Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dúvida quanto a configurações AD 2008 R2 + PfSense

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 7 Posters 6.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      marochavieira
      last edited by

      Bom dia a todos

      Pesquisei muito no fórum e assisti várias vídeo aulas por aí..
      Porém as vezes fico confuso, pois são muitos tópicos falando de diversas formas de como resolver minhas dúvidas, porém parecem estar um pouco de defasadas (usando o Ad do Windows Server 2003).

      Meu caso é o seguinte, na empresa que trabalho a floresta ta Windows Server 2008 R2, os Servers são a maioria Server 2012, eu usava e ainda to usando como Firewall/Proxy o Isa Server 2006 e estou tentando abandonar ele para usar software livre, pesquisei bastante e me interessei pelo PfSense.

      Instalei o PfSense em uma máquina, instalei o Squid e o SquidGuard, estou querendo fazer com que o pfsense autentique os usuários da rede sem a necessidade de digitar login e senha, ou seja, autenticar usando o logon do usuário da máquina, vi um vídeo do Luiz Fernando sobre o samba4, porém ficou muito vago… nem consegui instalar o pacote.
      Quanto às regras, dou um jeito, no meu caso vou usar regras com diversos acessos, por horário, controle de banda etc. Mas isso eu dou meus pulos aqui.

      Preciso de uma ajuda de vocês com mais experiência nesse assunto.

      Obrigado

      1 Reply Last reply Reply Quote 0
      • N
        neo_X
        last edited by

        Olá marochavieira,

        Também tenho essa necessidade, pesquisei e também assisti as aulas do Luis. Tenho 7 ambientes que terei que configurar com autenticação transparente seguirei esse tutorial, se quiser tentar…

        https://forum.pfsense.org/index.php?topic=66674.0;wap2

        1 Reply Last reply Reply Quote 0
        • M
          marochavieira
          last edited by

          Neo

          Muito obrigado, ainda não terminei de ler, mas ta bem explicadinho.

          Vou dar uma estudada e tentar fazer funcionar..

          Espero que de certo.

          Valeu mesmo.

          Obrigado

          1 Reply Last reply Reply Quote 0
          • M
            marochavieira
            last edited by

            Neo.. e quem mais puder me ajudar…
            De acordo com o conteúdo disponibilizado por você, tem uma parte la que diz exatamente o seguinte:

            "Windows 2008 Server R2 , pfSense 2.0.3 + squid 2.7.9 pkg v.4.3.3 + SquidGuard 1.4_4 pkg v.1.9.5 já funcionando com autenticação não transparente."

            No meu caso, não tenho a autenticação não transparente funcionando ainda.

            Segui um tutorial de PFsense 2.0 + Squid + Atenticação AD de acordo com o site abaixo.
            http://pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

            Porém, não sei se ele está enxergando meus usuários do AD. Existe alguem comando ou tela que mostra que está?
            Esse método ainda é usado, visto que estou usando o PfSente 2.1 ?
            Caso esteja desatualizado, qual o método de configuração mais atual de Squid e Squidguard usando Ldap (NTLM) ?
            Eu fazendo isso funcionar direito poderei usar o método de autenticação transparente que você informou!!!

            Pode me ajudar com mais essa?

            Obrigado.

            1 Reply Last reply Reply Quote 0
            • M
              marochavieira
              last edited by

              Alguém para me ajudar???

              Se tiver pelo menos um link já de grande ajuda.

              Obrigado

              1 Reply Last reply Reply Quote 0
              • Z
                zilmar
                last edited by

                Olá marochavieira,

                Eu estou com o mesmo ambiente, mas a autenticação via AD está funcionando corretamente. Está uma beleza! Também pretendo fazer uma autenticação transparente e já agradeço pelo link do tópico.

                O meu teste foi bem "rústico", abri um navegador, configurei o proxy e tentei logar com alguns usuários de grupos diferentes. Deu certinho, coloquei todos do setor da informática no proxy e tá todo mundo usando de boa. O próximo passo é estender para outros setores, mas antes preciso configurar a autenticação transparente.

                Enfim, tente testar mais ou menos como eu fiz, foi um parâmetro bom e pude confirmar a funcionalidade da configuração.

                1 Reply Last reply Reply Quote 0
                • K
                  kelsen
                  last edited by

                  Nos tutoriais tem um tópico pra configuração do proxy transparente (NTLM) no AD http://forum.pfsense.org/index.php/topic,58700.msg314806.html#msg314806

                  1 Reply Last reply Reply Quote 0
                  • Z
                    zilmar
                    last edited by

                    Tem esse tópico que é em português:
                    https://forum.pfsense.org/index.php/topic,66674.0.html

                    Segui ele e aqui tá funcionando bem! :)

                    1 Reply Last reply Reply Quote 0
                    • R
                      rec
                      last edited by

                      Eu segui alguns desses tutoriais, instalei os complementos mas não deu certo. Vou testar o tutorial que o neo_X informou, vou fazer um servidor hoje a noite. Informo mais a noite do resultado.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rmelilloii
                        last edited by

                        Nobres, boa tarde! Não sei se teria local melhor mas gostaria de compartilhar alguns problemas que tive e que podem ser comuns à vocês. Minha intenção é reunir informações para facilitar a pesquisa de todos que passam por problemas que acreditam não existam e que só podem acontecer só com eles. Se estiver falando alguma bobagem, peço que me corrijam.

                        Minha estrutura:
                        Servidores Windows 2012 R2
                        Server01 - AD, DNS
                        Server02 - AD, DNS, DHCP
                        PFSense 2.1 64 bits

                        Após seguir todas as dicas do fórum, consultar documentações do produto cheguei a alguns pontos que podem fazer com que não seja possível implementar a solução básica: Squid, SquidGuard, LightSquid > Ldap Windows 2012 R2 ou 2008 R2 para frente.

                        Utilizei uma ferramenta para debugar os erros de conexão de um ambiente Linux com o Ldap do Windows.

                        • Apache Directory Studio

                        Verificação no Servidor Windows:

                        AD 2012

                        O Windows exige um nível de segurança que demanda que seja gerado/instalado certifcado dos servers em ambos (Windows e PfSense), de imediato apenas vou baixar essa exigência de segurança (só achei meios alterando diretamente no registro), alterando o valor para 1.

                        Windows Registry Editor Version 5.00

                        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
                        "ldapserverintegrity"=dword:00000001

                        Verificação no PFSense:

                        PfSense 2.1 64bits

                        Um dos pontos de erro entre a comunicação era devido à diferença entre o horário do servidor Windows e PFsense, foi necessário utilizar um outro servidor NTP no PFSense:

                        NTP Server: a.st1.ntp.br

                        Configurações no Squid

                        Squid3
                        User DN: CN="usuário do ad",OU="Unidade Organizacional do usuário",OU="Unidade Organizacional do usuário",DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"

                        • consultar servidor AD (dsquery user -name "nome do usuário") a chave que é passada é aceita perfeitamente na config de comunicação do Squid ou mesmo geral do PFSense

                        Base DN: DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"
                        DN Attribute: uid
                        LDAP Search Filter: sAMAccountName=%s

                        Por fim, após nova tentativa para instalar e verificar se era isso mesmo, foi necessário instalar o Squid por último, para que tudo funcionasse de acordo com o esperado.

                        Instalar na ordem:
                        LighSquid - Gerenciador de ralatório
                        SquidGuard - Filtro de Proxy
                        Squid - Proxy

                        Versões dos pacotes PfSense:

                        LIGHTSQUID - Beta 1.8.2 pkg v.2.33 platform: 2.0
                        SQUIDGUARD - 1.4_4 pkg v.1.9.5 platform: 2.1
                        SQUID3 - beta 3.1.20 pkg 2.0.6 platform: 2.0

                        Um abraço.

                        1 Reply Last reply Reply Quote 0
                        • Z
                          zilmar
                          last edited by

                          Legal rmelilloii!

                          Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2. Assim, se você instalar o Squid3 e depois o SquidGuard vai rolar um downgrade.
                          Posso estar falando besteira, mas acredito nisso :P

                          1 Reply Last reply Reply Quote 0
                          • R
                            rec
                            last edited by

                            Obrigado rmelilloii. Será que para o Windows 2003 server tenho que mudar algo? … Sabe?

                            1 Reply Last reply Reply Quote 0
                            • R
                              rmelilloii
                              last edited by

                              Pois é Zilmar, eu acho que tem algo tb parecido com isso, mas sempre que instalo algum pacote pela interface gráfica tento ver o que mais ele instala, nesse caso, não achei nada ¬¬.. Mas funciona dessa maneira parei de esquentar com isso :)

                              Sobre o Windows 2003 ele não tem por padrão nenhuma limitação quanto à segurança da comunicação com o LDAP, acredito que com o Squid3 funcionaria sem problemas apenas verificando o servidor NTP tb…
                              A chamada ao seu servidor AD você consegue fazer usando o Apache Directory Studio? (ele é o melhor teste que achei para conferir como está a comunicação)

                              Estou atualizando para o 2012 R2, tem mudanças para a autenticação NTLM, se alguém tiver implementado, vale a pena ver detalhes antes de atualizar.

                              Abç.

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                @zilmar:

                                Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2.

                                Isso já foi resolvido com o squidGuard-squid3 no pfsense2.1

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.