SquidGuard-squid3 Ldap search



  • Boa noite.
    Galera talvez alguém possa me ajudar.
    Tenho um servidor pfsense 2.1.2 com o squid e squidguard-squid3 e gostaria que o mesmo validade o Usuario na base Openldap.
    Quando crio uma ACL com o mesmo nome que esta na base openldap vejo o campo Client (source) com a opção abaixo.

    Ldap search (Ldap filter must be enabled in General Settings):
    ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))

    A arvore do openldap esta desta forma abaixo:

    +–> dc=agrovale,dc=com,dc=br (15)
    ---> Criar Novo
    +--> ou=Computadores (50+)
    +--> ou=Grupos (26)
    ---> ou=Idmap
    +--> ou=Usuarios (50+)

    Alguém sabe se o filtro ldapsearch funciona consultando em base openldap?

    Tentei utilizando a configuração desta forma abaixo.

    ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2cdc=agrovale%2cdc=com%2cdc=br))

    ou cada ACL terei que informar o filtro passando o grupo, desta forma abaixo?
    ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))



  • @gilmarcabral:

    Boa noite.
    Galera talvez alguém possa me ajudar.
    Tenho um servidor pfsense 2.1.2 com o squid e squidguard-squid3 e gostaria que o mesmo validade o Usuario na base Openldap.
    Quando crio uma ACL com o mesmo nome que esta na base openldap vejo o campo Client (source) com a opção abaixo.

    Ldap search (Ldap filter must be enabled in General Settings):
    ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))

    A arvore do openldap esta desta forma abaixo:

    +–> dc=agrovale,dc=com,dc=br (15)
    ---> Criar Novo
    +--> ou=Computadores (50+)
    +--> ou=Grupos (26)
    ---> ou=Idmap
    +--> ou=Usuarios (50+)

    Alguém sabe se o filtro ldapsearch funciona consultando em base openldap?

    Tentei utilizando a configuração desta forma abaixo.

    ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2cdc=agrovale%2cdc=com%2cdc=br))

    ou cada ACL terei que informar o filtro passando o grupo, desta forma abaixo?
    ldapusersearch ldap://192.168.1.39/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))

    falta especificar a porta 3268 ou a padrao 389 (ldapusersearch ldap://192.168.X.X:3268…...)



  • Fiz alguns teste com a linha abaixo.
    O problema que a validação de grupo não esta sendo feito de forma correta.
    Simplesmente algums sites liberados da a mensagem na url de pagina não encontrada, mas a mesma esta no ar.
    E algum sites da acesso negado sendo que esta liberado para este grupo.
    Fiz o teste ante de utilizar o filtro ldapusersearch informando o nome do usuário manualmente no lugar do comando ldapusersearch e funcionou corretamente.
    Pelos testes o filtro ldapusersearch não esta funcionando corretamente consultando em base openldap.

    ldapusersearch ldap://192.168.1.39:3389/dc=agrovale,dc=com,dc=br?sAMAccountName?sub?(&(sAMAccountName=%s)(ou=Grupos%2ccn=Atualizacao%2cdc=agrovale%2cdc=com%2cdc=br))



  • coloque memberOf= antes do grupo, e ao invez de OU teste com CN



  • ldapusersearch openldap://192.168.1.39:389/DC=agrovale,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=CTINcOU=Grupos%2cDC=agrovale%2cDC=com%2cDC=br))

    Teste desta forma acima.
    Porem ele esta negando todas paginas agora.
    Agora ele não esta encontrando o usuário no grupos.
    Descobri isso, porque testei passando o usuario no filtro assim gilmar_20601 e funcionou normalmente, ja quando uso o ldapusersarch openldap:// todas paginas são negadas.



  • Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

    ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

    Obrigado lucaspolli pela ajuda.



  • @gilmarcabral:

    Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

    ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

    Obrigado lucaspolli pela ajuda.

    estamos ai pra ajudar no que for possivel..



  • @gilmarcabral:

    Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

    ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

    Obrigado lucaspolli pela ajuda.

    o que seria esse CTIN?  ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

    estou com o mesmo problema porém uso o squidguard com squid2



  • CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.



  • @gilmarcabral:

    CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.

    Entendi.  aqui ele ta buscando o usuário blz.. mas não está bloq em nada..



  • Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.



  • @gilmarcabral:

    Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.

    Estranho parece que o usuário não está vinculado a nenhum grupo

    Request denied by pfSense proxy: 403 Forbidden
    Reason:
    –------------------------------------------------------------------------------
    Client address: 192.168.15.13
    Client user: neuton.paula
    Client group: default
    Target group: none
    URL: http://br.msn.com/?ocid=iehp

    Abaixo são os Groups ACL

    so-institucional         Grupo com acesso somente a sites da instituição

    sem-entrete         Grupo com restrição a pornografia e entretenimento

    completo-s-porno Grupo com acesso completo menos pornografia

    acesso-total                    Grupo com acesso completo sem restrições

    Estou usando o Enable LDAP Filter.

    Se eu marcar alguma dessas opções abaixo ae navega mas sem bloquear nada..

    Strip NT domain name

    Strip Kerberos Realm

    Resumindo ou bloqueia tudo ou libera tudo..

    vlw



  • essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?



  • @lucaspolli:

    essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?

    todas.. mas se eu marco alguma das opções

    Strip Kerberos Realm ou Strip NT domain name  então ele navega mas não bloqueia nada..

    no AD estou no grupo completo-s-porno  e em cliente source estou usando  ldapusersearch ldap://192.168.2.3:389/cn=completo-s-porno,ou=Grupos,dc=dominio,dc=edu,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))



  • sua string esta errada, use assim:

    ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))



  • @lucaspolli:

    sua string esta errada, use assim:

    ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))

    Não estou entendo mais nada.. creio que estou me atrapalhando em algo..  agora com essa string as páginas so ficam carregando e não da em nada..  :-) vou rever tudo aqui.  obrigado por enquanto..

    tenta ver se estou pensando correto… por favor.      ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=so-institucional%2cOU=Internet%2cDC=DOMINIO%2cDC=com%2cDC=br))

    CN=so-institucional  =  o grupo onde os usuários terão apenas acesso a alguns sites da instituição  :-)

    OU=Internet é a unidade organizacional onde estão esses grupos..  tal como o grupo so-institucional..  está correto dessa maneira?.. e lógico nesse grupo coloquei o usuário.. que por sinal está em outra OU. olha so o AD como que está.




  • pra nao errar, no seu AD, clique com botao direito do mouse no grupo, va em propriedades, na aba  "Attibute Editor" procure o atributo com nome "distinguishedName"de duplo clique nele, esse é a sua string correta para pesquisa