[MERGED] SquidGuard + Ldap (AD) (Patch - Updated)
-
Então galera, fiz uma atualização no meu patch para filtragem por ldap usando o parâmetro ldapsearch, dessa vez fiz uma serie de modificações, agora o squidguard pode também filtrar quando o usuário vem de uma autenticação ntlm (Já tenho o samba4 integrado no pfsense, ou seja, um pfsense servindo Active Directory !!! to preparando o pacote, por enquanto, se quiser mais informações sobre o pfsense como AD, entre em contato em pvt).
Vamos lá, como implementar:
1. Instale os pacotes do squid2 e do squidguard, configure a autenticação via LDAP ou AD (tem vários tutoriais aqui)
2. Faça o download do script de atualização e patch do squidguard:
Vá em Diagnostics > command prompt e cole a linha abaixo:
amd64
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap.sh | shi386
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | shJunto vai ser atualizado o pacote do squidguard com uma implementação para conexões oriundas de autenticação por ntlm, originalmente o squidguard se perdia com uma string "DOMINIO\usuario", nessa versão isso é implementado através de 2 opções listadas abaixo
Assim que executar, vai aparecer as opções abaixo na configuração do squidguard:
3. Configure as opções LDAP:
- Configure o seu Ldap DN e senha (igual ao do squid)
- Senha (Veja que não pode começar com números)
- Se você estiver utilizando ntlm, marque a opção "Strip NT domain name"
4. Crie uma ACL (Group Source) usando uma sintaxe LDAP, o exemplo abaixo vai verificar se o usuário esta no grupo "internet" do AD:
Se tiver dúvidas e precisar de consultoria na implementação dessas opções e se precisar implementar um servidor de Active Directory no pfsense (ou na sua rede), entre em contato (em PVT) comigo. (gugabsd@mundounix.com.br)
Vou atualizando conforme eu tiver tempo.
Abraços
EDIT: este código já faz parte do pacote squidguard. Não ha mais a necessidade de aplicar um patch.
-
Valeu Luiz Gustavo, excelente atualização. :)
Vou incluir nos tutoriais.
-
Valeu Luiz Gustavo, excelente atualização. :)
Vou incluir nos tutoriais.
thanks… vem mais novidades por ai ;)
-
Luiz,
Parabéns pelo trabalho e pela publicação do patch!
Com este tipo de implementação (Samba4), para cenários pequenos, o pfSense acaba sendo uma opção para se tornar o "servidor da rede" - mais que um UTM - Mesmo, particularmente, desaconselhando este tipo de abordagem por default (misturar soluções de borda com soluções de core).
No entanto, para cenários menores, desde que bem configurado (ouvindo as interfaces certas, isolando perímetros, segmentando as redes) e, bem dimensionado (hardware coeso), pode ser uma excelente alternativa ter todos os serviços importantes de rede num mesmo "Box".
Parabéns novamente Luiz! ;)
Abraços!
Jack -
Com este tipo de implementação (Samba4), para cenários pequenos, o pfSense acaba sendo uma opção para se tornar o "servidor da rede" - mais que um UTM - Mesmo, particularmente, desaconselhando este tipo de abordagem por default (misturar soluções de borda com soluções de core).
No entanto, para cenários menores, desde que bem configurado (ouvindo as interfaces certas, isolando perímetros, segmentando as redes) e, bem dimensionado (hardware coeso), pode ser uma excelente alternativa ter todos os serviços importantes de rede num mesmo "Box".
Jack
Complementando…
Com a vinda do Samba4 e a oportunidade de ter um Active Directory
sem o ônus do licenciamento, abre mercado para as pequenas redes.Escritórios com até 20 maquinas, agora podem usufruir das vantagens de
ter o AD na rede. -
Escritórios com até 20 maquinas, agora podem usufruir das vantagens de ter o AD na rede.
Simplesmente excelente :)
-
Eu atualizei o patch para adicionar uma opção para ligar/desligar as opções de filtro LDAP:
-
Luiz não me bota de castigo pela pergunta que possivelmente ja darei a resposta.
No seu post la em cima em negrito esta marcando que funciona apenas em "*** Por enquanto só funciona em 64bit (amd64) e pfsense 2.0.2**"
Porem eu fiz no meu i386 2.0.2 ..
Parou de navegar.Eu praticamente sabia que colocar o dedo na tomada ia tomar choque! e mesmo assim fui la e coloquei… é mais ou menos isso que eu fiz né.. rs ::)
Ou funciona?
Abraços e parabens pela sua solução. ;D -
Luiz não me bota de castigo pela pergunta que possivelmente ja darei a resposta.
No seu post la em cima em negrito esta marcando que funciona apenas em "*** Por enquanto só funciona em 64bit (amd64) e pfsense 2.0.2**"
Porem eu fiz no meu i386 2.0.2 ..
Parou de navegar.Eu praticamente sabia que colocar o dedo na tomada ia tomar choque! e mesmo assim fui la e coloquei… é mais ou menos isso que eu fiz né.. rs ::)
Ou funciona?
Abraços e parabens pela sua solução. ;DProvalmente o pacote que ele compilou é destinado a interagir com o Kernel em 64Bits.
-
Ou funciona?
Não funciona.
Se você tentar executar na console vai dar um monte de pau de libs.
-
Olá Amigo, Bom dia!
Essa implementação funciona no squid3 + squidguard?
abraços,
-
Bom dia,
Estou iniciando no mundo do pfsense, para começar resolvi configurar um proxy com as caracteristicas do tópico (squid + squidguard autenticando no AD e filtrando por grupos), fiz a instalação do squid, coloquei o mesmo para autenticar no AD, fiz a instalação do squidguard, apliquei o último patch, fiz as configurações como o exemplo, o navegador pede a autenticação, mas não rola, aparece a mensagem abaixo:
Request denied by pfSense proxy: 403 Forbidden
Reason: Client address: 192.168.0.133
Client user: meu.usuario
Client group: default
Target group: none
URL: http://www.google.com.br/No log a mensagem de erro é:
Added LDAP source: meu.usuario
squidGuard): ldap_simple_bind_s failed: Invalid credentialsAlguem poderia me dar alguma luz?
-
Bom dia,
Estou iniciando no mundo do pfsense, para começar resolvi configurar um proxy com as caracteristicas do tópico (squid + squidguard autenticando no AD e filtrando por grupos), fiz a instalação do squid, coloquei o mesmo para autenticar no AD, fiz a instalação do squidguard, apliquei o último patch, fiz as configurações como o exemplo, o navegador pede a autenticação, mas não rola, aparece a mensagem abaixo:
Request denied by pfSense proxy: 403 Forbidden
Reason: Client address: 192.168.0.133
Client user: meu.usuario
Client group: default
Target group: none
URL: http://www.google.com.br/No log a mensagem de erro é:
Added LDAP source: meu.usuario
squidGuard): ldap_simple_bind_s failed: Invalid credentialsAlguem poderia me dar alguma luz?
Muito provavelmente o usuário que você especificou para fazer search na base ldap não tem permissão para tal ou esta com senha incorreta.
-
Olá Pessoal,
Estou com o mesmo erro que o nosso amigo,
10.04.2013 10:37:32 Added LDAP source: diego
10.04.2013 10:37:32 (squidGuard): ldap_simple_bind_s failed: Invalid credentialsSó que o usuário que está configurado para acessar a base Ldap é administrador, tem todo o acesso.
Será que não estou errando na hora de configurar o client source no grupo de Acls?
Olha como estou fazendo..
ldapusersearch ldap://192.168.0.2/dc=meudominio,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=Cn=Int-Liberada%2cOU=Empresa%2cOU=Usuarios%2cDC=meudominio%2cdc=com%2cdc=br));
No meu active directory, criei uma unidade organizacional com o nome da empresa e outra dentro dessa com o nome de Usuários ai nela ficam todos os usuários.
Para bloquear a internet criei 2 grupos fora dessas pastas Int-liberada e Int-Bloqueada.
Outra duvida, se eu marcar aquela opção Strip Keberos Realm, consigo modificar as 2 GPOS abaixo para requerer assinatura no controlador de domínio? A única forma que consegui conectar com meu servidor de domínio utilizando o squid3+squidguard foi desabilitando essas GPOS.
Controlador de Dominio: Requisitos de Assinatura Servidor LDAP
Membro de Dominio: Requisitos de Assinatura Cliente LDAPObrigado
Abraços,
DIEGO
-
Pessoal, estou com uma dúvida básica mas que não estou entendo como resolver.
No meu LDAP só tenho um grupo, como eu libero apenas pessoas específicas no squidguard usando este patch?
Pelo que entendi, ele busca os usuários em um grupo, mas eu quero liberar somente pessoas específicas dentro do grupo. -
Pessoal, estou com uma dúvida básica mas que não estou entendo como resolver.
No meu LDAP só tenho um grupo, como eu libero apenas pessoas específicas no squidguard usando este patch?
Pelo que entendi, ele busca os usuários em um grupo, mas eu quero liberar somente pessoas específicas dentro do grupo.A quem interessar possa, resolvi meu problema com um paliativo.
Eu criei um grupo dentro da minha OU para usuários que teriam acesso livre, mas não funcionou. Então eu adicionei à estes usuários um atributo novo, no caso eu usei o pkiUser. A minha consulta ficou:ldapusersearch ldap://meuldapserver/ou=people,dc=domain,dc=com,dc=br?Uid?sub?(&(objectclass=pkiUser)(Uid=%s))
-
Boa tarde à todos!
Por favor amigos! Preciso de uma indicação de vocês!!!
Fiz a sincronização LDAP do Pfsense com o Windows 2008 R2 sem problemas, porém os grupos fiz com as ACL's no squid.conf desta forma:
grp_total => Acesso TOTAL
grp_geral => Acesso GERAL
grp_restrito => Acesso RESTRITOE funciona muito bem! O que eu preciso agora é criar os mesmos grupos, seguindo o mesmo método (com os mesmos nomes ou não) só que usando os grupos do AD DS;
Como eu poderia fazer ? Squidguard seria uma boa saída ? Qual seria a melhor solução ? E alguém poderia postar alguma configuração parecida ou algum tutorial funcional ? Segui vários e não tive sucesso!!!
Muito obrigado à todos!
MendaxCN
-
Já tentou o patch do Luis Gustavo ou o que eu e o ccesario fizemos?
-
Versão i386 do squidguard alterado disponivel.
Linha do script:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | shAbraços
-
Versão i386 do squidguard alterado disponivel.
Luiz Gustavo,
Tomei a liberdade de atualizar o primeiro post com este link.Qualquer outra atualização que quiser publicar lá, basta me avisar.
att,
Marcello Coutinho -
Versão i386 do squidguard alterado disponivel.
Luiz Gustavo,
Tomei a liberdade de atualizar o primeiro post com este link.Thanks !
-
Versão i386 do squidguard alterado disponivel.
Luiz Gustavo,
Tomei a liberdade de atualizar o primeiro post com este link.Thanks !
Boa noite à todos!
Ainda não, vou tentar… e para apagar o fogo fui obrigado a fazer as ACL's manualmente mente, está rodando bem à 3 meses, e vou testar este pacth sim, muito obrigado mais uma vez e estamos para postar novos tutoriais no fórum em breve, obrigado.
Mendax
-
Bom dia,
Estou tentando fazer a instalação, porem acho que não esta mais disponivel no link abaixo:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Onde posso realizar o download do patch ?
Att.
Jaime Martino
-
Estou tentando fazer a instalação, porem acho que não esta mais disponivel no link abaixo:
Aqui deu domínio inexistente.
Tente mandar uma private message para o LuisGustavo.
-
O domínio está fora, não consegui contato com o autor do patch.
Por sorte eu já tinha aqui instalado, compactei todos os arquivos squidguard* e joguei num outro servidor e funcionou. -
Bom dia,
Estou tentando fazer a instalação, porem acho que não esta mais disponivel no link abaixo:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Onde posso realizar o download do patch ?
Eu deixei passar o vencimento do dominio no registro :( já paguei, tem que esperar propagar.
De qualquer forma, pode usar meu dominio pessoal no mesmo servidor:
fetch -o - -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Abraços
-
Bom dia,
Estou tentando fazer a instalação, porem acho que não esta mais disponivel no link abaixo:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Onde posso realizar o download do patch ?
Eu deixei passar o vencimento do dominio no registro :( já paguei, tem que esperar propagar.
De qualquer forma, pode usar meu dominio pessoal no mesmo servidor:
fetch -o - -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Abraços
Olá Luiz,
Parabéns pelo patch, é muito bom mesmo.
Mas esse script bash aí ainda está com os links apontando para o seu outro domínio. -
Bom dia,
Estou tentando fazer a instalação, porem acho que não esta mais disponivel no link abaixo:
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Onde posso realizar o download do patch ?
Eu deixei passar o vencimento do dominio no registro :( já paguei, tem que esperar propagar.
De qualquer forma, pode usar meu dominio pessoal no mesmo servidor:
fetch -o - -q http://www.luizgustavo.pro.br/~gugabsd/pfsense/squidguard-ldap-i386.sh | sh
Abraços
Olá Luiz,
Parabéns pelo patch, é muito bom mesmo.
Mas esse script bash aí ainda está com os links apontando para o seu outro domínio.só a critério de informação, já ta tudo ok desde de segunda. Abraços !
-
Boa noite !
Pessoal,
Estou entrando no mundo do PFSense agora e estou tentando essa solução mas sem sucesso. Estou seguindo este post do fórum http://forum.pfsense.org/index.php/topic,47532.0.html mas já na instalação do samba o sistema alerta que não há mais suporte a ADS então como vocês estão solucionando isso ?
Agradeço a quem puder ajudar.
-
Olá Pessoal,
Estou com o mesmo erro que o nosso amigo,
10.04.2013 10:37:32 Added LDAP source: diego
10.04.2013 10:37:32 (squidGuard): ldap_simple_bind_s failed: Invalid credentialsSó que o usuário que está configurado para acessar a base Ldap é administrador, tem todo o acesso.
Será que não estou errando na hora de configurar o client source no grupo de Acls?
Olha como estou fazendo..
ldapusersearch ldap://192.168.0.2/dc=meudominio,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=Cn=Int-Liberada%2cOU=Empresa%2cOU=Usuarios%2cDC=meudominio%2cdc=com%2cdc=br));
No meu active directory, criei uma unidade organizacional com o nome da empresa e outra dentro dessa com o nome de Usuários ai nela ficam todos os usuários.
Para bloquear a internet criei 2 grupos fora dessas pastas Int-liberada e Int-Bloqueada.
Abraços,
DIEGO
Estou com o mesmo problema… não sei se estou fazendo algo de forma incorreta.
ldapusersearch ldap://192.168.1.2/dc=meudominio,dc=localdomain?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=Cn=InternetPadrao%2cOU=Grupos%2cDC=meudominio%2cDC=localdomain));
Tenho uma OU com o nome Grupos no AD, e dentro dela criei os grupos de internet no caso "InternetPadrao".
Está pedindo autenticação porem quando coloco caio no mesmo problema dos amigos ai...
Alguem sabe dizer se é algum erro meu de config?
Obrigado -
Boa Tarde Luiz,
O patch já funciona com a versão 2.0.3 ??
abraços
-
Boa Tarde Luiz,
O patch já funciona com a versão 2.0.3 ??
abraços
Sim e o mesmo acabou de ser commitado no repositório oficial:
https://github.com/pfsense/pfsense-packages/commit/2dda3a961921534bec5df1dfb039c47ade0ff5b1
-
-
funciona na 2.1 ? como faz para usar via repositório oficial..
-
-
Sim e o mesmo acabou de ser commitado no repositório oficial:
Parabéns Luiz :)
Thanks ;)
-
Boa Tarde Marcelo e Luiz,
reinstalei o pacote do squidguard e funcionou que foi uma maravilha !!!obrigado Luiz !!
att,
Gabriel
-
Pergunta, o procedimento para instalação e o mesmo que está aqui no forum ? pois procurei o pacote nos aplicativos do pfsense e não achei. =\
Qual pacote não está na lista? o squidguard?
Acho pouquíssimo provável ele não estar lá…
-
Boa Tarde Marcelo e Luiz,
reinstalei o pacote do squidguard e funcionou que foi uma maravilha !!!obrigado Luiz !!
att,
Gabriel
Só instalar o pacote squidguard, não precisa fazer mais nada, só configurar, as opções vão estar lá
-
Opa Marcelo,
Estou com o pfsense instalado aqui e fiquei procurando um patch ou programa para adicionar ao squidguard, como não achei mandei aqui no post, depois que postei veio a ideia de reinstalar o pacote do squidguard e tudo estava lá !!!.
Agora fala serio o nosso amigo Luiz tem q liberar o pacote do samba 4 =D que vai ser só sucesso.
Abraços e o meu muito obrigado.
att,
Gabriel
