Autenticação transparente com squid + dansguardian
-
Senhores,
Testei hoje com sucesso o dansguardian no pfsense usando um squid em linux + samba + ntlm para autenticar.
O pessoal do dansguardian realmente fez um excelente código nesta ultima versão.
O procedimento é simples:
-
Instale o dansguardian no pfsense
-
Na aba daemon, coloque o ip e a porta do squid interno já configurado com ntlm
-
Na aba general, selecione a autenticação ntlm
Simples assim. :D
Infelizmente não há suporte no dansguardian para autenticação via kerberos. O modelo de proxy neste caso ainda é o famoso proxy -> dansguardian -> proxy.
ps1:
Os modelos de autenticação com popup de usuário disponível para o squid também funciona basta escolher o metodo de autenticação na aba general do dansguardian.ps2:
Use o google para perguntar como configurar um linux para autenticar ntlm, existem vários tutoriais prontos no site do vivaolinux.att,
Marcello Coutinho -
-
Opa marcelloc eu usei o squid autenticando no ad com o dansguardian e funcionou maravilha ta rodando e até agora nimguem veio reclamar
abs
Souza Linux
-
Breno,
Gostei tanto da sua iniciativa que fixei seu post na parte de cima do forum. :)
http://forum.pfsense.org/index.php/topic,45721.0.html -
Bom dia á todos! Sou novo no fórum!
pfSense é um excelente ferramenta, mas com o nosso querido Dansguardian, tem tudo para ficar melhor ainda.
Gostaria de saber se possível, como proceder para essa configuração?
Tenham um ótimo dia! Desde já agradeço pela colaboração!
-
Bem vindo ao fórum cabeça.
O procedimento é o seguinte:
Instale e configure um squid para autenticar ntlm no ad(no linux existem quilos e quilos de tutoriais sobre isso, no pfsense você precisa instalar o samba para colocar a maquina no domínio)
Instale o pacote do dansguardian e na aba general, escolha o metodo de autenticação que você configurou no squid e na aba daemon coloque o ip e porta do squid que voce configurou no passo 1.
Depois disso, basta cadastrar os grupos de acesso(aba groups) e em seguida atrubuir os usuarios nos grupos(aba users)att,
Marcello Coutinho -
Obrigado, Marcelo!
Tenha um bom dia!
-
Marcello C, Boa tarde.
Também sou novo no forum, ainda tenho alguma dúvida, queria entender melhor:
No meu cenário hoje tenho um PFsense que funcionava com squidguard mais squid3.
Para eu migrar para o modelo de Dansguard com autenticação no AD eu preciso instalar:
Samba para integração com AD
Dansguardian para filtro de conteúdo
Squid3 como proxyÉ isso? lembrando que para todo esse cenário eu vou utilizar uma unica maquina.
Obrigado pela atenção.
-
wilsaojr,
Bem vindo ao Fórum :)
Os pacotes são estes mesmos e podem ser instalados nesta sequencia.
Não esqueça de fazer um ambiente paralelo de testes antes de colocar em produção.
att,
Marcello Coutinho -
Marcello, Bom dia.
Pois é, estou tentando montar esse cenário, vi também que você disponibilizou em outro post um tutorial e etc, estou seguindo ele:
http://forum.pfsense.org/index.php?topic=47532.0
Obrigado pela atenção.
Att.
-
Marcello, Bom dia.
Caro colega, será que você tem condições de me dar um help.
Cara, instalei o:
samba36-3.6.4 A free SMB and CIFS client and server for UNIX
heimdal-1.4_1 A popular BSD-licensed implementation of Kerberos 5instalei também as libs indicada por você naquele post, segui o tutorial em pdf, configurei os arquivos, mudei os diretórios para /var/heimdal/kdc e kadm.acl .. tudo isso..
mais quando fui testar via kinit recebo o seguinte erro:
kinit: krb5_get_init_creds: unable to reach any KDC in realm novaciatelecom.com.br
e quando tento com o comando net tenho o seguinte erro:
Ignoring unknown parameter "realm"
WARNING: Ignoring invalid value 'ADS' for parameter 'security'
ADS support not compiled inClaro, da pra perceber de cara que ele não tem o suporte para ADS, mais como eu posso compilar isso? naqueles ftp que você indicou não tem, e no pfsense não tem ports né. to ilhado.
Cara, dê uma luz ai rsss.. da uma força pra resolver esse pipino já que vc ja tem experiencia com essa implementação no pfsense.
Obrigado pela atenção.
-
você fala deste tópico?
http://forum.pfsense.org/index.php/topic,47532.msg249812.html#msg249812
Eu consegui configurar em uma maquina de testes, seguindo os passos.
-
Exato.. tentei implementar mais quando instalo o samba ele já da problema, independente da versão ele sempre diz que não pode instalar o ADS support.. e como trata-se de um PFsense não consigo compilar esse modo pois não tenho ports.
ta brabo.
-
Exato.. tentei implementar mais quando instalo o samba ele já da problema, independente da versão ele sempre diz que não pode instalar o ADS support.. e como trata-se de um PFsense não consigo compilar esse modo pois não tenho ports.
ta brabo.
voce pode instalar o samba do ftp-archive do freebsd versao 8.1
se quiser compilar pacotes, instale uma vm com o freebsd 8.1 e ports.
depois de compilar, digite make package e transfira o arquivo para o seu pfsense.
repito que nos meus testes(amd64) o ads funcionou.
-
Acredito que as coisas estejam melhorando rsss…
Depois de várias instalações e desinstalações não recebo mais o erro do suporte ao ADS quando tento um net ads join -U .......
Mais ainda não está 100%, recebo agora esse erro:
Failed to join domain: failed to lookup DC info for domain 'DOMINIO.COM.BR' over rpc: Undetermined error
e inicia-se mais uma batalha.. rsss
-
Acredito que as coisas estejam melhorando rsss…
Depois de várias instalações e desinstalações não recebo mais o erro do suporte ao ADS quando tento um net ads join -U .......
Mais ainda não está 100%, recebo agora esse erro:
Failed to join domain: failed to lookup DC info for domain 'DOMINIO.COM.BR' over rpc: Undetermined error
e inicia-se mais uma batalha.. rsss
O domínio do seu ad é 'DOMINIO.COM.BR'???
-
Não.. onde ta escrito DOMINIO.COM.BR aparece o dominio da minha empresa. entendeu?
já viu esse erro antes!?
-
-
Opa marcelloc eu usei o squid autenticando no ad com o dansguardian e funcionou maravilha ta rodando e até agora nimguem veio reclamar
abs
Souza Linux
Souza…
Mas a autenticação está transparente ou ainda pede o PopUp ?
-
Galera.!! Cá estou aqui denovo..
cansei de bater cabeça no pfsense, e fui implementar um ambiente de teste só que em Debian, e funcionou perfeitamente.
Mas nem tudo são flores.. voltei para o PFsense pois o ambiente que será o de produção será em cima do PFSENSE.. ainda tenho problemas..
Agora percebo que o winbind não starta de jeito nenhum.. alguem já teve problemas com ele, que possa ajudar?
