[Resolvido] Problema em autenticação Via AD.
-
Prezados, boa noite.
Utilizo a versão do PFSENSE 2.0.1 (x64) + Windows Server 2008 R2.
Estou tentando implementar o squid+squidguard, porém na hora da autenticação no AD, o mesmo não autentica, fica só rodando a tela até o pop-up de login e senha aparecer novamente. engraçado é que testei esse ambiente em maquinas virtuais e funcionou na boa essa autenticação junto com os bloqueios.
Alguém pode me dar uma luz de como iniciar o troubleshooting dessa aplicação, visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.
Abraços a todos.
-
visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.
Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.
o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.
E é claro… Seja bem vindo ao fórum! :)
att,
Marcello Coutinho -
Eu recebo essa mensagem usando o script do marcelloc:
Warning: ldap_bind(): Unable to bind to server: Strong(er) authentication required in /root/squiguard_ldap.php on line 57
Ele está tentando usar ldaps?! é isso mesmo?
Eu uso o GLPI sem precisar configurar nada d+
Solução?
-
Tenho uma maquina com pfSense 2.0.1 e estou tentando autenticar em maquina Windows 2008 R2 com Microsoft Active Directory.
O AD aceita conexões ldap e ldaps, mas ainda não consegui conectar via ldap, mas consegui via ldaps, gerei a CA na maquina do AD e exportei para o pfSense, porém após um reboot na maquina do pfSense não autenticou mais.Perguntas:
No pfSense 2.0.1 o padrão de autenticação para ldap é ldaps? se sim, em qual arquivo devo alterar para aceitar ldap?
Para um troubleshoot afim de descobrir a causa da parada de autenticação via ldaps, quais ferramentas vocês me recomendam? (Estou visualizando logs e usando o openssl para realizar conexão usando a CA)
Para alguém já experiente em autenticação ldaps no pfSense, quais são as possíveis causas para que a autenticação ldaps pare?
Muito obrigado!
-
Voce editou configurações na mão ou so usou a interface gráfica?
Durante o boot você nota alguma mensagem de erro? -
Voce editou configurações na mão ou so usou a interface gráfica?
Durante o boot você nota alguma mensagem de erro?Usei a interface gráfica.
Segue o dmesg:
Copyright (c) 1992-2010 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD is a registered trademark of The FreeBSD Foundation. FreeBSD 8.1-RELEASE-p6 #0: Mon Dec 12 18:15:35 EST 2011 root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org:/usr/obj./usr/pfSensesrc/src/sys/pfSense_SMP.8 amd64 Timecounter "i8254" frequency 1193182 Hz quality 0 CPU: Intel(R) Xeon(R) CPU E5620 @ 2.40GHz (1244.50-MHz K8-class CPU) Origin = "GenuineIntel" Id = 0x206c2 Family = 6 Model = 2c Stepping = 2 Features=0x1f8bfbff <fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>Features2=0x80002001<sse3,cx16,<b31>> AMD Features=0x20100800 <syscall,nx,lm>AMD Features2=0x1 <lahf>TSC: P-state invariant real memory = 2147483648 (2048 MB) avail memory = 2050543616 (1955 MB) ACPI APIC Table: <vrtual microsft=""> FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs FreeBSD/SMP: 1 package(s) x 2 core(s) cpu0 (BSP): APIC ID: 0 cpu1 (AP): APIC ID: 1 ioapic0: Changing APIC ID to 0 ioapic0 <version 1.1=""> irqs 0-23 on motherboard netisr_init: forcing maxthreads to 1 and bindthreads to 0 for device polling wlan: mac acl policy registered ipw_monitor: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/. ipw_monitor: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf. module_register_init: MOD_LOAD (ipw_monitor_fw, 0xffffffff80470e10, 0) error 1 wpi: You need to read the LICENSE file in /usr/share/doc/legal/intel_wpi/. wpi: If you agree with the license, set legal.intel_wpi.license_ack=1 in /boot/loader.conf. module_register_init: MOD_LOAD (wpi_fw, 0xffffffff806548d0, 0) error 1 ipw_bss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/. ipw_bss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf. module_register_init: MOD_LOAD (ipw_bss_fw, 0xffffffff80470cd0, 0) error 1 ipw_ibss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/. ipw_ibss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf. module_register_init: MOD_LOAD (ipw_ibss_fw, 0xffffffff80470d70, 0) error 1 kbd1 at kbdmux0 cryptosoft0: <software crypto=""> on motherboard padlock0: No ACE support. acpi0: <vrtual microsft=""> on motherboard acpi0: [ITHREAD] acpi0: Power Button (fixed) acpi0: reservation of 0, a0000 (3) failed acpi0: reservation of 100000, f7f00000 (3) failed Timecounter "ACPI-safe" frequency 3579545 Hz quality 850 acpi_timer0: <32-bit timer at 3.579545MHz> port 0x408-0x40b on acpi0 cpu0: <acpi cpu=""> on acpi0 cpu1: <acpi cpu=""> on acpi0 pcib0: <acpi host-pci="" bridge=""> port 0xcf8-0xcff on acpi0 pci0: <acpi pci="" bus=""> on pcib0 isab0: <pci-isa bridge=""> at device 7.0 on pci0 isa0: <isa bus=""> on isab0 atapci0: <intel piix4="" udma33="" controller=""> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xffa0-0xffaf at device 7.1 on pci0 ata0: <ata 0="" channel=""> on atapci0 ata0: [ITHREAD] ata1: <ata 1="" channel=""> on atapci0 ata1: [ITHREAD] pci0: <bridge> at device 7.3 (no driver attached) vgapci0: <vga-compatible display=""> mem 0xf8000000-0xfbffffff irq 11 at device 8.0 on pci0 de0: <digital 21140a="" fast="" ethernet=""> port 0xe800-0xe87f mem 0xfebfd000-0xfebfdfff irq 11 at device 10.0 on pci0 de0: 21140A [10-100Mb/s] pass 2.0 de0: WARNING: using obsoleted if_watchdog interface de0: [ITHREAD] de1: <digital 21140a="" fast="" ethernet=""> port 0xe880-0xe8ff mem 0xfebfe000-0xfebfefff irq 11 at device 10.1 on pci0 de1: 21140A [10-100Mb/s] pass 2.0 de1: WARNING: using obsoleted if_watchdog interface de1: [ITHREAD] de2: <digital 21140a="" fast="" ethernet=""> port 0xec00-0xec7f mem 0xfebff000-0xfebfffff irq 11 at device 10.2 on pci0 de2: 21140A [10-100Mb/s] pass 2.0 de2: WARNING: using obsoleted if_watchdog interface de2: [ITHREAD] atrtc0: <at realtime="" clock=""> port 0x70-0x71 irq 8 on acpi0 atkbdc0: <keyboard controller="" (i8042)=""> port 0x60,0x64 irq 1 on acpi0 atkbd0: <at keyboard=""> irq 1 on atkbdc0 kbd0 at atkbd0 atkbd0: [GIANT-LOCKED] atkbd0: [ITHREAD] psm0: <ps 2="" mouse=""> irq 12 on atkbdc0 psm0: [GIANT-LOCKED] psm0: [ITHREAD] psm0: model IntelliMouse Explorer, device ID 4 uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0 uart0: [FILTER] uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0 uart1: [FILTER] fdc0: <floppy drive="" controller="" (fde)=""> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0 fdc0: [FILTER] fd0: <1440-KB 3.5" drive> on fdc0 drive 0 orm0: <isa option="" roms=""> at iomem 0xc0000-0xcbfff,0xcc000-0xcc7ff,0xcc800-0xccfff,0xcd000-0xcd7ff on isa0 sc0: <system console=""> at flags 0x100 on isa0 sc0: VGA <16 virtual consoles, flags=0x300> vga0: <generic isa="" vga=""> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0 ppc0: cannot reserve I/O port range Timecounters tick every 10.000 msec IPsec: Initialized Security Association Processing. ad0: 20479MB <virtual hd="" 1.1.0=""> at ata0-master WDMA2 acd0: DVDROM <virtual cd=""> at ata1-master PIO4 SMP: AP CPU #1 Launched! Trying to mount root from ufs:/dev/ad0s1a pflog0: promiscuous mode enabled calcru: runtime went backwards from 540 usec to 280 usec for pid 34919 (php) calcru: runtime went backwards from 172953 usec to 169595 usec for pid 34779 (php) calcru: runtime went backwards from 339 usec to 176 usec for pid 33689 (php) calcru: runtime went backwards from 536 usec to 279 usec for pid 33354 (php) calcru: runtime went backwards from 80561 usec to 41892 usec for pid 33266 (php) calcru: runtime went backwards from 80535 usec to 41879 usec for pid 32385 (php) calcru: runtime went backwards from 28637 usec to 18227 usec for pid 31948 (lighttpd) calcru: runtime went backwards from 6839 usec to 3556 usec for pid 28564 (rrdtool) calcru: runtime went backwards from 2838 usec to 1476 usec for pid 23533 (inetd) calcru: runtime went backwards from 51375 usec to 26715 usec for pid 22771 (sshlockout_pf) calcru: runtime went backwards from 1762 usec to 916 usec for pid 22643 (sshd) calcru: runtime went backwards from 16850 usec to 10662 usec for pid 19076 (syslogd) calcru: runtime went backwards from 3492 usec to 3400 usec for pid 17664 (logger) calcru: runtime went backwards from 9046 usec to 5838 usec for pid 17344 (tcpdump) calcru: runtime went backwards from 243 usec to 126 usec for pid 267 (devd) calcru: runtime went backwards from 5298899 usec to 2755546 usec for pid 259 (php) calcru: runtime went backwards from 1024991 usec to 533295 usec for pid 259 (php) calcru: runtime went backwards from 563 usec to 292 usec for pid 256 (check_reload_status) calcru: runtime went backwards from 2556 usec to 1807 usec for pid 254 (check_reload_status) calcru: runtime went backwards from 13297 usec to 7102 usec for pid 39 (md0) calcru: runtime went backwards from 28371 usec to 14753 usec for pid 24 (sh) calcru: runtime went backwards from 970357 usec to 504592 usec for pid 24 (sh) calcru: runtime went backwards from 220 usec to 174 usec for pid 20 (bufdaemon) calcru: runtime went backwards from 162 usec to 103 usec for pid 16 (pagedaemon) calcru: runtime went backwards from 31 usec to 16 usec for pid 8 (sctp_iterator) calcru: runtime went backwards from 6320 usec to 3361 usec for pid 7 (fdc0) calcru: runtime went backwards from 4014 usec to 3200 usec for pid 14 (yarrow) calcru: runtime went backwards from 695920 usec to 386167 usec for pid 4 (g_down) calcru: runtime went backwards from 285085 usec to 183434 usec for pid 3 (g_up) calcru: runtime went backwards from 23243 usec to 13191 usec for pid 2 (g_event) calcru: runtime went backwards from 22 usec to 11 usec for pid 13 (ng_queue) calcru: runtime went backwards from 6669 usec to 3501 usec for pid 1 (init) calcru: runtime went backwards from 433375 usec to 367108 usec for pid 1 (init) calcru: runtime went backwards from 3660 usec to 1927 usec for pid 0 (kernel)</virtual></virtual></generic></system></isa></floppy></ps></at></keyboard></at></digital></digital></digital></vga-compatible></bridge></ata></ata></intel></isa></pci-isa></acpi></acpi></acpi></acpi></vrtual></software></version></vrtual></lahf></syscall,nx,lm></sse3,cx16,<b31></fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>
Alguma ideia?
-
Alguma ideia?
Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.
-
Alguma ideia?
Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.
Putz, como não vi isso :-
Atualizei para "a.ntp.br", após isso consegui realizar a conexão e trazer os containers em "System: Authentication Servers", porém não consigui autenticar em "Diagnostics: Authentication", recebo a seguinte mensagem:Warning: ldap_bind(): Unable to bind to server: Can't contact LDAP server in /etc/inc/auth.inc on line 1021
E o pior, depois de algum tempo ele parou e já não trazia os containers, ideias?
Quais servidores ntp vocês utilizam?
-
Quais servidores ntp vocês utilizam?
Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.
-
Quais servidores ntp vocês utilizam?
Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.
Coloquei o ad como servidor ntp, mas mesmo assim não consegui conectar no AD novamente :(
Tô apanhando feio, alguma ideia(s)?
Obrigado!
-
Marcelo,
segue o log com o erro de autenticação:
squid_ldap_auth: WARNING, LDAP search error 'operations error'
Ja viu esse erro?
-
Marcelo,
segue o log com o erro de autenticação:
squid_ldap_auth: WARNING, LDAP search error 'operations error'
Ja viu esse erro?
Bom dia.
Estava com esse problema até agora a pouco, o Log do Cache do Squid exibia essa mensagem.
Resolvi adicionando o parâmetro "-R" no campo "LDAP base domain" (depois de muitos e muitos testes).
A princípio resolveu. -
Eu ainda não consegui resolver o problema com o sync do tempo :(
Bem, pesquisando no fórum e em outros sites achados graças ao google, notei que esse é um problema comum no pfsense quando está sendo executando no Hyper-V, tentei essas soluções:http://xtravirt.com/disabling-virtual-machine-guest-host-time-synchronization-multiple-hypervisors
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#calcru-negative-runtime
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#COMPUTER-CLOCK-SKEWMas sem nenhum sucesso ainda, alguém já passou por isso?
Detalhes: Windows 2008 R2 - Hyper-V
Obrigado!
-
visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.
Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.
o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.
E é claro… Seja bem vindo ao fórum! :)
att,
Marcello CoutinhoMarcelo,
Consegui resolver o problema colocando o meu AD como servidor NTP.
Se necessário, pode colocar o tópico como resolvido, pois não achei a opção de marcar o topico como resolvido.
Muito obrigado pela ajuda.
[]'s.