[Resolvido] Problema em autenticação Via AD.



  • Prezados, boa noite.

    Utilizo a versão do PFSENSE 2.0.1 (x64) + Windows Server 2008 R2.

    Estou tentando implementar o squid+squidguard, porém na hora da autenticação no AD, o mesmo não autentica, fica só rodando a tela até o pop-up de login e senha aparecer novamente. engraçado é que testei esse ambiente em maquinas virtuais e funcionou na boa essa autenticação junto com os bloqueios.

    Alguém pode me dar uma luz de como iniciar o troubleshooting dessa aplicação, visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

    Abraços a todos.



  • @rodrigo.lima:

    visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

    Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.

    o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.

    E é claro… Seja bem vindo ao fórum! :)

    att,
    Marcello Coutinho



  • Eu recebo essa mensagem usando o script do marcelloc:

    Warning: ldap_bind(): Unable to bind to server: Strong(er) authentication required in /root/squiguard_ldap.php on line 57
    

    Ele está tentando usar ldaps?! é isso mesmo?

    Eu uso o GLPI sem precisar configurar nada d+

    Solução?



  • Tenho uma maquina com pfSense 2.0.1 e estou tentando autenticar em maquina Windows 2008 R2 com Microsoft Active Directory.
    O AD aceita conexões ldap e ldaps, mas ainda não consegui conectar via ldap, mas consegui via ldaps, gerei a CA na maquina do AD e exportei para o pfSense, porém após um reboot na maquina do pfSense não autenticou mais.

    Perguntas:

    No pfSense 2.0.1 o padrão de autenticação para ldap é ldaps? se sim, em qual arquivo devo alterar para aceitar ldap?

    Para um troubleshoot afim de descobrir a causa da parada de autenticação via ldaps, quais ferramentas vocês me recomendam? (Estou visualizando logs e usando o openssl para realizar conexão usando a CA)

    Para alguém já experiente em autenticação ldaps no pfSense, quais são as possíveis causas para que a autenticação ldaps pare?

    Muito obrigado!



  • Voce editou configurações na mão ou so usou a interface gráfica?
    Durante o boot você nota alguma mensagem de erro?



  • @marcelloc:

    Voce editou configurações na mão ou so usou a interface gráfica?
    Durante o boot você nota alguma mensagem de erro?

    Usei a interface gráfica.

    Segue o dmesg:

    Copyright (c) 1992-2010 The FreeBSD Project.
    Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
    	The Regents of the University of California. All rights reserved.
    FreeBSD is a registered trademark of The FreeBSD Foundation.
    FreeBSD 8.1-RELEASE-p6 #0: Mon Dec 12 18:15:35 EST 2011
        root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org:/usr/obj./usr/pfSensesrc/src/sys/pfSense_SMP.8 amd64
    Timecounter "i8254" frequency 1193182 Hz quality 0
    CPU: Intel(R) Xeon(R) CPU           E5620  @ 2.40GHz (1244.50-MHz K8-class CPU)
      Origin = "GenuineIntel"  Id = 0x206c2  Family = 6  Model = 2c  Stepping = 2
      Features=0x1f8bfbff <fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>Features2=0x80002001<sse3,cx16,<b31>>
      AMD Features=0x20100800 <syscall,nx,lm>AMD Features2=0x1 <lahf>TSC: P-state invariant
    real memory  = 2147483648 (2048 MB)
    avail memory = 2050543616 (1955 MB)
    ACPI APIC Table: <vrtual microsft="">
    FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
    FreeBSD/SMP: 1 package(s) x 2 core(s)
     cpu0 (BSP): APIC ID:  0
     cpu1 (AP): APIC ID:  1
    ioapic0: Changing APIC ID to 0
    ioapic0 <version 1.1=""> irqs 0-23 on motherboard
    netisr_init: forcing maxthreads to 1 and bindthreads to 0 for device polling
    wlan: mac acl policy registered
    ipw_monitor: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
    ipw_monitor: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
    module_register_init: MOD_LOAD (ipw_monitor_fw, 0xffffffff80470e10, 0) error 1
    wpi: You need to read the LICENSE file in /usr/share/doc/legal/intel_wpi/.
    wpi: If you agree with the license, set legal.intel_wpi.license_ack=1 in /boot/loader.conf.
    module_register_init: MOD_LOAD (wpi_fw, 0xffffffff806548d0, 0) error 1
    ipw_bss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
    ipw_bss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
    module_register_init: MOD_LOAD (ipw_bss_fw, 0xffffffff80470cd0, 0) error 1
    ipw_ibss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
    ipw_ibss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
    module_register_init: MOD_LOAD (ipw_ibss_fw, 0xffffffff80470d70, 0) error 1
    kbd1 at kbdmux0
    cryptosoft0: <software crypto=""> on motherboard
    padlock0: No ACE support.
    acpi0: <vrtual microsft=""> on motherboard
    acpi0: [ITHREAD]
    acpi0: Power Button (fixed)
    acpi0: reservation of 0, a0000 (3) failed
    acpi0: reservation of 100000, f7f00000 (3) failed
    Timecounter "ACPI-safe" frequency 3579545 Hz quality 850
    acpi_timer0: <32-bit timer at 3.579545MHz> port 0x408-0x40b on acpi0
    cpu0: <acpi cpu=""> on acpi0
    cpu1: <acpi cpu=""> on acpi0
    pcib0: <acpi host-pci="" bridge=""> port 0xcf8-0xcff on acpi0
    pci0: <acpi pci="" bus=""> on pcib0
    isab0: <pci-isa bridge=""> at device 7.0 on pci0
    isa0: <isa bus=""> on isab0
    atapci0: <intel piix4="" udma33="" controller=""> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xffa0-0xffaf at device 7.1 on pci0
    ata0: <ata 0="" channel=""> on atapci0
    ata0: [ITHREAD]
    ata1: <ata 1="" channel=""> on atapci0
    ata1: [ITHREAD]
    pci0: <bridge> at device 7.3 (no driver attached)
    vgapci0: <vga-compatible display=""> mem 0xf8000000-0xfbffffff irq 11 at device 8.0 on pci0
    de0: <digital 21140a="" fast="" ethernet=""> port 0xe800-0xe87f mem 0xfebfd000-0xfebfdfff irq 11 at device 10.0 on pci0
    de0: 21140A [10-100Mb/s] pass 2.0
    de0: WARNING: using obsoleted if_watchdog interface
    de0: [ITHREAD]
    de1: <digital 21140a="" fast="" ethernet=""> port 0xe880-0xe8ff mem 0xfebfe000-0xfebfefff irq 11 at device 10.1 on pci0
    de1: 21140A [10-100Mb/s] pass 2.0
    de1: WARNING: using obsoleted if_watchdog interface
    de1: [ITHREAD]
    de2: <digital 21140a="" fast="" ethernet=""> port 0xec00-0xec7f mem 0xfebff000-0xfebfffff irq 11 at device 10.2 on pci0
    de2: 21140A [10-100Mb/s] pass 2.0
    de2: WARNING: using obsoleted if_watchdog interface
    de2: [ITHREAD]
    atrtc0: <at realtime="" clock=""> port 0x70-0x71 irq 8 on acpi0
    atkbdc0: <keyboard controller="" (i8042)=""> port 0x60,0x64 irq 1 on acpi0
    atkbd0: <at keyboard=""> irq 1 on atkbdc0
    kbd0 at atkbd0
    atkbd0: [GIANT-LOCKED]
    atkbd0: [ITHREAD]
    psm0: <ps 2="" mouse=""> irq 12 on atkbdc0
    psm0: [GIANT-LOCKED]
    psm0: [ITHREAD]
    psm0: model IntelliMouse Explorer, device ID 4
    uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
    uart0: [FILTER]
    uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
    uart1: [FILTER]
    fdc0: <floppy drive="" controller="" (fde)=""> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0
    fdc0: [FILTER]
    fd0: <1440-KB 3.5" drive> on fdc0 drive 0
    orm0: <isa option="" roms=""> at iomem 0xc0000-0xcbfff,0xcc000-0xcc7ff,0xcc800-0xccfff,0xcd000-0xcd7ff on isa0
    sc0: <system console=""> at flags 0x100 on isa0
    sc0: VGA <16 virtual consoles, flags=0x300>
    vga0: <generic isa="" vga=""> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
    ppc0: cannot reserve I/O port range
    Timecounters tick every 10.000 msec
    IPsec: Initialized Security Association Processing.
    ad0: 20479MB <virtual hd="" 1.1.0=""> at ata0-master WDMA2 
    acd0: DVDROM <virtual cd=""> at ata1-master PIO4 
    SMP: AP CPU #1 Launched!
    Trying to mount root from ufs:/dev/ad0s1a
    pflog0: promiscuous mode enabled
    calcru: runtime went backwards from 540 usec to 280 usec for pid 34919 (php)
    calcru: runtime went backwards from 172953 usec to 169595 usec for pid 34779 (php)
    calcru: runtime went backwards from 339 usec to 176 usec for pid 33689 (php)
    calcru: runtime went backwards from 536 usec to 279 usec for pid 33354 (php)
    calcru: runtime went backwards from 80561 usec to 41892 usec for pid 33266 (php)
    calcru: runtime went backwards from 80535 usec to 41879 usec for pid 32385 (php)
    calcru: runtime went backwards from 28637 usec to 18227 usec for pid 31948 (lighttpd)
    calcru: runtime went backwards from 6839 usec to 3556 usec for pid 28564 (rrdtool)
    calcru: runtime went backwards from 2838 usec to 1476 usec for pid 23533 (inetd)
    calcru: runtime went backwards from 51375 usec to 26715 usec for pid 22771 (sshlockout_pf)
    calcru: runtime went backwards from 1762 usec to 916 usec for pid 22643 (sshd)
    calcru: runtime went backwards from 16850 usec to 10662 usec for pid 19076 (syslogd)
    calcru: runtime went backwards from 3492 usec to 3400 usec for pid 17664 (logger)
    calcru: runtime went backwards from 9046 usec to 5838 usec for pid 17344 (tcpdump)
    calcru: runtime went backwards from 243 usec to 126 usec for pid 267 (devd)
    calcru: runtime went backwards from 5298899 usec to 2755546 usec for pid 259 (php)
    calcru: runtime went backwards from 1024991 usec to 533295 usec for pid 259 (php)
    calcru: runtime went backwards from 563 usec to 292 usec for pid 256 (check_reload_status)
    calcru: runtime went backwards from 2556 usec to 1807 usec for pid 254 (check_reload_status)
    calcru: runtime went backwards from 13297 usec to 7102 usec for pid 39 (md0)
    calcru: runtime went backwards from 28371 usec to 14753 usec for pid 24 (sh)
    calcru: runtime went backwards from 970357 usec to 504592 usec for pid 24 (sh)
    calcru: runtime went backwards from 220 usec to 174 usec for pid 20 (bufdaemon)
    calcru: runtime went backwards from 162 usec to 103 usec for pid 16 (pagedaemon)
    calcru: runtime went backwards from 31 usec to 16 usec for pid 8 (sctp_iterator)
    calcru: runtime went backwards from 6320 usec to 3361 usec for pid 7 (fdc0)
    calcru: runtime went backwards from 4014 usec to 3200 usec for pid 14 (yarrow)
    calcru: runtime went backwards from 695920 usec to 386167 usec for pid 4 (g_down)
    calcru: runtime went backwards from 285085 usec to 183434 usec for pid 3 (g_up)
    calcru: runtime went backwards from 23243 usec to 13191 usec for pid 2 (g_event)
    calcru: runtime went backwards from 22 usec to 11 usec for pid 13 (ng_queue)
    calcru: runtime went backwards from 6669 usec to 3501 usec for pid 1 (init)
    calcru: runtime went backwards from 433375 usec to 367108 usec for pid 1 (init)
    calcru: runtime went backwards from 3660 usec to 1927 usec for pid 0 (kernel)</virtual></virtual></generic></system></isa></floppy></ps></at></keyboard></at></digital></digital></digital></vga-compatible></bridge></ata></ata></intel></isa></pci-isa></acpi></acpi></acpi></acpi></vrtual></software></version></vrtual></lahf></syscall,nx,lm></sse3,cx16,<b31></fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>
    

    Alguma ideia?



  • @iskull:

    Alguma ideia?

    Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.



  • @marcelloc:

    @iskull:

    Alguma ideia?

    Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.

    Putz, como não vi isso  :-
    Atualizei para "a.ntp.br", após isso consegui realizar a conexão e trazer os containers em "System: Authentication Servers", porém não consigui autenticar em "Diagnostics: Authentication", recebo a seguinte mensagem:

    Warning: ldap_bind(): Unable to bind to server: Can't contact LDAP server in /etc/inc/auth.inc on line 1021
    

    E o pior, depois de algum tempo ele parou e já não trazia os containers, ideias?

    Quais servidores ntp vocês utilizam?



  • @iskull:

    Quais servidores ntp vocês utilizam?

    Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.



  • @marcelloc:

    @iskull:

    Quais servidores ntp vocês utilizam?

    Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.

    Coloquei o ad como servidor ntp, mas mesmo assim não consegui conectar no AD novamente :(

    Tô apanhando feio, alguma ideia(s)?

    Obrigado!



  • Marcelo,

    segue o log com o erro de autenticação:

    squid_ldap_auth: WARNING, LDAP search error 'operations error'

    Ja viu esse erro?



  • @rodrigo.lima:

    Marcelo,

    segue o log com o erro de autenticação:

    squid_ldap_auth: WARNING, LDAP search error 'operations error'

    Ja viu esse erro?

    Bom dia.
    Estava com esse problema até agora a pouco, o Log do Cache do Squid exibia essa mensagem.
    Resolvi adicionando o parâmetro "-R" no campo "LDAP base domain" (depois de muitos e muitos testes).
    A princípio resolveu.



  • Eu ainda não consegui resolver o problema com o sync do tempo :(
    Bem, pesquisando no fórum e em outros sites achados graças ao google, notei que esse é um problema comum no pfsense quando está sendo executando no Hyper-V, tentei essas soluções:

    http://xtravirt.com/disabling-virtual-machine-guest-host-time-synchronization-multiple-hypervisors
    http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#calcru-negative-runtime
    http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#COMPUTER-CLOCK-SKEW

    Mas sem nenhum sucesso ainda, alguém já passou por isso?

    Detalhes: Windows 2008 R2 - Hyper-V

    Obrigado!



  • @marcelloc:

    @rodrigo.lima:

    visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

    Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.

    o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.

    E é claro… Seja bem vindo ao fórum! :)

    att,
    Marcello Coutinho

    Marcelo,

    Consegui resolver o problema colocando o meu AD como servidor NTP.

    Se necessário, pode colocar o tópico como resolvido, pois não achei a opção de marcar o topico como resolvido.

    Muito obrigado pela ajuda.

    []'s.


Log in to reply