Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)

marcelloc

Então eu execute o script em "PHP Execute" sem o "" ? Pois executei sem esse parâmetros e não me retornou nada.

Não retornar nada normalmente significa que executou sem erros.

habilite o ssh , conecte usando o putty por exemplo e execute o script, veja o que ele retorna.

Este tipo de teste é melhor na console/ssh ;)

ilv

Fiz os testes, utilizei até o script em php, acessando por ssh, e ele me retorna

[2.0.2-RELEASE][admin@matriz]/root(26): /usr/local/bin/php -q /root/squi    dguard_ldap.php
Group : L_TI

Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on     line 40
Group : Vendas
user list from LDAP is different from current group, applying new configuration.    ..done

Só que os usuários não aparecem, o que poderia ser?

marcelloc

@ilv:

Só que os usuários não aparecem, o que poderia ser?

existem usuarios neste grupo?

voce criou um grupo no squidguard com o mesmo nome do ad?

ilv

existem usuarios neste grupo?

voce criou um grupo no squidguard com o mesmo nome do ad?

Os usuários já estão dentro do grupo

ilv

A versão do Pfsense é a 2.0.2-RELEASE (amd64)

Como está abaixo:

Grupo no AD : L_TI
Grupo no PFsense: L_TI

Existe alguns usuários dentro do grupo, nenhum com acento ou caractere especial, o erro que ocorre é:

Group : L_TI

Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 40
user list from LDAP is different from current group, applying new configuration…done

Se eu coloco uma senha errada no script da a seguinte mensagem:

Group : L_TI

Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /root/squidguard_ldap.php on line 56
Could not bind to LDAP[

O script está desta forma :

[code]#!/usr/local/bin/php -f

// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario

AD HOST (required)

$ldap_host = "192.168.0.252";

AD DIRECTORY DN(required)

$ldap_dn = "DC=tots";

BIND USER(required)

$user_bind = "cn=pfsense,cn=Users,DC=tots";

PASSWORD BIND(required)

$password = "coisa";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

####################

End of user options

####################

require_once("/etc/inc/util.inc");
require_once("/etc/inc/functions.inc");
require_once("/etc/inc/pkg-utils.inc");
require_once("/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();

function explode_dn($dn, $with_attributes=0)
{
$result = ldap_explode_dn($dn, $with_attributes);
foreach($result as $key => $value) {
$result[$key] = $value;
}
return $result;
}

function get_ldap_members($group,$user,$password) {
global $ldap_host;
global $ldap_dn;
$LDAPFieldsToFind = array("member");
$ldap = ldap_connect($ldap_host) or die("Could not connect to LDAP");

// OPTIONS TO AD
ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION,3);
ldap_set_option($ldap, LDAP_OPT_REFERRALS,0);

ldap_bind($ldap, $user, $password) or die("Could not bind to LDAP");

$results = ldap_search($ldap,$ldap_dn,"cn=" . $group,$LDAPFieldsToFind);

$member_list = ldap_get_entries($ldap, $results);
$group_member_details = array();
foreach($member_list[0] as $list)
if (is_array($list))
foreach($list as $member) {
$member_dn = explode_dn($member);
$member_cn = str_replace("CN=","",$member_dn[0]);
$member_search = ldap_search($ldap, $ldap_dn, "(CN=" . $member_cn . ")");
$member_details = ldap_get_entries($ldap, $member_search);
$group_member_details[] = array($member_details[0]['samaccountname'][0]);
}
ldap_close($ldap);
array_shift($group_member_details);
return $group_member_details;
ldap_unbind($ldap);
}

// Read Pfsense config
global $config,$g;
$id=0;
$apply_config=0;
if (is_array ($config['installedpackages']['squidguardacl']['config']))
foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
$members="";
echo "Group : " . $group['name']."\n";
$result = get_ldap_members($group['name'],$user_bind,$password);
foreach($result as $key => $value) {
if (preg_match ("/\w+/",$value[0]))
$members .= "'".preg_replace("/USER/",$value[0],$user_mask)."' ";
}
if (!empty($members))
if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
$apply_config++;
}
$id++;
}
if ($apply_config > 0){
print "user list from LDAP is different from current group, applying new configuration…";
write_config();
include("/usr/local/pkg/squidguard.inc");
squidguard_resync();
print "done\n";
}

#mount filesystem read-only
conf_mount_ro();
?>

Desde já agradeço a ajuda!

Capturar4.PNG_thumb

marcelloc

Você pode editar o grupo para ver o conteúdo dos usuários?

ilv

acabei de verificar nas propriedades de cada usuário do grupo para ver se tinha alguma acentuação e não tem.

gilmarcabral

Clica no E na frente do grupo criado no Pfsense e posta o print da tela para nós vermos.
Pois olhando ai a mensagem do script onde ele avisa do Grupo Vendas, e uma aviso que ele tem no AD mas não tem no pfsense.
da um print nas propriedades deste grupo e posta aki para nós.

ilv

Gilmar, obrigado pela atenção, consegui encontrar o problema, me preocupei apenas com os usuários que havia criado, mas quando observei vi o "Admin. de Domínio" assim que removi esse usuário, e executei o script, os usuários apareceram no grupo do PFsense.

Ocorre apenas a mensagem "Warning: Invalid argument supplied for foreach() in /root/squidguard_ldap.php on line 38
"

Mas os usuários aparecem normalmente. Sabe me dizer se pode acarretar algum problema?

ilv

Tentei agendar através da interface grafica, como o marcelocc mostra na pagina 4, porém ele não executa o script, então estou tentando agendar no cron através do comando, direto no ssh, porém ele me retorna este erro:

/root(17): */5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php
*/5: No match.

Alguém já vivenciou isso ?

gilmarcabral

Sobre esta mensagem ocorre comigo com base openldap.
Agora via cron via GUI agendo sem problemas.
Fica desta forma abaixo.

*/06 * * * 1-7 root /home/scripts/squidguard_ldap.php

ilv

@gilmarcabral:

Sobre esta mensagem ocorre comigo com base openldap.
Agora via cron via GUI agendo sem problemas.
Fica desta forma abaixo.

*/06 * * * 1-7 root /home/scripts/squidguard_ldap.php

Ainda continua dando a mensagem de erro:

[2.0.2-RELEASE][admin@matriz]/root(26): */06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php
*/06: No match.

gilmarcabral

Bom dia.
Pelo que entendi você esta executando este comando abaixo no terminal.
Caso você tiver fazendo isso não ira funcionar pois o console não sabe o que é */06.
Se você quiser agendar o serviço para ser executado em 6 em 6 minutos terá que usar a GUI do pfsense na parte do cron.
Não precisa você passar o caminho do php.

*/06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php

ilv

@gilmarcabral:

Bom dia.
Pelo que entendi você esta executando este comando abaixo no terminal.
Caso você tiver fazendo isso não ira funcionar pois o console não sabe o que é */06.
Se você quiser agendar o serviço para ser executado em 6 em 6 minutos terá que usar a GUI do pfsense na parte do cron.
Não precisa você passar o caminho do php.

*/06 * * * 1-7 root /usr/local/bin/php -q /root/squidguard_ldap.php

Funcionou Gilmar! Obrigado pela ajuda!

gilmarcabral

Que bom.
Flw

helberttavares

Bom dia!!

Pessoal, estou com uma duvida tremenda.

Estou tentando executar os passos com o script criado pelo Marcelloc e pelo Ccesario no post http://forum.pfsense.org/index.php/topic,47100.msg248200.html#msg248200

Não entendi em qual pasta o arquivo "squiguard_ldap.php" deve ficar depois de alterado para as configurações do meu AD.

Fiz os passos abaixo:

1º- Instalar os pacotes "FILER" e "Cron"
3º- Criar no sguidGuard um grupo ex: "Acesso_Full"
4º- Criar no AD Windows um grupo com o mesmo nome
5º- Ir em Diagnostics>Filer -File: squiguard_ldap.php
-Description: –-
-Permissions: –-
-File Contents: script criado por você (com as informações do meu AD)
-Script: ?
-Execute mode: ?
6º- Ir no Cron e deixar e configurar: */5 * * * * root /usr/local/bin/php -q /root/squidguard_ldap.php

Parei aqui…

Se puder esclarecer as minhas duvidas, ficarei muito agradecido.

marcelloc

@helberttavares:

Não entendi em qual pasta o arquivo "squiguard_ldap.php" deve ficar depois de alterado para as configurações do meu AD.

o 6º passo dá a resposta… ;) /root/squidguard_ldap.php

Mas é claro que você pode colocar em qualquer outra pasta.
Não recomendo deixar em /usr/local/www uma vez que pode ser chamado via browser.

helberttavares

Obrigado Marcelloc!

Deu certo, os usuários membros dos grupos no AD aparecem em Client source no SquidGuard mas os bloqueios/acessos não estão saindo pelas permissões dos grupos mas apenas pelo Common ACL.

O que pode ser?

marcelloc

@helberttavares:

O que pode ser?

Provavelmente seu squid não esta autenticando os usuários.

Já verificou o access.log do squid?

helberttavares

Bom dia!!

Marcelloc, eu estou usando proxy transparente.
Tem algum problema, o script funciona com o squid em modo transparente?