Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard-squid3 Ldap search

    Scheduled Pinned Locked Moved Portuguese
    17 Posts 3 Posters 5.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gilmarcabral
      last edited by

      Boa noite.
      Galera talvez alguém possa me ajudar.
      Tenho um servidor pfsense 2.1.2 com o squid e squidguard-squid3 e gostaria que o mesmo validade o Usuario na base Openldap.
      Quando crio uma ACL com o mesmo nome que esta na base openldap vejo o campo Client (source) com a opção abaixo.

      Ldap search (Ldap filter must be enabled in General Settings):
      ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))

      A arvore do openldap esta desta forma abaixo:

      +–> dc=agrovale,dc=com,dc=br (15)
      ---> Criar Novo
      +--> ou=Computadores (50+)
      +--> ou=Grupos (26)
      ---> ou=Idmap
      +--> ou=Usuarios (50+)

      Alguém sabe se o filtro ldapsearch funciona consultando em base openldap?

      Tentei utilizando a configuração desta forma abaixo.

      ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2cdc=agrovale%2cdc=com%2cdc=br))

      ou cada ACL terei que informar o filtro passando o grupo, desta forma abaixo?
      ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))

      1 Reply Last reply Reply Quote 0
      • L
        lucaspolli
        last edited by

        @gilmarcabral:

        Boa noite.
        Galera talvez alguém possa me ajudar.
        Tenho um servidor pfsense 2.1.2 com o squid e squidguard-squid3 e gostaria que o mesmo validade o Usuario na base Openldap.
        Quando crio uma ACL com o mesmo nome que esta na base openldap vejo o campo Client (source) com a opção abaixo.

        Ldap search (Ldap filter must be enabled in General Settings):
        ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))

        A arvore do openldap esta desta forma abaixo:

        +–> dc=agrovale,dc=com,dc=br (15)
        ---> Criar Novo
        +--> ou=Computadores (50+)
        +--> ou=Grupos (26)
        ---> ou=Idmap
        +--> ou=Usuarios (50+)

        Alguém sabe se o filtro ldapsearch funciona consultando em base openldap?

        Tentei utilizando a configuração desta forma abaixo.

        ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2cdc=agrovale%2cdc=com%2cdc=br))

        ou cada ACL terei que informar o filtro passando o grupo, desta forma abaixo?
        ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))

        falta especificar a porta 3268 ou a padrao 389 (ldapusersearch ldap://192.168.X.X:3268…...)

        1 Reply Last reply Reply Quote 0
        • G
          gilmarcabral
          last edited by

          Fiz alguns teste com a linha abaixo.
          O problema que a validação de grupo não esta sendo feito de forma correta.
          Simplesmente algums sites liberados da a mensagem na url de pagina não encontrada, mas a mesma esta no ar.
          E algum sites da acesso negado sendo que esta liberado para este grupo.
          Fiz o teste ante de utilizar o filtro ldapusersearch informando o nome do usuário manualmente no lugar do comando ldapusersearch e funcionou corretamente.
          Pelos testes o filtro ldapusersearch não esta funcionando corretamente consultando em base openldap.

          ldapusersearch ldap://192.168.1.39:3389/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli
            last edited by

            coloque memberOf= antes do grupo, e ao invez de OU teste com CN

            1 Reply Last reply Reply Quote 0
            • G
              gilmarcabral
              last edited by

              ldapusersearch openldap://192.168.1.39:389/DC=agrovale,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=CTINcOU=Grupos%2cDC=agrovale%2cDC=com%2cDC=br))

              Teste desta forma acima.
              Porem ele esta negando todas paginas agora.
              Agora ele não esta encontrando o usuário no grupos.
              Descobri isso, porque testei passando o usuario no filtro assim gilmar_20601 e funcionou normalmente, ja quando uso o ldapusersarch openldap:// todas paginas são negadas.

              1 Reply Last reply Reply Quote 0
              • G
                gilmarcabral
                last edited by

                Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

                ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

                Obrigado lucaspolli pela ajuda.

                1 Reply Last reply Reply Quote 0
                • L
                  lucaspolli
                  last edited by

                  @gilmarcabral:

                  Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

                  ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

                  Obrigado lucaspolli pela ajuda.

                  estamos ai pra ajudar no que for possivel..

                  1 Reply Last reply Reply Quote 0
                  • N
                    neutonsp
                    last edited by

                    @gilmarcabral:

                    Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

                    ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

                    Obrigado lucaspolli pela ajuda.

                    o que seria esse CTIN?  ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

                    estou com o mesmo problema porém uso o squidguard com squid2

                    1 Reply Last reply Reply Quote 0
                    • G
                      gilmarcabral
                      last edited by

                      CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.

                      1 Reply Last reply Reply Quote 0
                      • N
                        neutonsp
                        last edited by

                        @gilmarcabral:

                        CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.

                        Entendi.  aqui ele ta buscando o usuário blz.. mas não está bloq em nada..

                        1 Reply Last reply Reply Quote 0
                        • G
                          gilmarcabral
                          last edited by

                          Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.

                          1 Reply Last reply Reply Quote 0
                          • N
                            neutonsp
                            last edited by

                            @gilmarcabral:

                            Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.

                            Estranho parece que o usuário não está vinculado a nenhum grupo

                            Request denied by pfSense proxy: 403 Forbidden
                            Reason:
                            –------------------------------------------------------------------------------
                            Client address: 192.168.15.13
                            Client user: neuton.paula
                            Client group: default
                            Target group: none
                            URL: http://br.msn.com/?ocid=iehp

                            Abaixo são os Groups ACL

                            so-institucional         Grupo com acesso somente a sites da instituição

                            sem-entrete         Grupo com restrição a pornografia e entretenimento

                            completo-s-porno Grupo com acesso completo menos pornografia

                            acesso-total                    Grupo com acesso completo sem restrições

                            Estou usando o Enable LDAP Filter.

                            Se eu marcar alguma dessas opções abaixo ae navega mas sem bloquear nada..

                            Strip NT domain name

                            Strip Kerberos Realm

                            Resumindo ou bloqueia tudo ou libera tudo..

                            vlw

                            1 Reply Last reply Reply Quote 0
                            • L
                              lucaspolli
                              last edited by

                              essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?

                              1 Reply Last reply Reply Quote 0
                              • N
                                neutonsp
                                last edited by

                                @lucaspolli:

                                essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?

                                todas.. mas se eu marco alguma das opções

                                Strip Kerberos Realm ou Strip NT domain name  então ele navega mas não bloqueia nada..

                                no AD estou no grupo completo-s-porno  e em cliente source estou usando  ldapusersearch ldap://192.168.2.3:389/cn=completo-s-porno,ou=Grupos,dc=dominio,dc=edu,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

                                1 Reply Last reply Reply Quote 0
                                • L
                                  lucaspolli
                                  last edited by

                                  sua string esta errada, use assim:

                                  ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))

                                  1 Reply Last reply Reply Quote 0
                                  • N
                                    neutonsp
                                    last edited by

                                    @lucaspolli:

                                    sua string esta errada, use assim:

                                    ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))

                                    Não estou entendo mais nada.. creio que estou me atrapalhando em algo..  agora com essa string as páginas so ficam carregando e não da em nada..  :-) vou rever tudo aqui.  obrigado por enquanto..

                                    tenta ver se estou pensando correto… por favor.      ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=so-institucional%2cOU=Internet%2cDC=DOMINIO%2cDC=com%2cDC=br))

                                    CN=so-institucional  =  o grupo onde os usuários terão apenas acesso a alguns sites da instituição  :-)

                                    OU=Internet é a unidade organizacional onde estão esses grupos..  tal como o grupo so-institucional..  está correto dessa maneira?.. e lógico nesse grupo coloquei o usuário.. que por sinal está em outra OU. olha so o AD como que está.

                                    ad.jpg
                                    ad.jpg_thumb

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      lucaspolli
                                      last edited by

                                      pra nao errar, no seu AD, clique com botao direito do mouse no grupo, va em propriedades, na aba  "Attibute Editor" procure o atributo com nome "distinguishedName"de duplo clique nele, esse é a sua string correta para pesquisa

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.