    LDAP server user DN - NOMEDOUSUARIO (APENAS O NOME, NAO PRECISA DE DC,CN ou OU)
    LDAP password - senha desse usuario
    LDAP base domain - dc=seudominio,dc=com,dc=br (faça as alterações necessárias)
    LDAP username DN attribute - cn
    LDAP search filter - cn=%s

    VAI QUE é UMA BELEZA.



  • Legal @drvirtua,

    Bom saber que deu tudo certo pra você!

    Aliás, o retorno ao fórum e a postagem de feedbacks é extremamente importante para documentarmos os resultados de implementações. Parabéns por fazê-lo! ;)

    Abraços!
    Jack


Log in to reply