[Resolvido] Integração Proxy + AD2008 - Erro! Proibido acesso ao cache.
-
Olá amigo sou novo no forum e estou com um problema. Gostaria da ajuda de vcs para solucionar.
Estou rodando um server Proxy com o PFSENSE 2.0 RC3 autenticando no ADServer2008, porem na estação fica pedindo usuario e senha toda hora e não navega e da o erro PROIBIDO ACESSO AO CACHE.estou enviando o codigo q adicionei no squid.inc\conf
desde já agradeço muito a tds que puderem me ajudar
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
auth_param basic realm INTERNET CORPORATIVA
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIREDexternal_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=squid,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123456" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175
#Grupo Acesso Padrao Acesso Limitado
acl ldapInternetBancos external ldap_group InternetBancos#Grupo Acesso Full Acesso Full
acl ldapInternetTI external ldap_group InternetTI#acl bloqueio url_regex -i "/var/squid/acl/bloqueio.acl"
acl liberado url_regex -i "/var/squid/acl/liberado.acl"
http_access allow ldapInternetTI
http_access deny ldapInternetBancos -
Olá amigo sou novo no forum e estou com um problema. Gostaria da ajuda de vcs para solucionar.
Estou rodando um server Proxy com o PFSENSE 2.0 RC3 autenticando no ADServer2008, porem na estação fica pedindo usuario e senha toda hora e não navega e da o erro PROIBIDO ACESSO AO CACHE.estou enviando o codigo q adicionei no squid.inc\conf
desde já agradeço muito a tds que puderem me ajudar
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
auth_param basic realm INTERNET CORPORATIVA
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIREDexternal_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=squid,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123456" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175
#Grupo Acesso Padrao Acesso Limitado
acl ldapInternetBancos external ldap_group InternetBancos#Grupo Acesso Full Acesso Full
acl ldapInternetTI external ldap_group InternetTI#acl bloqueio url_regex -i "/var/squid/acl/bloqueio.acl"
acl liberado url_regex -i "/var/squid/acl/liberado.acl"
http_access allow ldapInternetTI
http_access deny ldapInternetBancosVeja/Reveja este tópico aqui mesmo do fórum: http://forum.pfsense.org/index.php/topic,38998.0.html
Abraços!
Jack -
Bom dia
Antes de mais nada obrigado pelo apoio ai Jack.
Tentei fazer os passos do tutorial que o amigo postou anteriormente, alias qdo montei o servidor foi com o "pdf" que o mesmo elaborou (achado no google). Porém nao tive sucesso, segui todos os passos virgula a virgula.
Acredito q o pfsense nao esteja conectando com o ad criado no server 2008 . vou explicar meu cénario de forma melhor.
Estou rodando 02 maquinas virtuais
VM1 - Windows 2008 IP 192.168.0.175 - Login: Administrador Senha: 123
VM2 - PFSENSE 2.0 RC IP 192.168.0.215Firewall configurado conforme imagem no link
http://www.jack.eti.br/www/?p=3052PROXY SERVER: GENERAL
Transparent proxy - desativado
Allow users on interface: ativado (porém ja tentei desativar tb)
Proxy port: 3128PROXY SERVER: AUTENTICATION
Authentication method: LDAP
LDAP version: 3
Authentication server: 192.168.0.175
Authentication server port: 389
LDAP server user DN: cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br (ja tentei com o usuario squid)
LDAP password: 123
LDAP base domain: dc=gruporuette,dc=com,dc=br
LDAP username DN attribute: uid
LDAP search filter: sAMAccountName=%s (ja tentei com c=%s)
Authentication processes: 5
Authentication TTL:60STATUS DOS SERVIÇOS RODANDO NO PFSENSE TD OK
dhcpd,DHCP Service,Running
dnsmasq,DNS Forwarder,Running
ntpd,NTP clock sync,Running
squid, Proxy server Service,RunningConfiguração completa no squid.conf
Do not edit manually !
http_port 192.168.0.215:3128
icp_port 0pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Portuguese
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /dev/null
cache_log /var/squid/logs/cache.log
cache_store_log none
shutdown_lifetime 3 seconds
uri_whitespace stripcache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 200 16 256
minimum_object_size 0 KB
maximum_object_size 4 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95No redirector configured
Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535
acl sslports port 443 563
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
cache deny dynamic
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "sAMAccountName=%s" -u uid -P 192.168.0.175:389
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=gruporuette,dc=com,dc=br -D cn=Administrador,cn=Users,dc=gruporuette,dc=com,dc=br -w 123 -f "cn=%s" -u uid -P 192.168.0.175:389
auth_param basic realm INTERNET CORPORATIVA
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIREDexternal_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=gruporuette,dc=com,dc=br" -D "cn=Administrador,cn=Users,dc=gruporuette,dc=com,dc=br" -w "123" -f "(&(&(objectClass=person)(sAMAccountName=%u))(memberOf=%g))" -h 192.168.0.175
#AUTENTICACAO PERSONALIZADA GRUPOS DO AD
#Define uma ACL denominada "Internet-Bloqueada" para um grupo que terá acesso restrito.
acl InternetBloqueada external ldap_group CN=Internet-Bloqueada, OU= u_Internet, DC=gruporuette,dc=com, dc=br#Define uma ACL para acesso restrito aos domínios listados em um arquivo texto
acl restrito dstdom_regex -i "/var/squid/acl/liberada.acl"#Define a diretiva formada pela combinação das ACLs acima definidas (AND lógico).
http_access allow InternetBloqueada restrito#Define uma ACL para um grupo com acesso total.
acl InternetLiberada external ldap_group CN=Internet-Liberada, OU= u_Internet, DC=gruporuette,dc=com, dc=ruette#Define a diretiva de acesso total.
http_access allow InternetLiberadaDefault block all to be sure
http_access deny all
Default block all to be sure
http_access deny all
WINDOWS SERVER 2008 - AD
OU: Internet
GRUPOS: Internet-Liberada e Internet-Bloqueada
USUARIO: heverton SENHA 123456 Membro do grupo (Internet-Liberada)ESTACAO XP
Logo no dominio normalmente com o usuario criado (heverton)
configurei o proxy no navegar 192.168.0.215 Porta: 3128
O navegador fica pedindo usuario e senha acho q nao esta comunicando com o ad. Lembrando q estou usando o Windows Server 2008
até dar o erro: Proibido acesso ao Cache.**OBS: Tentei adicionar um servidor em System: Authentication Servers com as mesmas configurações usadas no proxyserver: autentication
porem, em Authentication containers quando clico em SELECT me retorna a seguinte msg: Could not connect to the LDAP server. Please check your LDAP configuration. O que me leva a pensar que realmente estou sem comunicação com o AD.Tentei desabilitar o firewall do WindowsServer tambem mais nao obtive sucesso.
Vou tentando aqui … espero fazer funcionar
Obrigado a tds pela ajuda e compreenção.**
-
Bom dia
Antes de mais nada obrigado pelo apoio ai Jack.
Tentei fazer os passos do tutorial que o amigo postou anteriormente, alias qdo montei o servidor foi com o "pdf" que o mesmo elaborou (achado no google). Porém nao tive sucesso, segui todos os passos virgula a virgula.
Atenção…
Utilize sempre a conta "Administrador" com o "A" maiúsculo... em bases LDAP isso faz diferença!
Abraços!
Jack -
MInha Configuração
Windows 2008 server
Pfsense 2.0Configração tolamente funcional.
Authentication method - LDAP
LDAP version - 3
Authentication server - IP do AD
Authentication port - 389
LDAP server user DN - NOMEDOUSUARIO (APENAS O NOME, NAO PRECISA DE DC,CN ou OU)
LDAP password - senha desse usuario
LDAP base domain - dc=seudominio,dc=com,dc=br (faça as alterações necessárias)
LDAP username DN attribute - cn
LDAP search filter - cn=%sVAI QUE é UMA BELEZA.
-
Legal @drvirtua,
Bom saber que deu tudo certo pra você!
Aliás, o retorno ao fórum e a postagem de feedbacks é extremamente importante para documentarmos os resultados de implementações. Parabéns por fazê-lo! ;)
Abraços!
Jack
