Pfsense+squid+Ad



  • Olá pessoal! Esse é o meu primeiro post aqui no fórum (entrei ontem).

    Nunca tinha feito essa integração e quando fui fazer me deparei com um problema.

    Fiz a integração do pfsense+squid+ad. O squid está autenticando os usuários do AD o problema é que demora muito para validar essa autenticação (pouco mais de 1min). Após a validação o usuário navega normalmente e o squid faz  seu trabalho bloqueando ou liberando o conteúdo. Caso o usuário feche o browser, ao iniciá-lo novamente e preencher com as mesmas credenciais colocadas anteriormente para validar, a validação ocorre rápida (esta em cache). Ao se reiniciar o computador ou mesmo usar outro usuário do AD que não foi autenticado, ocorre o mesmo problema citado no início.

    A minha dúvida é: existe sempre esse problema nessa integração ou falta algum parâmetro para ser setado?

    Agradeço a atenção!

    Att,
    EJALES



  • você esta usando a configuração com autenticação integrada no browser(usando samba) ou com tela de autenticação?



  • Estou usando a padrão do navegador mesmo. Só direcionando o proxy e porta, sem usar o samba..



  • Já ia esquendo as boas vinda, Bem vindo ao fórum!  :)

    tenho pouca experiência com esta autenticação via popup, das vezes que usei no pfsense foi via samba.

    att,
    Marcello Coutinho



  • Opa Marcello, se puder resolver via samba vou usar.
    Como é feita essa autenticação? Vi em alguns posts para o ntlm…

    Att,
    EJALES



  • @ejales:

    Como é feita essa autenticação? Vi em alguns posts para o ntlm…

    Integrada no browser, você loga no dominio, abre o browser e navega…

    Simples assim  :)



  • Usando ntlm…eu vi aqui no fórum. Acho que foi até um tópico seu.
    Fiquei meio receoso porque tinha que instalar pacotes por fora, mas tem essa demora que eu citei?

    Att,
    EJALES



  • @ejales:

    Fiquei meio receoso porque tinha que instalar pacotes por fora, mas tem essa demora que eu citei?

    Não, abriu o browser navegou…

    A autenticação via ldap também funciona, deve estar faltando ou sobrando alguma coisa na sua configuração.



  • Me corrija se estiver errado (não li todas as regras do fórum sobre adicionar links externos), mas o meu problema se parece muito com esse aqui: http://under-linux.org/f96/squid-demorando-p-autenticar-77385/index8.html
    Só acho que a solução que ele encontrou não seja para todos os casos (testei também por desencargo de consciencia).

    O tempo de login no domínio permanece o mesmo e no navegador fica como se não existisse autenticação(falo em questão de tempo)?

    Att,
    EJALES



  • Boa tarde á todos!

    Marcello, é possível fazer a "autenticação transparente" somente com o LDAP?

    Fique na paz! Tenham um ótimo final de semana!


    Cabeça.



  • @Cabeça:

    Marcello, é possível fazer a "autenticação transparente" somente com o LDAP?

    Até onde sei, só com

    • kerberos/negotiate - mais seguro porém mais chato de configurar e mais restritivo

    • samba/ntlm - amplamente usado porém não tão seguro quanto do kerberos

    • squid/ident - facíl de burlar, basta o cliente subir um fake ident na maquina para usar qualquer nome de usuário



  • ejales,

    Realmente a melhor pedida é você usar alguma forma de "autenticação transparente" do SQUID: http://forum.pfsense.org/index.php/topic,47532.75.html

    De qualquer forma, a autenticação LDAP pode ficar lenta por vários motivos. Desde problemas com a estação em específico, passando por gargalos de rede ou do servidor AD, até problemas pontuais com o pacote Squid. Em alguns clientes, onde eu tinha este cenário, resolvi atualizando para o Squid3 (leia com atenção os tutoriais postados por aqui mesmo, sobre o Squid3).

    Abraços!
    Jack



  • Opa JackL, tudo bem?

    Acredito que seja com o pacote do squid. Fiz o teste em 3 máquinas para autenticar e as 3 apresentaram o mesmo problema citado anteriormente. O switch em que as máquinas estavam ligadas não apresentava nenhuma porta com 100% de uso e poucas máquinas estavam conectadas. Realizei o comando ldapsearch de dentro do firewall e a resposta foi quase que instantânea…
    Estou criando um cenário no vmware para poder testar essa solução com ntlm.

    Att,
    ejales



  • Boa tarde á todos!

    Obrigado, Marcello.

    Poderia informar por favor qual o procedimento a ser realizado para efetuar essa configuração aqui:

    • samba/ntlm - amplamente usado, porém não tão seguro quanto do kerberos.

    Obrigado mais uma vez!

    Grato,
    Cabeça.



  • Esta lá nos tutoriais para pacote.

    autenticação "transparente" com pfsense + squid + active directory



  • Olá Pessoal,

    Depois de quebrar a cabeça e solucionar o problema vim postar aqui o meu depoimento.

    Como o JackL falou "a autenticação LDAP pode ficar lenta por vários motivos."
    Realmente ele esta correto nessa afirmação! A solução para o meu caso pode ser que não sirva para outros ou que apenas solucione casos em que comenteram os mesmos erros que eu.

    Quando configurei o servidor eu não fiz do zero. Fiz a partir de um restore de um outro servidor pfsense. O servidor antigo possuía um hardware totalmente diferente e usava proxy sem autenticação.
    Nos meus testes, o novo servidor não pedia autenticação para um site que era liberado apenas para o servidor antigo. Alguma coisa a mais estava no arquivo XML do backup. Foi então que configurei um servidor do zero, mas repeitando as mesmas configurações e regras do servidor que apresentava "erro". Feito isso, o servidor novo passou a autenticar da forma como esperado.

    Uma pena que não solucionou esse problema também: http://forum.pfsense.org/index.php/topic,53829.0.html

    Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!
    Agradeço a todos que comentaram nesse post.

    Att,
    EJALES



  • @ejales:

    Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!

    Não entendi, vc usou autenticação ntlm ou ldap ?



  • @mantunespb:

    @ejales:

    Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!

    Não entendi, vc usou autenticação ntlm ou ldap ?

    To usando o LDAP. É porque me indicaram a usar o ntlm e ainda estou resistindo… :D

    Att,
    EJALES



  • O como é que vc notou que ficou lento ?



  • @mantunespb:

    O como é que vc notou que ficou lento ?

    Na verdade desde o inicío ele apresentava lentidão. Demorava pouco mais de 1 minuto para realizar qualquer primeira autenticação.
    Não era rápido como em outros locais que eu tenho autenticando pelo radius ou uma consulta pelo ldapsearch direto do FW.

    Att,
    EJALES


Log in to reply