[Resolvido] Problema em autenticação Via AD.

rodrigo.lima

Prezados, boa noite.

Utilizo a versão do PFSENSE 2.0.1 (x64) + Windows Server 2008 R2.

Estou tentando implementar o squid+squidguard, porém na hora da autenticação no AD, o mesmo não autentica, fica só rodando a tela até o pop-up de login e senha aparecer novamente. engraçado é que testei esse ambiente em maquinas virtuais e funcionou na boa essa autenticação junto com os bloqueios.

Alguém pode me dar uma luz de como iniciar o troubleshooting dessa aplicação, visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

Abraços a todos.

marcelloc

@rodrigo.lima:

visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.

o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.

E é claro… Seja bem vindo ao fórum! :)

att,
Marcello Coutinho

iskull

Eu recebo essa mensagem usando o script do marcelloc:

Warning: ldap_bind(): Unable to bind to server: Strong(er) authentication required in /root/squiguard_ldap.php on line 57

Ele está tentando usar ldaps?! é isso mesmo?

Eu uso o GLPI sem precisar configurar nada d+

Solução?

iskull

Tenho uma maquina com pfSense 2.0.1 e estou tentando autenticar em maquina Windows 2008 R2 com Microsoft Active Directory.
O AD aceita conexões ldap e ldaps, mas ainda não consegui conectar via ldap, mas consegui via ldaps, gerei a CA na maquina do AD e exportei para o pfSense, porém após um reboot na maquina do pfSense não autenticou mais.

Perguntas:

No pfSense 2.0.1 o padrão de autenticação para ldap é ldaps? se sim, em qual arquivo devo alterar para aceitar ldap?

Para um troubleshoot afim de descobrir a causa da parada de autenticação via ldaps, quais ferramentas vocês me recomendam? (Estou visualizando logs e usando o openssl para realizar conexão usando a CA)

Para alguém já experiente em autenticação ldaps no pfSense, quais são as possíveis causas para que a autenticação ldaps pare?

Muito obrigado!

marcelloc

Voce editou configurações na mão ou so usou a interface gráfica?
Durante o boot você nota alguma mensagem de erro?

iskull

@marcelloc:

Voce editou configurações na mão ou so usou a interface gráfica?
Durante o boot você nota alguma mensagem de erro?

Usei a interface gráfica.

Segue o dmesg:

Copyright (c) 1992-2010 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
	The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 8.1-RELEASE-p6 #0: Mon Dec 12 18:15:35 EST 2011
    root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org:/usr/obj./usr/pfSensesrc/src/sys/pfSense_SMP.8 amd64
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Xeon(R) CPU           E5620  @ 2.40GHz (1244.50-MHz K8-class CPU)
  Origin = "GenuineIntel"  Id = 0x206c2  Family = 6  Model = 2c  Stepping = 2
  Features=0x1f8bfbff <fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>Features2=0x80002001<sse3,cx16,<b31>>
  AMD Features=0x20100800 <syscall,nx,lm>AMD Features2=0x1 <lahf>TSC: P-state invariant
real memory  = 2147483648 (2048 MB)
avail memory = 2050543616 (1955 MB)
ACPI APIC Table: <vrtual microsft="">
FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
FreeBSD/SMP: 1 package(s) x 2 core(s)
 cpu0 (BSP): APIC ID:  0
 cpu1 (AP): APIC ID:  1
ioapic0: Changing APIC ID to 0
ioapic0 <version 1.1=""> irqs 0-23 on motherboard
netisr_init: forcing maxthreads to 1 and bindthreads to 0 for device polling
wlan: mac acl policy registered
ipw_monitor: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
ipw_monitor: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
module_register_init: MOD_LOAD (ipw_monitor_fw, 0xffffffff80470e10, 0) error 1
wpi: You need to read the LICENSE file in /usr/share/doc/legal/intel_wpi/.
wpi: If you agree with the license, set legal.intel_wpi.license_ack=1 in /boot/loader.conf.
module_register_init: MOD_LOAD (wpi_fw, 0xffffffff806548d0, 0) error 1
ipw_bss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
ipw_bss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
module_register_init: MOD_LOAD (ipw_bss_fw, 0xffffffff80470cd0, 0) error 1
ipw_ibss: You need to read the LICENSE file in /usr/share/doc/legal/intel_ipw/.
ipw_ibss: If you agree with the license, set legal.intel_ipw.license_ack=1 in /boot/loader.conf.
module_register_init: MOD_LOAD (ipw_ibss_fw, 0xffffffff80470d70, 0) error 1
kbd1 at kbdmux0
cryptosoft0: <software crypto=""> on motherboard
padlock0: No ACE support.
acpi0: <vrtual microsft=""> on motherboard
acpi0: [ITHREAD]
acpi0: Power Button (fixed)
acpi0: reservation of 0, a0000 (3) failed
acpi0: reservation of 100000, f7f00000 (3) failed
Timecounter "ACPI-safe" frequency 3579545 Hz quality 850
acpi_timer0: <32-bit timer at 3.579545MHz> port 0x408-0x40b on acpi0
cpu0: <acpi cpu=""> on acpi0
cpu1: <acpi cpu=""> on acpi0
pcib0: <acpi host-pci="" bridge=""> port 0xcf8-0xcff on acpi0
pci0: <acpi pci="" bus=""> on pcib0
isab0: <pci-isa bridge=""> at device 7.0 on pci0
isa0: <isa bus=""> on isab0
atapci0: <intel piix4="" udma33="" controller=""> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xffa0-0xffaf at device 7.1 on pci0
ata0: <ata 0="" channel=""> on atapci0
ata0: [ITHREAD]
ata1: <ata 1="" channel=""> on atapci0
ata1: [ITHREAD]
pci0: <bridge> at device 7.3 (no driver attached)
vgapci0: <vga-compatible display=""> mem 0xf8000000-0xfbffffff irq 11 at device 8.0 on pci0
de0: <digital 21140a="" fast="" ethernet=""> port 0xe800-0xe87f mem 0xfebfd000-0xfebfdfff irq 11 at device 10.0 on pci0
de0: 21140A [10-100Mb/s] pass 2.0
de0: WARNING: using obsoleted if_watchdog interface
de0: [ITHREAD]
de1: <digital 21140a="" fast="" ethernet=""> port 0xe880-0xe8ff mem 0xfebfe000-0xfebfefff irq 11 at device 10.1 on pci0
de1: 21140A [10-100Mb/s] pass 2.0
de1: WARNING: using obsoleted if_watchdog interface
de1: [ITHREAD]
de2: <digital 21140a="" fast="" ethernet=""> port 0xec00-0xec7f mem 0xfebff000-0xfebfffff irq 11 at device 10.2 on pci0
de2: 21140A [10-100Mb/s] pass 2.0
de2: WARNING: using obsoleted if_watchdog interface
de2: [ITHREAD]
atrtc0: <at realtime="" clock=""> port 0x70-0x71 irq 8 on acpi0
atkbdc0: <keyboard controller="" (i8042)=""> port 0x60,0x64 irq 1 on acpi0
atkbd0: <at keyboard=""> irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]
atkbd0: [ITHREAD]
psm0: <ps 2="" mouse=""> irq 12 on atkbdc0
psm0: [GIANT-LOCKED]
psm0: [ITHREAD]
psm0: model IntelliMouse Explorer, device ID 4
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart0: [FILTER]
uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
uart1: [FILTER]
fdc0: <floppy drive="" controller="" (fde)=""> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0
fdc0: [FILTER]
fd0: <1440-KB 3.5" drive> on fdc0 drive 0
orm0: <isa option="" roms=""> at iomem 0xc0000-0xcbfff,0xcc000-0xcc7ff,0xcc800-0xccfff,0xcd000-0xcd7ff on isa0
sc0: <system console=""> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
vga0: <generic isa="" vga=""> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
ppc0: cannot reserve I/O port range
Timecounters tick every 10.000 msec
IPsec: Initialized Security Association Processing.
ad0: 20479MB <virtual hd="" 1.1.0=""> at ata0-master WDMA2 
acd0: DVDROM <virtual cd=""> at ata1-master PIO4 
SMP: AP CPU #1 Launched!
Trying to mount root from ufs:/dev/ad0s1a
pflog0: promiscuous mode enabled
calcru: runtime went backwards from 540 usec to 280 usec for pid 34919 (php)
calcru: runtime went backwards from 172953 usec to 169595 usec for pid 34779 (php)
calcru: runtime went backwards from 339 usec to 176 usec for pid 33689 (php)
calcru: runtime went backwards from 536 usec to 279 usec for pid 33354 (php)
calcru: runtime went backwards from 80561 usec to 41892 usec for pid 33266 (php)
calcru: runtime went backwards from 80535 usec to 41879 usec for pid 32385 (php)
calcru: runtime went backwards from 28637 usec to 18227 usec for pid 31948 (lighttpd)
calcru: runtime went backwards from 6839 usec to 3556 usec for pid 28564 (rrdtool)
calcru: runtime went backwards from 2838 usec to 1476 usec for pid 23533 (inetd)
calcru: runtime went backwards from 51375 usec to 26715 usec for pid 22771 (sshlockout_pf)
calcru: runtime went backwards from 1762 usec to 916 usec for pid 22643 (sshd)
calcru: runtime went backwards from 16850 usec to 10662 usec for pid 19076 (syslogd)
calcru: runtime went backwards from 3492 usec to 3400 usec for pid 17664 (logger)
calcru: runtime went backwards from 9046 usec to 5838 usec for pid 17344 (tcpdump)
calcru: runtime went backwards from 243 usec to 126 usec for pid 267 (devd)
calcru: runtime went backwards from 5298899 usec to 2755546 usec for pid 259 (php)
calcru: runtime went backwards from 1024991 usec to 533295 usec for pid 259 (php)
calcru: runtime went backwards from 563 usec to 292 usec for pid 256 (check_reload_status)
calcru: runtime went backwards from 2556 usec to 1807 usec for pid 254 (check_reload_status)
calcru: runtime went backwards from 13297 usec to 7102 usec for pid 39 (md0)
calcru: runtime went backwards from 28371 usec to 14753 usec for pid 24 (sh)
calcru: runtime went backwards from 970357 usec to 504592 usec for pid 24 (sh)
calcru: runtime went backwards from 220 usec to 174 usec for pid 20 (bufdaemon)
calcru: runtime went backwards from 162 usec to 103 usec for pid 16 (pagedaemon)
calcru: runtime went backwards from 31 usec to 16 usec for pid 8 (sctp_iterator)
calcru: runtime went backwards from 6320 usec to 3361 usec for pid 7 (fdc0)
calcru: runtime went backwards from 4014 usec to 3200 usec for pid 14 (yarrow)
calcru: runtime went backwards from 695920 usec to 386167 usec for pid 4 (g_down)
calcru: runtime went backwards from 285085 usec to 183434 usec for pid 3 (g_up)
calcru: runtime went backwards from 23243 usec to 13191 usec for pid 2 (g_event)
calcru: runtime went backwards from 22 usec to 11 usec for pid 13 (ng_queue)
calcru: runtime went backwards from 6669 usec to 3501 usec for pid 1 (init)
calcru: runtime went backwards from 433375 usec to 367108 usec for pid 1 (init)
calcru: runtime went backwards from 3660 usec to 1927 usec for pid 0 (kernel)</virtual></virtual></generic></system></isa></floppy></ps></at></keyboard></at></digital></digital></digital></vga-compatible></bridge></ata></ata></intel></isa></pci-isa></acpi></acpi></acpi></acpi></vrtual></software></version></vrtual></lahf></syscall,nx,lm></sse3,cx16,<b31></fpu,vme,de,pse,tsc,msr,pae,mce,cx8,apic,sep,mtrr,pge,mca,cmov,pat,pse36,clflush,mmx,fxsr,sse,sse2,ss,htt>

Alguma ideia?

marcelloc

@iskull:

Alguma ideia?

Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.

iskull

@marcelloc:

@iskull:

Alguma ideia?

Se eu não estiver lendo errado, parece que voce está tendo problemas de sincronia de hora na maquina(ultimas linhas do dmesg), o que definitivamente atrapalha a comunicação com o ad.

Putz, como não vi isso  :-
Atualizei para "a.ntp.br", após isso consegui realizar a conexão e trazer os containers em "System: Authentication Servers", porém não consigui autenticar em "Diagnostics: Authentication", recebo a seguinte mensagem:

Warning: ldap_bind(): Unable to bind to server: Can't contact LDAP server in /etc/inc/auth.inc on line 1021

E o pior, depois de algum tempo ele parou e já não trazia os containers, ideias?

Quais servidores ntp vocês utilizam?

marcelloc

@iskull:

Quais servidores ntp vocês utilizam?

Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.

iskull

@marcelloc:

@iskull:

Quais servidores ntp vocês utilizam?

Use o ad como servidor ntp, é a melhor forma de evitar problemas de sincronia.

Coloquei o ad como servidor ntp, mas mesmo assim não consegui conectar no AD novamente :(

Tô apanhando feio, alguma ideia(s)?

Obrigado!

rodrigo.lima

Marcelo,

segue o log com o erro de autenticação:

squid_ldap_auth: WARNING, LDAP search error 'operations error'

Ja viu esse erro?

hezzeh

@rodrigo.lima:

Marcelo,

segue o log com o erro de autenticação:

squid_ldap_auth: WARNING, LDAP search error 'operations error'

Ja viu esse erro?

Bom dia.
Estava com esse problema até agora a pouco, o Log do Cache do Squid exibia essa mensagem.
Resolvi adicionando o parâmetro "-R" no campo "LDAP base domain" (depois de muitos e muitos testes).
A princípio resolveu.

iskull

Eu ainda não consegui resolver o problema com o sync do tempo :(
Bem, pesquisando no fórum e em outros sites achados graças ao google, notei que esse é um problema comum no pfsense quando está sendo executando no Hyper-V, tentei essas soluções:

http://xtravirt.com/disabling-virtual-machine-guest-host-time-synchronization-multiple-hypervisors
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#calcru-negative-runtime
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/troubleshoot.html#COMPUTER-CLOCK-SKEW

Mas sem nenhum sucesso ainda, alguém já passou por isso?

Detalhes: Windows 2008 R2 - Hyper-V

Obrigado!

rodrigo.lima

@marcelloc:

@rodrigo.lima:

visto que no pfsense não ha logs de bloqueio no pacote squid e nem no squidguard.

Como não??? vai na console e acesse os mesmos arquivos de log de qualquer distribuição unix/linux.

o cache.log pode ser o mais indicado para identificar problemas de autenticadores no squid.

E é claro… Seja bem vindo ao fórum! :)

att,
Marcello Coutinho

Marcelo,

Consegui resolver o problema colocando o meu AD como servidor NTP.

Se necessário, pode colocar o tópico como resolvido, pois não achei a opção de marcar o topico como resolvido.

Muito obrigado pela ajuda.

[]'s.