Problemas com SQUID e SQUIDGUARD autenticando no AD



  • Olá,

    Estou tentando problemas para configurar o SQUID (Squid3-dev) e o SQUIDGUARD (SquidGuard-squid3) para realizar o controle de acesso a sites, baseada na autenticação em grupos no AD (Active Directory) e ACLs.

    Quando habilito a opção "Enable LDAP Filter" no SquidGuard, parece que o SquidGuard para de funcionar, assim o SQUID assumi novamente, ignorando as configurações feitas em "Client(source)" em "Groups ACL"

    Alguma ideia ou dica?

    Se alguém tiver algum exemplo de configuração, agradeço. Utilizei os padrões, mas não adiantou.

    Versão do pfSense 2.1.3-RELEASE (amd64)

    Obrigado
    Thiago



  • Já tentou o script que puxa a lista de usuários do grupo e aplica no squidguard?



  • Ainda não… terias algum documento com detalhes?

    Obrigado



  • Eu tive um desgaste para conseguir que funcionasse corretamente.
    Bom eu usei o squid + squidGuard + squidGuard-devel
    Minha string ficou assim para o grupo Internet-TI que esta dentro da ou=Internet dentro da ou=Grupos, dc=meudominio,dc=local

    ldapusersearch "ldap://192.168.x.x:389/dc=meudominio,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=Internet-TI%2cou=Grupos%2cou=Internet%2cdc=meudominio%2cdc=local)(sAMAccountName=%s))"

    Aqui esta funcionando :D

    Obs: Notei q sempre q volto um backup, por estar usando blacklist, tenho que instalar ela novamente, senão as ACLs não funcionam.

    Espero que ajude

    Atenciosamente
    Rodrigo



  • Amigo, você consegui resolver este problema? Estou com o mesmo problema!



  • Bom dia!

    Por Coincidência, ou não, hoje de manha minhas ACLs, estavam da mesma forma. Autenticava no AD de forma normal, mas as ACLs não funcionavam. Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.

    Espero que ajude.

    Atenciosamente
    Rodrigo Gomes Borba



  • Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.



  • @Leonardo:

    Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.

    Veja primeiro se o seu squid está logando os usuários.



  • @k1k0borba:

    Então reinctalei o squidGuard e o Squid-devel, respectivamente e as ACLs voltaram a funcionar.

    Use o squid3-dev com o squidguard-squid3 e aplique o patch disponível na área de tutoriais de pacotes e patches.



  • @marcelloc:

    @Leonardo:

    Galera estou com o mesmo problema, eu sei que existem varios tutoriais, ja olhei varios, mas o squidquard não loga no meu AD.

    Veja primeiro se o seu squid está logando os usuários.

    Marcelo boa tarde !
    Deixa eu ser mais específico para você entender o meu problemas. aqui no meu pfsense tenho instalado a Versão 2.1.3

    Pacotes

    Cron Services,Shellcmd, squid3-dev, squidGuard-squid3, System Patches.

    minha ideia era faze bloqueios por grupo, então vi esse tutorial que achei bem interessante.
    https://forum.pfsense.org/index.php?topic=66674.0
    então instalei o samba e segui os passos desse tutoral.

    pelo que estou vendo aqui, o meu ad esta conversando com o samba, porque quando coloco alguem no grupos de bloqueio ou liberação , o usuário ja fica la no squidguard.

    meu grupos são
    AcessoRestrito - Bloqueio
    AcessoTotal - para liberados

    mas quando vou navegar com algum usuário do AD cadastrado no grupo acesso restrito não esta bloqueando.



  • No log do squid você consegue ver o usuário que solicitou a url?



  • @marcelloc:

    No log do squid você consegue ver o usuário que solicitou a url?

    Da uma olhada ai, não pede o usuário, eu deixei com proxy transparente, se eu deixa como não transparente ele pede o usuário mas quando digito o usuário ele não loga ao na internet




  • Pessoal boa tarde sou novato de pfsense!!!
    Estou com o mesmo problema meu squidguard não está pegando os usuarios do Windows Server 2012 R2
    No squid configurei a conexão e funciona direitinho  pega os usuarios do AD do Win2012 R2 e loga certinho funciona blacklist tudo certinho.
    no SquidGuard usei as configurações de muitos topicos sobre isso, como nao to usando Domain pelo Samba teve algumas coisas que não fiz.
    segue detalhes do SquidGuard

    Proxy filter SquidGuard: General settings
    General Settings
    na parte de LDAP
    LDAP DN cn=Administrator,cn=Users,dc=meudominio,dc=srv

    na Groups ACL

    Na parte de client
    eu coloco
    ldapusersearch ldap://IPDOSERVIDORDOMAIN:389/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=BloqueadoNOMEDOGRUPONOACTIVEDIRECTORY%2cCN=Users%2cDC=MEUDOMINIOs%2cDC=srv))

    Alguem pode dar uma luz por favor.
    Fazer os Bloqueios por Grupo será muito importante para nos.

    Obrigado
    Att,
    David Jr



  • uso esse filtro:

    ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))



  • Primeiramente obrigado Lucas
    fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
    Vou fazer o teste tbm e te reporto

    novamente obrigado



  • @davidjrsp:

    Primeiramente obrigado Lucas
    fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
    Vou fazer o teste tbm e te reporto

    novamente obrigado

    creio que nao faz diferenca, a nao ser que vc alterou manualmente o CN no seu AD



  • Boa tarde,

    Lucas fiz o teste também com a porta 3268 e com OU em vez de CN e também não funcionou.

    até liberei no firewall do Win 2012 R2 a porta 3268 igual a 389 do squid que ta funcionando para pegar os users do AD e nada também

    Muito estranho no Squid funciona diretinho, eu crio um usuário no AD e já autentica no squid bem rapido.



  • Em proxy Filter -> General Settings -> Ldap Options o que vc configurou? pode mandar um print?



  • Obrigado pela força Lucas estou mandando dois print 1 que vc pediu e outro do groupsACL






  • Olá,

    Tente desmarcas as opções:

    Strip NT domain name e Strip Kerberos Realm

    em: Proxy Filter > General settings

    A porta que roda seu LDAP é a 3268 mesmo ?



  • O grupo "Bloqueado" esta dentro da OU "Users" no seu AD? estou achando que essa string de busca nao esta correta, verifique certinho onde esta o seu grupo Bloqueado, normalmente se cria uma OU especifica para grupos, nao deixando misturado com users



  • holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho


    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )



  • @davidjrsp:

    holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho

    Te mandei meu Skype por PM, se quiser me adicionar comparamos nossas configs.



  • @davidjrsp:

    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )

    Bloqueados ou Bloqueado ?



  • CN=Bloqueado

    E no AD tbm Bloqueado



  • Fiz um teste só pra ver se nao era problema do squidguard coloquei o client source do groups acl como range de ip e funcionou a questão mesmo é que parece que o squidguard nao ta pegando o grupo e os usuarios do AD do WinServer 2012 R2

    Ahh tentei reinstalar o pacote do squidguard tbm e NADIAAAAAAA :( ja dizia os Árabes NADIAAAAAAAA :(



  • no squid, ele criou as regras no campo Integration?



  • Lucas agora vc me pego como eu vejo esse campo Integration ?

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”



  • @davidjrsp:

    Lucas agora vc me pego como eu vejo esse campo Integration ?

    Em services, proxy server, no fim da pagina, custon settings

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”

    nunca precisei colocar nada no squid.inc é tudo transparente…



  • eu coloquei pq vi um procedimento e um cara falando que só funcionou com o -R no arquivo

    segue Custon

    redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5



  • :'( :'( :'(

    Montei uma VM nova para testar o squidguard e nada também, fiz as mesmas configuração da maquina fisica e não atribui as ACL para o grupo de usuários :(



  • nao sei se isso implica em algo mais o campo "Order" no Group ACL eu sempre deixo em branco..



  • Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))



  • @davidjrsp:

    Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))

    ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    montei um server novo ontem, com essa string… e ta 100%



  • é Windows Server se sim qual Versão ?



  • a autenticacao é no Server 2012 R2 Standart x64



  • UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?
    OU Internet é a unidade Organizacional do AD ?
    OU XXXXXX  o que seria ?

    vc liberou alguma coisa no firewall do Windows Server ?



  • @davidjrsp:

    UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?

    Sim

    OU Internet é a unidade Organizacional do AD ?

    Sim, é uma OU do AD

    OU XXXXXX  o que seria ?

    Unidade Organizacional que apenas mascarei o nome (uma OU dentro de uma OU)

    vc liberou alguma coisa no firewall do Windows Server ?

    Nao uso firewall do windows, todos, inclusive desktops estao desativados

    se voce for no seu AD, no grupo Bloqueados por exemplo, botao direiro do mouse, va em propriedades, na aba "Attribute Editor" o campo "distinguishedName" tem a Base, basta copiar



  • Vou desabilitar o Firewall do Windows Server então e fazer o teste

    Vc tem OU dentro de Ou entendi

    no seu LDAP DN no general Settings vc deixa como ?

    Obrigado pela força



  • CN=Administrator,CN=Users,DC=XXXXX,DC=com,DC=br