Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)
-
Hello,
first of all. I can't speek Portuguese. This thread is very interesting to me. I try the patch form Luiz Gustavo. The GUI is modified well. The file "/usr/local/etc/squidGuard/squidGuard.conf" seems to be correct. But it doesn't work. It seems that the current squid package is built without LDAP-Support.
"squidguard -d -c /usr/local/etc/squidGuard/squidGuard.conf" says always that here is a error in the config file (an all lines with ldapusersearch).Solution: You can downgrade squidguard: Caution this is for 64bit systems.
On 32bit systems you must adjust the linkln -s /usr/local/lib/libldap-2.4.so /usr/local/lib/libldap-2.4.so.7 mkdir /tmp/000 cd /tmp/000 fetch -q -o /tmp/000/squidGuard-1.4_3.tbz http://files.pfsense.org/packages/amd64/8/All/squidGuard-1.4_3.tbz tar xf squidGuard-1.4_3.tbz mv /usr/local/bin/squidGuard /usr/local/bin/squidGuard-1.4_4 cp /tmp/000/bin/squidGuard /usr/local/bin/squidGuard-1.4_3 #ln -s /usr/local/bin/squidGuard-1.4_3 /usr/local/bin/squidGuard #With this Symlink, Pfsense does not recognise the running squidguard on on the service tab cp /usr/local/bin/squidGuard-1.4_3 /usr/local/bin/squidGuard squidGuard -C all squidGuard -u #reboot
For me it works very well on Pfsense 2.0.1.
Maybe it helps somebody.
Greetings
Snowyrain
Edit: Don't use Symlinks
-
Snowyrain, Thanks for your contribution. :)
-
Olá pessoal.
Sou novo no pfsense e estou homologando ele para substituir um sistema embarcado de firewall + e-mail aqui da nossa empresa.
Minha ideia é utilizar o pfsense como firewall + proxy e zimbra para e-mail.Vamos la… Li varias vezes este tópico e busquei na internet porém o local com as informações mais completas e consistentes com certeza é aqui.
Fiz a configuração completa squid + squidGuard + ldap intalei o patch, baixei, rodei e agendei o script. Mas ainda não esta funcionando. Na maquina de teste no IE ele pede usuário e senha mas quando digito ele não loga.
Segue minhas configurações:
Pfsense 2.0.1-RELEASE (amd64) + Windows Server 2008 R2
Script:
/root(31): /usr/local/bin/php -q /root/squiguard_ldap.php
Group : PRX_Allow_All
–> Members : 'frederico.lima'Group : PRX_Deny_All
--> Members : 'homolog'Alguém pode me ajudar no que faltou ou fiz errado? :-\
Muito obrigado e parabéns pelo forum! ;)
-
instalei o patch, baixei, rodei e agendei o script.
fredmdl, bem vindo ao fórum! :)
Neste tópico, temos duas soluções, uma é o patch do Luiz Gustavo e outra é o script que eu e o ccesario fizemos.
Você tem que escolher uma das duas para utilizar no lugar de fazer os dois.
att,
Marcello Coutinho. -
Neste tópico, temos duas soluções, uma é o patch do Luiz Gustavo e outra é o script que eu e o ccesario fizemos.
Você tem que escolher uma das duas para utilizar no lugar de fazer os dois.
att,
Marcello Coutinho.Marcello eu removi a configuração do patch da GUI… Mesmo assim continuo na mesma..
tenho que reinstalar o squidGuard? -
tenho que reinstalar o squidGuard?
estas atualizações buscam os usuarios do grupo e aplicam na configuração do squidguard.
sua autenticação já está ok? você consegue ver os usuários nos logs do squid?
-
estas atualizações buscam os usuarios do grupo e aplicam na configuração do squidguard.
sua autenticação já está ok? você consegue ver os usuários nos logs do squid?
Marcelo muito obrigado pela ajuda. Depois que eu removi a configuração do patch ele funcionou. ;D
Agora percebi duas coisas:1 - O agendamento no CRON não esta funcionando, eu instalei o pacote cron e pelo menu eu adicionei a entrada abaixo
*/5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
Se eu roda manual ai ele preenche a gui do squidGuardian2 - Há alguma restrição para autenticar usuário com o nome no formato "nome.sobrenome" ou com senha forte do tipo "%#123.ABC" ?
-
2 - Há alguma restrição para autenticar usuário com o nome no formato "nome.sobrenome" ou com senha forte do tipo "%#123.ABC" ?
Se roda ele na mão e vai, então não tem problema.
Eu prefiro deixar sem caracteres especiais as senhas que ficam em arquivos de configuração ou xml.
-
Boa Tarde
Após realizar as configurações na hora de testar o script em php ocorre a seguinte mensagem Diagnostic>Command Prompt>PHP Executeocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2já alterei as permissões do script para rwx rwx rwx
#!/usr/local/bin/php -f // based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/ // pfsense integration by marcelloc and ccesario # AD HOST (required) $ldap_host = "192.168.0.8"; # AD DIRECTORY DN(required) $ldap_dn = "DC=tots"; # BIND USER(required) $user_bind = "cn=squid,cn=Users,DC=tots"; # PASSWORD BIND(required) $password = "coisa"; #if you need to apply any prefix or sufix to retreived user #example: prefix user with domain(required) #$user_mask="DOMAIN\USER"; $user_mask="USER"; #################### # End of user options # #################### require_once("/etc/inc/util.inc"); require_once("/etc/inc/functions.inc"); require_once("/etc/inc/pkg-utils.inc"); require_once("/etc/inc/globals.inc"); #mount filesystem writable conf_mount_rw(); function explode_dn($dn, $with_attributes=0) { $result = ldap_explode_dn($dn, $with_attributes); foreach($result as $key => $value) { $result[$key] = $value; } return $result; } function get_ldap_members($group,$user,$password) { global $ldap_host; global $ldap_dn; $LDAPFieldsToFind = array("member"); $ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP"); // OPTIONS TO AD ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3); ldap_set_option($ldap, LDAP_OPT_REFERRALS,0); ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP"); $results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind); $member_list = ldap_get_entries($ldap, $results); $group_member_details = array(); foreach($member_list[0] as $list) if (is_array($list)) foreach($list as $member) { $member_dn = explode_dn($member); $member_cn = str_replace("CN=","",$member_dn[0]); $member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")"); $member_details = ldap_get_entries($ldap, $member_search); $group_member_details[] = array($member_details[0]['samaccountname'][0]); } ldap_close($ldap); array_shift($group_member_details); return $group_member_details; ldap_unbind($ldap); } // Read Pfsense config global $config,$g; $id=0; $apply_config=0; if (is_array ($config['installedpackages']['squidguardacl']['config'])) foreach($config['installedpackages']['squidguardacl']['config'] as $group) { $members=""; echo "Group : " . $group['name']."\n"; $result = get_ldap_members($group['name'],$user_bind,$password); foreach($result as $key => $value) { if (preg_match ("/\w+/",$value[0])) $members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' "; } if (!empty($members)) if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){ $config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members; $apply_config++; } $id++; } if ($apply_config > 0){ print "user list from LDAP is different from current group, applying new configuration..."; write_config(); include("/usr/local/pkg/squidguard.inc"); squidguard_resync(); print "done\n"; } #mount filesystem read-only conf_mount_ro(); ?>
-
@ilv:
ocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2ivl, bem vindo ao fórum! :)
Execute ele como um script normal, não como um php ou copie o arquivo e remova o código entre o
-
@ilv:
ocorre a seguinte mensagem de erro após executar o script abaixo:
Parse error: syntax error, unexpected '<' in /usr/local/www/exec.php(244) : eval()'d code on line 2ivl, bem vindo ao fórum! :)
Execute ele como um script normal, não como um php ou copie o arquivo e remova o código entre o
Então eu execute o script em "PHP Execute" sem o "" ? Pois executei sem esse parâmetros e não me retornou nada.
-
@ilv:
Então eu execute o script em "PHP Execute" sem o "" ? Pois executei sem esse parâmetros e não me retornou nada.
Não retornar nada normalmente significa que executou sem erros.
habilite o ssh , conecte usando o putty por exemplo e execute o script, veja o que ele retorna.
Este tipo de teste é melhor na console/ssh ;)
-
Fiz os testes, utilizei até o script em php, acessando por ssh, e ele me retorna
[2.0.2-RELEASE][admin@matriz]/root(26): /usr/local/bin/php -q /root/squi dguard_ldap.php Group : L_TI Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 40 Group : Vendas user list from LDAP is different from current group, applying new configuration. ..done
Só que os usuários não aparecem, o que poderia ser?
-
@ilv:
Só que os usuários não aparecem, o que poderia ser?
existem usuarios neste grupo?
voce criou um grupo no squidguard com o mesmo nome do ad?
-
existem usuarios neste grupo?
voce criou um grupo no squidguard com o mesmo nome do ad?
Os usuários já estão dentro do grupo
-
A versão do Pfsense é a 2.0.2-RELEASE (amd64)
Como está abaixo:
Grupo no AD : L_TI
Grupo no PFsense: L_TIExiste alguns usuários dentro do grupo, nenhum com acento ou caractere especial, o erro que ocorre é:
Group : L_TI
Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 40
user list from LDAP is different from current group, applying new configuration…doneSe eu coloco uma senha errada no script da a seguinte mensagem:
Group : L_TI
Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /root/squidguard_ldap.php on line 56
Could not bind to LDAP[O script está desta forma :
[code]#!/usr/local/bin/php -f
// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesarioAD HOST (required)
$ldap_host = "192.168.0.252";
AD DIRECTORY DN(required)
$ldap_dn = "DC=tots";
BIND USER(required)
$user_bind = "cn=pfsense,cn=Users,DC=tots";
PASSWORD BIND(required)
$password = "coisa";
#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";####################
End of user options
####################
require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");#mount filesystem writable
conf_mount_rw();function explode_dn($dn, $with_attributes=0)
{
$result = ldap_explode_dn($dn, $with_attributes);
foreach($result as $key => $value) {
$result[$key] = $value;
}
return $result;
}function get_ldap_members($group,$user,$password) {
global $ldap_host;
global $ldap_dn;
$LDAPFieldsToFind = array("member");
$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");// OPTIONS TO AD
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");
$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);
$member_list = ldap_get_entries($ldap, $results);
$group_member_details = array();
foreach($member_list[0] as $list)
if (is_array($list))
foreach($list as $member) {
$member_dn = explode_dn($member);
$member_cn = str_replace("CN=","",$member_dn[0]);
$member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")");
$member_details = ldap_get_entries($ldap, $member_search);
$group_member_details[] = array($member_details[0]['samaccountname'][0]);
}
ldap_close($ldap);
array_shift($group_member_details);
return $group_member_details;
ldap_unbind($ldap);
}// Read Pfsense config
global $config,$g;
$id=0;
$apply_config=0;
if (is_array ($config['installedpackages']['squidguardacl']['config']))
foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
$members="";
echo "Group : " . $group['name']."\n";
$result = get_ldap_members($group['name'],$user_bind,$password);
foreach($result as $key => $value) {
if (preg_match ("/\w+/",$value[0]))
$members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' ";
}
if (!empty($members))
if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
$apply_config++;
}
$id++;
}
if ($apply_config > 0){
print "user list from LDAP is different from current group, applying new configuration…";
write_config();
include("/usr/local/pkg/squidguard.inc");
squidguard_resync();
print "done\n";
}#mount filesystem read-only
conf_mount_ro();
?>Desde já agradeço a ajuda!
-
Você pode editar o grupo para ver o conteúdo dos usuários?
-
acabei de verificar nas propriedades de cada usuário do grupo para ver se tinha alguma acentuação e não tem.
-
Clica no E na frente do grupo criado no Pfsense e posta o print da tela para nós vermos.
Pois olhando ai a mensagem do script onde ele avisa do Grupo Vendas, e uma aviso que ele tem no AD mas não tem no pfsense.
da um print nas propriedades deste grupo e posta aki para nós. -
Gilmar, obrigado pela atenção, consegui encontrar o problema, me preocupei apenas com os usuários que havia criado, mas quando observei vi o "Admin. de Domínio" assim que removi esse usuário, e executei o script, os usuários apareceram no grupo do PFsense.
Ocorre apenas a mensagem "Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 38
"Mas os usuários aparecem normalmente. Sabe me dizer se pode acarretar algum problema?