Problema Squid + SquidGuard + AD

einsteinsi

Prezados,

Seguindo o tutorial do Marcelo (http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/), fiz o passo a passo e consegui que a navegação fosse autenticada pelo AD. Perfeito. Porém as regras de bloqueio de sites não estão sendo pegas do Squidguard.

O grupo PADRÃO navega com as mesmas permissões do grupo TI. As Targets List Rules estão todas setada como deny no grupo PADRÃO e mesmo assim há navegação em sites não permitidos.

Alguém poderia indicar onde faltou configurar?

Obrigado, no aguardo.

marcelloc

einsteinsi,

Você esta usando o script que extrai os usuarios do ad e aplica nas acls do squidguard?

att,
Marcello Coutinho

einsteinsi

Estou usando o patch recomendado por esse Post: http://forum.pfsense.org/index.php/topic,47100.msg248459.html#msg248459

Na guia Groups ACL, Client, estou usando isso:
ldapusersearch ldap://10.3.1.2/DC=LESTETUR,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=USERS_COMUM,OU=GROUPS,OU=CBA,DC=LESTETUR,DC=LOCAL))

Ele chega autenticar, mas não bloqueia por grupo de usuários.

Se quiser que eu mande as imagens da configuração, só dizer.

Abraço e obrigado,

Eduardo

marcelloc

você pode testar ou outro método ou incluir na mão alguns usuários para teste?

Como você aplicou o patch, talvez seja necessário reinstalar o pacote antes.

einsteinsi

Eu testei com os usuários inserindo na mão,… 'eduardo' 'maria' 'jose', funciona também, assim como a pesquisa do ldpausersearch, porém não passa pelo squidGuard (é o que parece), e não bloquei via Groups ACL. Até mesmo no log do squid, ele mostra TCP_MISS (acho que é isso) em todas as requisições.

O patch eu executei via shell do pfsense, através do comando fetch, conforme citado no Post.

Meu ambiente é:
pfSense 2.0.1 Release    (10.3.1.1)
Windows Server 2008 R2 (10.3.1.2)

No aguardo, abraço,

Eduardo

einsteinsi

Pessoal,

Consegui. Vou postar as fotos de todo processo pois acho que pode ajudar outras pessoas.

Obrigado, abraço.

einsteinsi

Refiz o procedimento de instalação, e ao executar o patch (abaixo) no shell do pfsense, foi onde percebi que deixou de funcionar, permitindo acesso total de todos os grupos, ou seja, não passando pelo filtro do squidGuard. Posso ter feito algo de errado, e acredito nisso, mas por enquanto, utilizarei a solução manual até encontrar uma solução que busque os usuários do AD de forma automática.

fetch -q -o /tmp/ http://www.mundounix.com.br/~gugabsd/squidguard-ldap-search.patch && cd /usr/local/pkg && patch -p0 < /tmp/squidguard-ldap-search.patch

No aguardo caso alguém saiba me explicar como utilizar.

Obrigado.

marcelloc

No mesmo post do patch do luiz gustavo, tem um script feito por mim e pelo ccesario que busca os usuários do ad e aplica no squidguard.

einsteinsi

O DansGuardian substitui o squidGuard hoje, nessa integração com o AD?

marcelloc

@einsteinsi:

O DansGuardian substitui o squidGuard hoje, nessa integração com o AD?

Sim, o dansguardian tem o mesmo script aplicado no código e com uma aba so para a configuração do ldap.

Veja os outros tópicos sobre dansguardian para entender a configuração.

hugoteleco

Einstein

Você tem o passo a passo desta solução?

Abraço,
Hugo

@einsteinsi:

Pessoal,

Consegui. Vou postar as fotos de todo processo pois acho que pode ajudar outras pessoas.

Obrigado, abraço.

marcelloc

Hugoteleco, Bem vindo ao fórum!  :)

Use o script que fiz junto com o ccesario, é bem eficiente e fácil de instalar.