Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

jcesarsc

Só pra constar.
Aqui no trabalho descobrimos que existe algum erro com o ultimo pacote do squidGuard (squidGuard-1.4_4.tbz).
Desconfiamos que estava com erro, pois sempre ao aplicarmos as alterações no squid + squidGuard e acompanharmos o log da compilação do squidGuard (tail no caminho /var/squid/log/cache.log), sempre era acusado erro bem na linha de autenticacao com ldap ldapusersearch ldap://192.168….etc, etc, etc....

Fizemos uma gambi que deixou o ambiente funcionando redondinho  (Pelo menos ate agora) ;).
Vou explicar:
O problema :
O Squid estava funcionando, mas o squidGuard nao, ou seja, era solicitado o usuario/senha na navegação, mas nenhum filtro estava sendo respeitado. Qualquer site que o usuario tentasse, o squidGuard liberava.

Primeira tentativa de solução (sem sucesso):
Removemos e instalamos novamente o pacote squidGuard, porém o erro persistiu.

Segunda tentativa de solução (sem sucesso):
Removemos e instalamos novamente os pacotes squid E squidGuard, porém o erro persistiu.

Terceira tentativa de solução (com sucesso)  :) :
Removemos e instalamos novamente o pacote squidGuard (Por padrão ele baixa sempre a ultima versao).
Baixamos "na unha" uma versao anterior do pacote squidGuard
(http://files.pfsense.org/packages/8/All/squidGuard-1.4_3.tbz)
e substituímos o executavel (somente o arquivo squidGuard) do ambiente pelo dessa versão.
Corrigimos os direitos de acesso do arquivo (chmod) e depois disso até o momento esta funcionando perfeitamente.

Nao sei sei mais alguem estava sofrendo com isso, mas fica aí uma solução alternativa pra ser tentada.
Agradeço a todos aqueles que de alguma forma tentaram ajudar.
Vou tentar ajudar sempre que for possível.

marcelloc

jcesarsc,

Este erro esta acontecendo com qual solução de autenticação por grupo deste tópico?

att,
Marcello Coutinho

jcesarsc

@marcelloc:

jcesarsc,

Este erro esta acontecendo com qual solução de autenticação por grupo deste tópico?

att,
Marcello Coutinho

Autenticação por grupo do AD.
Aquela que vc cria os grupos no AD e coloca os usuarios dentro do grupo para serem autenticados pelo squid e serem filtrados pelo squidGuard.

marcelloc

As duas fazem isso  :)

O LuisGustavo postou um patch para o squidguard, enquanto ccesario e eu publicamos um script que via cron puxa os usuários do AD e aplica no grupo do squidguard criado com o mesmo nome.

att,
Marcello Coutinho

jcesarsc

@marcelloc:

As duas fazem isso  :)

O LuisGustavo postou um patch para o squidguard, enquanto ccesario e eu publicamos um script que via cron puxa os usuários do AD e aplica no grupo do squidguard criado com o mesmo nome.

att,
Marcello Coutinho

Tentei utilizando o script elaborado pelo L. Gustavo.
Nao quis tentar o outro que vc e o ccesario fizeram pq iria ficar um campo com muuuuuuuuitos nomes, pois aqui onde trabalho tem muitos usuarios que passam pelo proxy. Prefiro adicionar os usuarios dentro do grupo no AD.
Se fosse um ambiente com poucos usuarios, sem pensar 2 vezes, iria utilizar o script de voces.
Só postei aqui o que passei pra aliviar a barra de quem tbm sofreu ou esta sofrendo com isso.

marcelloc

@jcesarsc:

Nao quis tentar o outro que vc e o ccesario fizeram pq iria ficar um campo com muuuuuuuuitos nomes, pois aqui onde trabalho tem muitos usuarios que passam pelo proxy. Prefiro adicionar os usuarios dentro do grupo no AD.
Se fosse um ambiente com poucos usuarios, sem pensar 2 vezes, iria utilizar o script de voces.

Não vejo diferença com poucos ou muitos usuários, uma vez que você não precisa cadastrar nenhum usuario no squidguard.

@jcesarsc:

Só postei aqui o que passei pra aliviar a barra de quem tbm sofreu ou esta sofrendo com isso.

Obrigado pelo feedback.

ccesario

Pessoal,

Segue o link do script com o tratamento das mensagens de warnings.

https://github.com/ccesario/public/raw/master/squiguard_ldap.php

Acredito que agora ele não mostrará mais os warnings na console.

Quem testar, por favor de um feedback :)

att
Carlos

ccesario

Srs,

Com a ajuda do Marcello, o script agora suporta a interpretação de Grupo dentro de Grupo (no momento apenas 1 nível)

Ex.

GRUPOS do AD
GRUPO1 - 'jose' 'pedro'
GRUPO2 - @GRUPO1 'ricardo' 'patricia'

Quando o script for executado as entradas no squidGuard ficarão assim

GRUPOS do SQUIDGUARD
GRUPO1 - 'jose' 'pedro'
GRUPO2 - 'jose' 'pedro' 'ricardo' 'patricia'

A versão atual do script está no seguinte endereço

https://github.com/ccesario/public/blob/master/squiguard_ldap.php

Por favor não deixem de dar um feedback sobre o funcionamento do mesmo

att,

gedaias

Ccesario,

Fiz um teste aqui colocando um grupo dentro de outro grupo e está funcionando 100%!
Ele exibe na GUI do SquidGuard tanto os usuários do 1º grupo quanto os do 2º grupo ;)

Parabéns a você e ao Marcello que tiveram a iniciativa e ajustaram o script  ;)
Parabéns ao Luiz Gustavo que desenvolveu e deixou a disposição a outra solução…

Toda comunidade agradece...

Abraço,

Gedaías Brandão

kelsen

Realmente isso é otimo, o único problema em usar o squidGuard é que é preciso apagar o histórico do navegador depois de liberar um site que antes estava negado.

marcelloc

@gedaias:

Parabéns ao Luiz Gustavo que desenvolveu e deixou a disposição a outra solução…

Este script é criação do ccesario, não do Luiz Gustavo.

O tópico tem duas soluções, uma com o patch feito pelo Luiz e outro com o script criado/adaptado pelo ccesario com minha ajuda.

att,
Marcello Coutinho

adriano

Bom dia Amigos do Forum, sou novo no pfsense e Preciso de Um passo a Passo. Vou trocar 14 Server Endian+AD para o PFSense.
Estou a 3 meses debulhando o forum, ate o momento nao consegui fazer o PFSense autenticar os Usuários do Domino Windows 2003 / Windows 2008.
Na verdade tenho pouco conhecimento com linha de comando, e preciso se nao for abusar de um passo a passo.
Ja baixei o script , e efetuei as alteracoes para autenticar em um AD Teste em Laboratorio, mais nao sei como jogar dentro do pfsense, como aplica-lo, quais sequencias de instalacao dos pacotes e como rodar o mesmo.
Abaixo como ficou meu script apos alteracao.

// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario
// ldapsearch -x -h 192.168.11.1 -p 389 -b OU=Internet,DC=domain,DC=local -D CN=Proxyauth,OU=PROXY,DC=domain,DC=local -w PASS

AD HOST (required) o ip abaixo é do Server 2003 DC

$ldap_host = "192.168.1.254";

AD DIRECTORY DN(required) Abaixo nome do servidor e nome do dominio completo

$ldap_dn = "OU=SRV01,DC=domaintest,DC=local";

BIND USER(required) abaixo alterei apenas o nome do dominio, Esse PROXY É o usuário criado no ad ??

$user_bind = "CN=Proxyauth,OU=PROXY,DC=domaintest,DC=local";

PASSWORD BIND(required) abaixo coloquei a senha 123456

$password = "123456";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

Obs. As Estacoes já estao logando no AD.
O nome do Servidor = srv01.domaintest.local - ip 192.168.1.254
Estou com a versao 2.01 + Squid + Squidguard.

VLW Obrigado
Adriano

gubh

Como primeira postagem, apenas para contar a história da autenticação falhando.

Também estava com o sintoma de usuários autenticando e acontecendo o "bypass" do Squidguard. Não uso grupos apenas usuários do AD.

Precisei restaurar um backup full por outros motivos e a situação se resolveu, portanto quem estiver com o problema pode tentar realizar o restore full.

marcelloc

@adriano:

Na verdade tenho pouco conhecimento com linha de comando, e preciso se nao for abusar de um passo a passo.
Ja baixei o script , e efetuei as alteracoes para autenticar em um AD Teste em Laboratorio, mais nao sei como jogar dentro do pfsense,

Adriano, você pode usar o pacote filer para criar o arquivo no pfsense, mas saber executar comandos na console será necessário para testa-lo.

Habilite o ssh em system-> advanced, instale o cliente ssh putty(gratuito) e se conecte a console do pfsense.

rodrigo.lima

@marcelloc:

@adriano:

Na verdade tenho pouco conhecimento com linha de comando, e preciso se nao for abusar de um passo a passo.
Ja baixei o script , e efetuei as alteracoes para autenticar em um AD Teste em Laboratorio, mais nao sei como jogar dentro do pfsense,

Adriano, você pode usar o pacote filer para criar o arquivo no pfsense, mas saber executar comandos na console será necessário para testa-lo.

Habilite o ssh em system-> advanced, instale o cliente ssh putty(gratuito) e se conecte a console do pfsense.

Marcelo, Tem algum tutorial aqui no fórum explicando como criar esse arquivo?

Tentei criar e nomear como .php, mas depois que faço o upload para o pfsense não funciona.

[]'s.

marcelloc

Voce instalou o pacote que indiquei?

No filer voce cria o arquivo com a extensão e conteúdo texto/script que quiser.

rodrigo.lima

@marcelloc:

Voce instalou o pacote que indiquei?

No filer voce cria o arquivo com a extensão e conteúdo texto/script que quiser.

Marcelo, boa noite.

Criei o arquivo no filer, mas ao executar o script aparece a mensagem de erro abaixo:

Parse error: syntax error, unexpected '/' in /usr/local/www/exec.php(244) : eval()'d code on line 1

Sabes o que pode ser?

marcelloc

Cola a tela da configuracao que você fez no filer

rodrigo.lima

@marcelloc:

Cola a tela da configuracao que você fez no filer

Marcelo, boa noite.

Segue a configuração:

// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario
// ldapsearch -x -h 10.10.0.1 -p 389 -b OU=Internet,DC=nwtraders,DC=msft -D CN=squid,CN=Users,DC=nwtraders,DC=msft -w PASS

AD HOST (required)

$ldap_host = "10.10.0.1";

AD DIRECTORY DN(required)

$ldap_dn = "OU=INTERNET,DC=nwtraders,DC=msft";

BIND USER(required)

$user_bind = "CN=squid,CN=Users,DC=nwtraders,DC=msft";

PASSWORD BIND(required)

$password = "**********";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

#######################

End of user options

#######################

require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();

function explode_dn($dn, $with_attributes=0) {
$result = ldap_explode_dn($dn, $with_attributes);
if (is_array($result)) {
foreach($result as $key => $value) {
$result[$key] = $value;
}
}
return $result;
}

function get_ldap_members($group,$user,$password) {
global $ldap_host;
global $ldap_dn;
$LDAPFieldsToFind = array("member");
$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

// OPTIONS TO AD
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

$member_list = ldap_get_entries($ldap, $results);
$group_member_details = array();

if (is_array($member_list[0]))
foreach($member_list[0] as $list)
if (is_array($list))
foreach($list as $member) {
$ldap_dn_user = preg_replace('/^cn=([^,]+),/i','',$member);
$member_dn = explode_dn($member);
if (!empty($member_dn[0])) {
$member_cn = str_replace("CN=","",$member_dn[0]);
$member_search = ldap_search($ldap, $ldap_dn_user, "(CN=" . $member_cn . ")");
$member_details = ldap_get_entries($ldap, $member_search);

// If group have a other group as member (only 1 level)
if(is_array($member_details[0]['member'])) {
//print "############\nmembers\n###########\n";
//var_dump ($member_details[0]['member']);
foreach($member_details[0]['member'] as $sub_member) {
$sub_ldap_dn_user = preg_replace('/^cn=([^,]+),/i','',$sub_member);
$sub_member_dn = explode_dn($sub_member);
if (!empty($sub_member_dn[0])) {
$sub_member_cn = str_replace("CN=","",$sub_member_dn[0]);
$sub_member_search = ldap_search($ldap, $sub_ldap_dn_user, "(CN=" . $sub_member_cn . ")");
$sub_member_details = ldap_get_entries($ldap, $sub_member_search);
$group_member_details[] = array($sub_member_details[0]['samaccountname'][0]);
}
}
//echo "#########################################\nsub_group\n";
//var_dump($group_member_details);
//echo "#########################################\n";
                        }
                        else
      $group_member_details[] = array($member_details[0]['samaccountname'][0]);
}
}
ldap_close($ldap);
return $group_member_details;
}

//Log info
log_error("Running squidGuard LDAP sync");

// Read Pfsense config
global $config,$g;
$id=0;
$apply_config=0;
if (is_array($config['installedpackages']['squidguardacl']['config'])) {
foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
$members="";
echo  "Group : " . $group['name']."\n";
$result = get_ldap_members($group['name'],$user_bind,$password);
asort($result);
foreach($result as $key => $value) {
if (preg_match ("/\w+/",$value[0]))
$members .= "'".preg_replace("/USER/",strtolower($value[0]),$user_mask)."' ";
}
if (!empty($members)) {
if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
$apply_config++;
}
}
echo "\t –> Members : " . $members . "\n\n";
$id++;
}
}

if ($apply_config > 0) {
log_error("squidGuard LDAP sync: user list from LDAP is different from current group, applying new configuration...");
print "user list from LDAP is different from current group, applying new configuration...";
write_config();
include("/usr/local/pkg/squidguard.inc");
squidguard_resync();
print "done\n";
}

#mount filesystem read-only
conf_mount_ro();

?>

marcelloc

quis dizer fazer um print da tela da cofiguracao do arquivo
nome, permissão do arquivo, etc.