Dúvida quanto a configurações AD 2008 R2 + PfSense



  • Bom dia a todos

    Pesquisei muito no fórum e assisti várias vídeo aulas por aí..
    Porém as vezes fico confuso, pois são muitos tópicos falando de diversas formas de como resolver minhas dúvidas, porém parecem estar um pouco de defasadas (usando o Ad do Windows Server 2003).

    Meu caso é o seguinte, na empresa que trabalho a floresta ta Windows Server 2008 R2, os Servers são a maioria Server 2012, eu usava e ainda to usando como Firewall/Proxy o Isa Server 2006 e estou tentando abandonar ele para usar software livre, pesquisei bastante e me interessei pelo PfSense.

    Instalei o PfSense em uma máquina, instalei o Squid e o SquidGuard, estou querendo fazer com que o pfsense autentique os usuários da rede sem a necessidade de digitar login e senha, ou seja, autenticar usando o logon do usuário da máquina, vi um vídeo do Luiz Fernando sobre o samba4, porém ficou muito vago… nem consegui instalar o pacote.
    Quanto às regras, dou um jeito, no meu caso vou usar regras com diversos acessos, por horário, controle de banda etc. Mas isso eu dou meus pulos aqui.

    Preciso de uma ajuda de vocês com mais experiência nesse assunto.

    Obrigado



  • Olá marochavieira,

    Também tenho essa necessidade, pesquisei e também assisti as aulas do Luis. Tenho 7 ambientes que terei que configurar com autenticação transparente seguirei esse tutorial, se quiser tentar…

    https://forum.pfsense.org/index.php?topic=66674.0;wap2



  • Neo

    Muito obrigado, ainda não terminei de ler, mas ta bem explicadinho.

    Vou dar uma estudada e tentar fazer funcionar..

    Espero que de certo.

    Valeu mesmo.

    Obrigado



  • Neo.. e quem mais puder me ajudar…
    De acordo com o conteúdo disponibilizado por você, tem uma parte la que diz exatamente o seguinte:

    "Windows 2008 Server R2 , pfSense 2.0.3 + squid 2.7.9 pkg v.4.3.3 + SquidGuard 1.4_4 pkg v.1.9.5 já funcionando com autenticação não transparente."

    No meu caso, não tenho a autenticação não transparente funcionando ainda.

    Segui um tutorial de PFsense 2.0 + Squid + Atenticação AD de acordo com o site abaixo.
    http://pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

    Porém, não sei se ele está enxergando meus usuários do AD. Existe alguem comando ou tela que mostra que está?
    Esse método ainda é usado, visto que estou usando o PfSente 2.1 ?
    Caso esteja desatualizado, qual o método de configuração mais atual de Squid e Squidguard usando Ldap (NTLM) ?
    Eu fazendo isso funcionar direito poderei usar o método de autenticação transparente que você informou!!!

    Pode me ajudar com mais essa?

    Obrigado.



  • Alguém para me ajudar???

    Se tiver pelo menos um link já de grande ajuda.

    Obrigado



  • Olá marochavieira,

    Eu estou com o mesmo ambiente, mas a autenticação via AD está funcionando corretamente. Está uma beleza! Também pretendo fazer uma autenticação transparente e já agradeço pelo link do tópico.

    O meu teste foi bem "rústico", abri um navegador, configurei o proxy e tentei logar com alguns usuários de grupos diferentes. Deu certinho, coloquei todos do setor da informática no proxy e tá todo mundo usando de boa. O próximo passo é estender para outros setores, mas antes preciso configurar a autenticação transparente.

    Enfim, tente testar mais ou menos como eu fiz, foi um parâmetro bom e pude confirmar a funcionalidade da configuração.



  • Nos tutoriais tem um tópico pra configuração do proxy transparente (NTLM) no AD http://forum.pfsense.org/index.php/topic,58700.msg314806.html#msg314806



  • Tem esse tópico que é em português:
    https://forum.pfsense.org/index.php/topic,66674.0.html

    Segui ele e aqui tá funcionando bem! :)



  • Eu segui alguns desses tutoriais, instalei os complementos mas não deu certo. Vou testar o tutorial que o neo_X informou, vou fazer um servidor hoje a noite. Informo mais a noite do resultado.



  • Nobres, boa tarde! Não sei se teria local melhor mas gostaria de compartilhar alguns problemas que tive e que podem ser comuns à vocês. Minha intenção é reunir informações para facilitar a pesquisa de todos que passam por problemas que acreditam não existam e que só podem acontecer só com eles. Se estiver falando alguma bobagem, peço que me corrijam.

    Minha estrutura:
    Servidores Windows 2012 R2
    Server01 - AD, DNS
    Server02 - AD, DNS, DHCP
    PFSense 2.1 64 bits

    Após seguir todas as dicas do fórum, consultar documentações do produto cheguei a alguns pontos que podem fazer com que não seja possível implementar a solução básica: Squid, SquidGuard, LightSquid > Ldap Windows 2012 R2 ou 2008 R2 para frente.

    Utilizei uma ferramenta para debugar os erros de conexão de um ambiente Linux com o Ldap do Windows.

    • Apache Directory Studio

    Verificação no Servidor Windows:

    AD 2012

    O Windows exige um nível de segurança que demanda que seja gerado/instalado certifcado dos servers em ambos (Windows e PfSense), de imediato apenas vou baixar essa exigência de segurança (só achei meios alterando diretamente no registro), alterando o valor para 1.

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
    "ldapserverintegrity"=dword:00000001

    Verificação no PFSense:

    PfSense 2.1 64bits

    Um dos pontos de erro entre a comunicação era devido à diferença entre o horário do servidor Windows e PFsense, foi necessário utilizar um outro servidor NTP no PFSense:

    NTP Server: a.st1.ntp.br

    Configurações no Squid

    Squid3
    User DN: CN="usuário do ad",OU="Unidade Organizacional do usuário",OU="Unidade Organizacional do usuário",DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"

    • consultar servidor AD (dsquery user -name "nome do usuário") a chave que é passada é aceita perfeitamente na config de comunicação do Squid ou mesmo geral do PFSense

    Base DN: DC="nome base do dominio",DC="complemento do domínio",DC="complemento do domínio"
    DN Attribute: uid
    LDAP Search Filter: sAMAccountName=%s

    Por fim, após nova tentativa para instalar e verificar se era isso mesmo, foi necessário instalar o Squid por último, para que tudo funcionasse de acordo com o esperado.

    Instalar na ordem:
    LighSquid - Gerenciador de ralatório
    SquidGuard - Filtro de Proxy
    Squid - Proxy

    Versões dos pacotes PfSense:

    LIGHTSQUID - Beta 1.8.2 pkg v.2.33 platform: 2.0
    SQUIDGUARD - 1.4_4 pkg v.1.9.5 platform: 2.1
    SQUID3 - beta 3.1.20 pkg 2.0.6 platform: 2.0

    Um abraço.



  • Legal rmelilloii!

    Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2. Assim, se você instalar o Squid3 e depois o SquidGuard vai rolar um downgrade.
    Posso estar falando besteira, mas acredito nisso :P



  • Obrigado rmelilloii. Será que para o Windows 2003 server tenho que mudar algo? … Sabe?



  • Pois é Zilmar, eu acho que tem algo tb parecido com isso, mas sempre que instalo algum pacote pela interface gráfica tento ver o que mais ele instala, nesse caso, não achei nada ¬¬.. Mas funciona dessa maneira parei de esquentar com isso :)

    Sobre o Windows 2003 ele não tem por padrão nenhuma limitação quanto à segurança da comunicação com o LDAP, acredito que com o Squid3 funcionaria sem problemas apenas verificando o servidor NTP tb…
    A chamada ao seu servidor AD você consegue fazer usando o Apache Directory Studio? (ele é o melhor teste que achei para conferir como está a comunicação)

    Estou atualizando para o 2012 R2, tem mudanças para a autenticação NTLM, se alguém tiver implementado, vale a pena ver detalhes antes de atualizar.

    Abç.



  • @zilmar:

    Eu acho que no caso do Squid3, foi necessário instalá-lo por último porque o SquidGuard depende do Squid2.

    Isso já foi resolvido com o squidGuard-squid3 no pfsense2.1