Login Pfsense GUI autenticando Openldap.



  • bom dia.
    Galera estou tentando fazer o pfsense utilizar a minha base openldap para não precisar ficar cadastrando usuarios nele para administra-lo.
    Pois bem Fui em System: Authentication Servers configurei porem o mesmo não funciona.
    Quando mando testar da erro.
    Olhando os logs gerados pelo pfsense vejo o seguinte erro.
    Oct 26 09:10:34 php: /system_usermanager_settings_test.php: ERROR! ldap_get_groups() could not bind to server lobeira.
    Oct 26 09:10:34 php: /system_usermanager_settings_test.php: ERROR! ldap_get_user_ous() could not bind to server lobeira.
    Oct 26 09:12:48 php: /system_authservers.php: ERROR! ldap_get_groups() could not bind to server lobeira.
    Oct 26 09:13:48 php: /diag_logs.php: ERROR! ldap_get_groups() could not bind to server lobeira.

    Em anexo o print screen da configuração que estou relizando.
    Estrutura da minha base ldap esta desta forma.
    +–> dc=agrovale,dc=com,dc=br (14)
    +--> ou=Computadores (50+)
    +--> ou=Grupos (25)
    ---> ou=Idmap
    +--> ou=Usuarios (50+)




  • bom dia.
    Galera com ajuda de um amigo Welington consegui fazer a parte da autenticação funcionar.
    O Pfsense consegue testar o usuario.
    Pois bem agora vem o segundo problema.
    Quando tento logar pela interface GUI utilizando um usuario que esta na base openldap recebo a seguinte mensagem:
    No page assigned to this user! Click here to logout."

    Alguem sabe como solucionar.
    Agradeço



  • gilmarcabral,

    Por acaso você atribuiu permissões aos respectivos usuários? Não importa de onde vem a base de usuários, você precisa definir "quem pode o que…" no pfSense!

    Abraços!
    Jack



  • Boa tarde.
    Obrigado pela informação.
    Mas tipo assim onde eu faço este tipo de permissão ao o usuário que vem do Openldap.
    Agradeço



  • @gilmarcabral:

    Mas tipo assim onde eu faço este tipo de permissão ao o usuário que vem do Openldap.

    Se você já conseguiu ler a base, já deve ser capaz de acrescentar e editar os usuários (conforme tela em anexo).

    Veja que durante este processo, você pode escolher os 'privilégios' de cada usuário (isso que fará com que o usuário consiga fazer algo além de login no pfSense).

    Abraços!
    Jack




  • Obrigado.
    Esta seu print ta um pouco diferente do meu.
    Estou lhe encaminhado o print screen da configuração e da mesma parte quando tento criar o usuário.
    A minha esta diferente.



  • Veja que eu estou na aba "Users".

    É aí que você insere e configura permissões dos usuários do sistema.

    Nota: Se você coloca os usuários no grupo "admins", não tem porque configurar os privilégios. Por isso a tela não apresenta esta opção pra você.

    Nota2: Você pode atachar várias imagens num  mesmo post (não precisa gerar posts separados para cada imagem) ;)

    Abraços!
    Jack



  • No ultimo print estou na aba users também.
    Acho que estou enganado, mas mesmo autenticando em openldap tenho que criar o usuario aki na aba users e colocar no grupo admim?
    E isso que não entendi, pois não consegui ver o a interface GUI trazer esta lista de usuários do ldap.
    Agradeço novamente.



  • Bom dia.
    Pelo que notei o problema esta relacionado que o pfsense esta localizando o usuário porem o grupo não esta sendo localizado.
    Fiz o teste criando o Grupo ADMIN no User Group do PFSENSE e pedi para realizar o teste obtive a resposta abaixo.
    Pelo que entendi ele autenticou o usuário mas não localizou o grupo

    User: messenger authenticated successfully.
    This user is a member of these groups:



  • gilmarcabral,

    Honestamente nunca usei uma base pré-concebida de usuários LDAP e afins, para cadastrar usuários administrativos no pfSense. De todo modo, seguindo a lógica (que é empregada em outros pacotes, como Squid, VPN PPTP, etc…), você precisa relacionar manualmente os usuários (quem pode o que) depois de ler a base.

    Portanto, eu começaria incluindo os usuários (mesma grafia) da base LDAP na aba Users...

    Faça um teste e reporte aqui!

    Abraços!
    Jack



  • Deixa eu ver se entendi.
    Na aba Users eu teria que criar o usuário e senha mesma que esta cadastrado na base openldap?
    Agradeço


Log in to reply