Pfsense + Squid + NTLM (Autenticação AD transparente)
-
Ae Galerinha,
Script testado em ambiente Virtual de Testes…
Como os sources foram para o mundolinux... alterei:
--- inicio do script -----
#!/bin/sh
arch="
uname -p
"fetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/pbi-2_1/samba-3.6.18-${arch}.pbi
pbi_add --no-checksig /tmp/samba-3.6.18-${arch}.pbi
rm -rf /tmp/samba-3.6.18-${arch}.pbifetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.inc
fetch -o /usr/local/pkg -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba3.xml
fetch -o /usr/local/www -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/fbegin.inc
fetch -o /usr/local/www/javascript -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/jquery-1.9.1.min.jsfetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/samba-libs-${arch}.tar.gz | tar -C / -zxpf -
echo 'samba_enable="YES"' > /etc/rc.conf.local
echo 'winbindd_enable="YES"' >> /etc/rc.conf.localcd /usr/local/etc/rc.d/
ln -s samba samba.shfetch -o /tmp -q http://www.mundounix.com.br/~gugabsd/pfsense/samba3/squid_with_ntlm.patch
cd /usr/local/pkg
patch -p0 < /tmp/squid_with_ntlm.patchmkdir -p /var/db/samba/winbindd_privileged
chown -R :proxy /var/db/samba/winbindd_privileged
chmod -R 0750 /var/db/samba/winbindd_privilegedln -s /usr/pbi/samba-${arch}/etc/smb.conf /usr/local/etc/smb.conf
--- fim do script ---
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio...Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
-
Configurei na aba do Proxy Server, mas ficava pedindo autentição ainda no navegador do Cliente.
Entrei no Srv AD, e vi que ainda o fw nao tinha sido inserindo no dominio…Executei os processos na mão:
kinit usuario_admin
net ads join -U usuario_adminTudo funcional.
Vi que no samba3.inc, tem a função net ads que rodei na mão, mas se não estou enganado, para ingressar no dominio, não precisa pegar um ticket primeiro (kinit)?
Obrigado.
Essa função é executada quando você acessa, pela WebGUI em Services > Samba(AD), ao salvar ele faz a integração ao dominio.
-
Tive que fazer manual pq nao funcionou.
Mas agora tá ok funcionando… (apos fazer na mao). Versao 3 do samba.Vou montar o ambiente com a 4.
Abracos.
-
Funcionou com o pacote squid3-dev 3.3.10 pkg 2.2.6 no pfSense 2.1.4, mas tive que fazer os seguintes passos:
1 - Editar o arquivo samba3.inc e no bloco [libdefaults] acrescentar a linha
allow_weak_crypto = true
2 - Rodar manualmente os comandos
kinit usuario_admin net ads join -U usuario_admin
3 - Modificar o arquivo squid.inc e squid_auth.xml com as alterações do arquivo squid_with_ntlm.patch manualmente
squid.inc_original.txt
squid.inc_corrigido.txt
squid_auth.xml_original.txt
squid_auth.xml_corrigido.txt -
Bom dia a todos, sei que deve existir um tutorial de como fazer essa autenticação transparente do openldap com o samba e squid no pfsense… porém não achei nada na internet, só achei com o Active Directory do Windows, já intalei a ultima versão do pfsense e o samba nele mesmo, e tenho tudo rodando certinho, porém pede naquele popup o usuário e senha para logar...
Muito obrigado
-
Bom dia a todos! Primeiramente, parabéns e obrigado por tudo que fazem pelo software livre.
Estou com o pfSense 2.1.5 com autenticação NTLM funcionando perfeitamente. Autenticação por grupos, squidguard, tudo como eu queria, exceto um porém: máquinas fora do domínio (visitantes) não funciona a autenticação. Tenho no meu squid.conf as linhas abaixo:
#Para autenticação NTLM
auth_param ntlm program /usr/local/bin/ntlm_auth –domain=TBM.COM.BR --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 200
auth_param ntlm keep_alive on#Para autenticação fora do dominio
auth_param basic program /usr/local/bin/ntlm_auth --domain=TBM.COM.BR --helper-protocol=squid-2.5-basic
auth_param basic children 200
auth_param basic realm Proxy User
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive offObs: Uso squid3-dev e squidguard-squid3.
-
exceto um porém: máquinas fora do domínio (visitantes) não funciona a autenticação.
Neste caso é melhor para visitantes ter uma rede separada, mais segurança.
-
Tomas, eu entendo a necessidade do digaovaa. Eu estou na mesma situação.
Temos os usuários cadastrados no AD e também controlamos o acesso de visitantes à internet através do Proxy (para que não hajam acessos indevidos e para que possamos monitorar o que estão acessando).
Claro que a maneira mais "prática" e mais "segura", seria isolar fisicamente as redes e pronto. Porém entramos em outra seara, que é a processual; acaso, por exemplo, alguém acesse "livremente" por um link separado de internet, conteúdos ilegais (pirataria, pornografia, etc.) dentro da empresa, e a empresa seja auditada em escala civil, os links de internet estarão registrados em nome da empresa e ela será responsabilizada por isso.
Portanto, mais seguro para ambas as partes, seria controlar o que os visitantes (fora do domínio) acessam.
Existe algum procedimento que seja necessário realizar nessa configuração? Algum ponto falho?
-
Mas o que eu quis dizer era fazer por exemplo uma VLAN para a rede visitante e nela colocar o proxy para controlar o conteúdo.
Não pensei em deixar a rede visitante sem controle, mas deixar isolada da rede interna por questões de segurança e fora da autenticação pelo AD.
Você poderia colocar um Captive Portal nessa rede visitante e cadastrar os usuários ou gerar Voucher para acesso temporário registrado. -
máquinas fora do domínio (visitantes) não funciona a autenticação. Tenho no meu squid.conf as linhas abaixo:
Já olhou o cache.log para ver o que está acontecendo de errado?
-
máquinas fora do domínio (visitantes) não funciona a autenticação. Tenho no meu squid.conf as linhas abaixo:
Já olhou o cache.log para ver o que está acontecendo de errado?
Obrigado pelo retorno de todos. Vou verificar isso..
Mas continuando na minha lógica de raciocínio deveria funcionar, pelo menos no squid com iptables no CentOS funcionava com aqueles parâmetros que informei no post… Gostaria disso funcionando também em função dos dispositivos móveis da diretoria (Smartphones, Tablets, etc)
-
Olhando o /var/squid/log/cache.log não identifiquei nenhuma anormalidade.
O que acho estranho é que no micro fora do domínio, aparecem 2 telas diferentes de login. Anexei elas abaixo. A primeira, que tem usuário preenchido, aparece "moz-proxy". Se eu cancelar o login dela, abre a outra, escrito Proxy-user, que é a mensagem que está definida no meu squid.
tem como eu usar NTLM e autenticação local?
por exemplo, fazer a autenticação ntlm normal e caso não esteja logado no domínio, peça usuário local:
Conteúdo do Squid.inc
case 'ntlm':
if ($settings['ntlmssp'] == 'on') {
$domain_samba4 = (($settings['ntlm_domain'] <> "") ? "–domain={$settings['ntlm_domain']} " : "");
$ntlm_proc = (isset($settings['ntlm_proc']) ? "{$settings['ntlm_proc']}" : "20");
$conf .= "auth_param ntlm program /usr/local/bin/ntlm_auth " . $domain_samba4 . "--helper-protocol=squid-2.5-ntlmssp\n";
$conf .= "auth_param ntlm children {$ntlm_proc}\n";
$conf .= "auth_param ntlm keep_alive on\n";
}
$conf .= 'auth_param basic program '.SQUID_LOCALBASE.'/libexec/squid/basic_ncsa_auth ' . SQUID_PASSWD . "\n";break;
![Snap 16.22.25.png](/public/imported_attachments/1/Snap 16.22.25.png)
![Snap 16.25.18.png](/public/imported_attachments/1/Snap 16.25.18.png)
![Snap 16.22.25.png_thumb](/public/imported_attachments/1/Snap 16.22.25.png_thumb)
![Snap 16.25.18.png_thumb](/public/imported_attachments/1/Snap 16.25.18.png_thumb) -
Olhando o /var/squid/log/cache.log não identifiquei nenhuma anormalidade.
O que acho estranho é que no micro fora do domínio, aparecem 2 telas diferentes de login. Anexei elas abaixo. A primeira, que tem usuário preenchido, aparece "moz-proxy". Se eu cancelar o login dela, abre a outra, escrito Proxy-user, que é a mensagem que está definida no meu squid.
tem como eu usar NTLM e autenticação local?
por exemplo, fazer a autenticação ntlm normal e caso não esteja logado no domínio, peça usuário local:
Conteúdo do Squid.inc
case 'ntlm':
if ($settings['ntlmssp'] == 'on') {
$domain_samba4 = (($settings['ntlm_domain'] <> "") ? "–domain={$settings['ntlm_domain']} " : "");
$ntlm_proc = (isset($settings['ntlm_proc']) ? "{$settings['ntlm_proc']}" : "20");
$conf .= "auth_param ntlm program /usr/local/bin/ntlm_auth " . $domain_samba4 . "--helper-protocol=squid-2.5-ntlmssp\n";
$conf .= "auth_param ntlm children {$ntlm_proc}\n";
$conf .= "auth_param ntlm keep_alive on\n";
}
$conf .= 'auth_param basic program '.SQUID_LOCALBASE.'/libexec/squid/basic_ncsa_auth ' . SQUID_PASSWD . "\n";break;
Assim como o amigo acima, estou com o mesmo problema. Contudo, meu squidconf está como abaixo, na área de autenticação
#Kerberos negotiate
auth_param negotiate program /usr/local/libexec/squid/negotiate_wrapper_auth -d –ntlm /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMINIO.local --kerberos /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/firewall@DOMINIO.LOCAL
auth_param negotiate children 20
auth_param negotiate keep_alive on#Via NTLM
#Mantenha-o
auth_param ntlm program /usr/local/bin/ntlm_auth --domain=DOMINIO.local --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30Via LDAP
auth_param basic program /usr/pbi/squid-amd64/libexec/squid/basic_ldap_auth -v 3 -b OU=Domain,DC=DOMINIO,DC=local -D cn=pfsense,cn=Users,dc=DOMINIO,dc=local -w XXX-f "sAMAccountName=%s" -u uid -P domainserver.DOMINIO.local:389
auth_param basic children 20
auth_param basic realm DOMINIO
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive off
acl password proxy_auth REQUIREDTenho alguns problemas aqui.
Primeiro, que usando ntlm tenho o problema do amigo acima, principalmente estações fora do domínio
Segundo, que com o kerberos, preciso fazer um reload do samba, pois do "nada" ele perde a autenticação. Vi que o kerberos usa um ticket e precisa ter um refresh para continuar autenticandoPor ultimo, quando um pc fora do domínio entra, mesmo com um usuário e senha para visitantes, ele me pede 3 vezes no caso a autenticação, e não autentica
-
Parabéns ideia maravilhosa
-
Tenho alguns problemas aqui.
Primeiro, que usando ntlm tenho o problema do amigo acima, principalmente estações fora do domínio
Segundo, que com o kerberos, preciso fazer um reload do samba, pois do "nada" ele perde a autenticação. Vi que o kerberos usa um ticket e precisa ter um refresh para continuar autenticandoSe eu não me engano, esse tempo é de 20 minutos. Isso faz com que, por exemplo. Um computador utilizado por duas pessoas, um de manhã e outro de tarde. Se às 11:55 o cara acessa a internet (ele tendo um perfil de internet totalmente liberado) abra o navegador, a autenticação é realizada com sucesso. E ele vai embora as 12:00 e faz logoff. QUando o próximo usuário (Este com acesso totalmente bloqueado) fizer login e abrir o navegador, vai continuar com a sessão do antigo tendo 15 minutos de alegria rsrs.
Se eu não me engano, este "ticket" que eu prefiro chamar de "Token", atrela o Usuário ao IP da máquina, fazendo com que a autenticação NTLM não seja a ideal em ambientes com servidores Thin Client.
Por ultimo, quando um pc fora do domínio entra, mesmo com um usuário e senha para visitantes, ele me pede 3 vezes no caso a autenticação, e não autentica
Esse comportamento creio ser normal. Se você for ver nos logs de segurança do windows server, irá encontrar 3 logs relacionados a logon do mesmo usuário/computador. Como a máquina está fora do domínio, ele pede 3 vezes.
-
Segui o tutorial que encontre aqui: http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/
mas estou com problemas, ocorre o erro abaixo ao tentar configurar o Samba (AD):
"Fatal error: Call-time pass-by-reference has been removed; If you would like to pass argument by reference, modify the declaration of validate_form_samba3(). in /usr/local/www/pkg_edit.php(147) : eval()'d code on line 1"
Estou usando o pfSense 2.2, squid 2.7.9 e squidguard devel 1.5_beta. Alguém sabe como resolver?
-
Estou com o mesmo problema que nosso amigo acima, estou no ponto de remover o pfsense e refazer tudo, porém esse pfsense está em produção.
Além do erro acima que o amigo descreveu o meu está dando também o seguinte erro:
Fatal error: Call to undefined function curl_init() in /etc/inc/pfsense-utils.inc on line 1701
Segui o mesmo tutorial do site www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente
-
Acho que o projeto nao foi adaptado pras novas versões…
-
Refiz a configuração em um ambiente de teste e aparentou o mesmo erro.
Instalei o pfsense do zero, com squid e squidguard.
Tem alguém ai que tem uma solução?
Já vasculhei o fórum em busca de solução e nada até o momento.
-
Refiz a configuração em um ambiente de teste e aparentou o mesmo erro.
Instalei o pfsense do zero, com squid e squidguard.
Tem alguém ai que tem uma solução?
Já vasculhei o fórum em busca de solução e nada até o momento.
Estou tentando com uma versão mais antiga, estou baixando a 2.1.5 pra testar, talvez funcione com ela.