Pfsense + Squid + NTLM (Autenticação AD transparente)

LFCavalcanti

Olá!

Bom vamos lá, vou tentar ajudar aqui.

Desenvolvimento do Samba para pfSense
Esse tópico tem sido muito polêmico, a posição da ESF a respeito é que o Samba supostamente traz muitos problemas de segurança para o pfSense. Na prática, o perigo está em usar o Samba como controlador de dominio, não como membro para autenticar os usuários. Muito debate correu, mas eles estão inflexiveis.
E chega a ser duro dizer, como a ESF mudou completamente a relação com os desenvolvedores de pacotes, muitos deixaram a comunidade.
O Luiz Gustavo por exemplo não atualizou mais a versão do Samba 3 e a versão do Samba 4 não foi concluida. Eu não culpo ele, também perdi parte do interesse aqui.
Apenas uma explicação de realidade, mas vamos lá.

Problemas conhecidos e recomendações:

• Sempre use o Samba3 com o Squid 2.7 e SquidGuard Stable, há muitos problemas com a versão mais nova do Squid, provavelmente pelo patch aplicado ao Squid na instalação.
• Realmente há o problema de TTL Token como já foi citado, por isso ajuste o intervalo de autenticação de acordo com a frequência que os computadores são usados por diferentes usuários, é a única solução para isso por enquanto.
• O serviço do Samba3 tem alguns problemas na versão 2.1.x do pfSense. Se não houver um controlador de domínio disponível ele simplesmente não tenta conectar novamente depois.
• Conteúdo Online do Office 2013 pode apresentar problemas de autenticação.

Tenho uma rede de convidados
Você pode entrar no inferno de telas de autenticação, por isso eu recomendo não usar o Squid para os convidados…
1 - Convidados por questão de segurança já deveriam ficar em uma subrede separada com regras de Firewall para controlar exatamente o que eles devem acessar da rede interna.
2 - Utilize o Captive portal ligado a fonte interna de autenticação(a do próprio PFSense ou adicione uma com o AD). Nisso contas de convidado ou até Vouchers.
3 - A subrede separada, mas sem proxy ou autenticação.

eduardogd

@LFCavalcanti:

Olá!

Bom vamos lá, vou tentar ajudar aqui.

Desenvolvimento do Samba para pfSense
Esse tópico tem sido muito polêmico, a posição da ESF a respeito é que o Samba supostamente traz muitos problemas de segurança para o pfSense. Na prática, o perigo está em usar o Samba como controlador de dominio, não como membro para autenticar os usuários. Muito debate correu, mas eles estão inflexiveis.
E chega a ser duro dizer, como a ESF mudou completamente a relação com os desenvolvedores de pacotes, muitos deixaram a comunidade.
O Luiz Gustavo por exemplo não atualizou mais a versão do Samba 3 e a versão do Samba 4 não foi concluida. Eu não culpo ele, também perdi parte do interesse aqui.
Apenas uma explicação de realidade, mas vamos lá.

Problemas conhecidos e recomendações:

• Sempre use o Samba3 com o Squid 2.7 e SquidGuard Stable, há muitos problemas com a versão mais nova do Squid, provavelmente pelo patch aplicado ao Squid na instalação.
• Realmente há o problema de TTL Token como já foi citado, por isso ajuste o intervalo de autenticação de acordo com a frequência que os computadores são usados por diferentes usuários, é a única solução para isso por enquanto.
• O serviço do Samba3 tem alguns problemas na versão 2.1.x do pfSense. Se não houver um controlador de domínio disponível ele simplesmente não tenta conectar novamente depois.
• Conteúdo Online do Office 2013 pode apresentar problemas de autenticação.

Tenho uma rede de convidados
Você pode entrar no inferno de telas de autenticação, por isso eu recomendo não usar o Squid para os convidados…
1 - Convidados por questão de segurança já deveriam ficar em uma subrede separada com regras de Firewall para controlar exatamente o que eles devem acessar da rede interna.
2 - Utilize o Captive portal ligado a fonte interna de autenticação(a do próprio PFSense ou adicione uma com o AD). Nisso contas de convidado ou até Vouchers.
3 - A subrede separada, mas sem proxy ou autenticação.

Obrigado pela resposta LFCavalcanti, qual sua recomendação no caso de uma rede com AD? Queria usar o Squid 2.7 + SquidGuard para autenticar por grupos do AD, mas acho que vou acabar criando algo independente do AD, o que acham?

LFCavalcanti

@eduardogd:

Obrigado pela resposta LFCavalcanti, qual sua recomendação no caso de uma rede com AD? Queria usar o Squid 2.7 + SquidGuard para autenticar por grupos do AD, mas acho que vou acabar criando algo independente do AD, o que acham?

Eu tenho 3 clientes rodando nesse cenário atualmente, ambos com ACL baseada em grupos no SquidGuard.

Você só precisa usar queries para buscar os grupos no AD, como essa:

ldapusersearch ldap://192.168.0.1:3268/DC=dominio,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=INTERNET%2cOU=Grupos%2cDC=dominio%2cDC=local))

No código acima, o grupo do Squid irá incluir usuários do Grupo "INTERNET" que fica na OU "Grupos" no controlador do dominio "dominio.local".

eduardogd

@LFCavalcanti:

@eduardogd:

Obrigado pela resposta LFCavalcanti, qual sua recomendação no caso de uma rede com AD? Queria usar o Squid 2.7 + SquidGuard para autenticar por grupos do AD, mas acho que vou acabar criando algo independente do AD, o que acham?

Eu tenho 3 clientes rodando nesse cenário atualmente, ambos com ACL baseada em grupos no SquidGuard.

Você só precisa usar queries para buscar os grupos no AD, como essa:

ldapusersearch ldap://192.168.0.1:3268/DC=dominio,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=INTERNET%2cOU=Grupos%2cDC=dominio%2cDC=local))

No código acima, o grupo do Squid irá incluir usuários do Grupo "INTERNET" que fica na OU "Grupos" no controlador do dominio "dominio.local".

Me diga uma coisa, nesses seus clientes você possui quais pacotes? Squid, SquidGuard apenas? Não fez o patch do samba? É isso? Se tiver um tempo pra explicar pra gente como é o cenário e a implantação ficaríamos agradecidos, pelo menos para nos dar um norte…

victorfmaraujo

@eduardogd:

@LFCavalcanti:

@eduardogd:

Obrigado pela resposta LFCavalcanti, qual sua recomendação no caso de uma rede com AD? Queria usar o Squid 2.7 + SquidGuard para autenticar por grupos do AD, mas acho que vou acabar criando algo independente do AD, o que acham?

Eu tenho 3 clientes rodando nesse cenário atualmente, ambos com ACL baseada em grupos no SquidGuard.

Você só precisa usar queries para buscar os grupos no AD, como essa:

ldapusersearch ldap://192.168.0.1:3268/DC=dominio,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=INTERNET%2cOU=Grupos%2cDC=dominio%2cDC=local))

No código acima, o grupo do Squid irá incluir usuários do Grupo "INTERNET" que fica na OU "Grupos" no controlador do dominio "dominio.local".

Me diga uma coisa, nesses seus clientes você possui quais pacotes? Squid, SquidGuard apenas? Não fez o patch do samba? É isso? Se tiver um tempo pra explicar pra gente como é o cenário e a implantação ficaríamos agradecidos, pelo menos para nos dar um norte…

Com certeza fez, já que para funcionar o ntlm precisa do samba+kerberos.

santello

o tutorial na primeira página do tópico ainda funciona NA VERSÃO TESTADA. O pessoal tem que se atentar a isto.

Na 2.2 muda o pacote samba, o processo é outro.

marcosmassa

Bom dia a todos,
realmente na versão 2.2.X e superiores não esta funcionando.

Também testei em versões x64 ( 2.1.5 ) e não foi ….

Uma informação para futuros problemas, sempre lembrar de verificar o nome do grupode ad ( wbinfo - g > grupo ), por vezes mesmo configurando o nome todo em maiusculas, o squid busca e traz o nome em minusculas ....
logo, a conf de grupo do squidguard deve estar com o nome do grupo conforme for exibido no comando acima.

lucasqueiroga

Também estou com o mesmo problema….

Segui esse tutorial (http://www.dev2infra.com/pfsense-squid-squidguard-autenticacao-transparente/) em varias instalações de Pfsense 2.1.5 amd64 sem problemas. Estão todos funcionando normalmente.

Porem estou querendo usar o Pfsense 2.2.1 e seguindo o mesmo tutorial apresenta o mesmo erro:

@eduardogd:

"Fatal error: Call-time pass-by-reference has been removed; If you would like to pass argument by reference, modify the declaration of validate_form_samba3(). in /usr/local/www/pkg_edit.php(147) : eval()'d code on line 1"

Pesquisei um pouco sobre o erro e encontrei varias pessoas dizendo ser sobre a atualização do PHP.
Não tenho muito conhecimento sobre PHP então não consigo ajudar muito.

Com os problemas listados pelo LFCavalcanti acredito que a atualização desse pacote não é uma coisa muito fácil e provavelmente vai demorar um pouco.

Estou com um ambiente de teste com Pfsense 2.2.1 + Squid3 + Squidguard rodando normalmente, falta só a integração com AD.

Com as ferramentas de hoje, como podemos criar um ambiente com Pfsense 2.2 + Squid + Squidguard + Autenticação AD que seja o mais transparente possível para o usuário final??

Alguém já usa um ambiente desse com Pfsense 2.2??

marcio035

Boa Tarde, alguém sabe onde os patch estão, dev2infra ta fora.

tomaswaldow

Não se ajuda, mas em todo caso:
https://github.com/pszafer/SambaForFreeradiusPFSENSE

marcio035

Obrigado, mais preciso do que tinha o dv2infra, já tinha implantando num servidor de teste e tinha funcionado, mais sai de ferias e conseguiram deletar minha VM de teste, agora preciso implementar mais não tenho onde baixar mais.

Ivanbarbosab

Quando uso o comando net ads join -U administrador dá a mensagem de erro. net: Command found o que faço para corrigir.
Obrigado.

andersons

@Ivanbarbosab:

Quando uso o comando net ads join -U administrador dá a mensagem de erro. net: Command found o que faço para corrigir.
Obrigado.

Provavelmente o teu samba nao veio com o ads compilado (aconteceu comigo). Veja nos logs se e isso mesmo.

julianoxt

ja tem o pacote pronto para 2.4.2 ou 2.3.5?

Valceir

Alguma previsão para a versão 2.4.4 ?

Valceir

@julianoxt tem sim... até a versão 2.4.3 segue o link com o passo a passo.
https://pf2ad.mundounix.com.br/pt/index.html

fabiogleao

com a atualização parou de funcionar o squid e tive que reinstalar, porém sem autenticação transparente. Nem instalando a versão 2.4.3 não rola a instalação do squid.
To preso na 2.4.4 sem autenticação no samba4 (NTLM)
existe alguma outra ofrma de por pra funcionar com NTLM (autenticação transparente)?

mcury

Não seria melhor utilizar autenticação SSO por Kerberos? Já que não precisa utilizar nenhum pacote extra?

SETSPN:

Criar usuário svc_quid no AD

C:\WINDOWS\system32>setspn -S HTTP/pfsense.local.lan svc_squid
Verificando o domínio DC=local,DC=lan

Depois, através do samba-tools, ou através diretamente do AD, através do ktpass

sudo samba-tool domain exportkeytab mykeytab.keytab --principal=HTTP/pfsense.local.lan

Squid:

acl whitelist dstdomain .local.lan
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -k /usr/local/etc/squid/mykeytab.keytab
auth_param negotiate children 100
auth_param negotiate keep_alive on
http_access allow whitelist
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth

Squidguard

ldapusersearch ldap://raspsrv.local.lan:3268/dc=local,dc=lan?userPrincipalName?sub?(&(memberof=CN=internet_group%2cCN=Users%2cDC=local%2cDC=lan)(userPrincipalName=%s))

Depois de configurado, loguem novamente no AD, e chamem o proxy pelo nome, ele deve associar ao ticket kerberos.
Digitem klist no CMD do DOS para ver se ele foi adicionado corretamente.

Maiores detalhes:

https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/

fabiogleao

@mcury
Meu DC é samba4 vou pesquisar se encontro um guia pra ele, vlw pela dica

mcury

Olá Fabio,

Esse tutorial que pus ali em cima, funciona para samba 4.
Funciona em AD de servidor Windows tambem.