Problemas com SQUID e SQUIDGUARD autenticando no AD



  • Primeiramente obrigado Lucas
    fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
    Vou fazer o teste tbm e te reporto

    novamente obrigado



  • @davidjrsp:

    Primeiramente obrigado Lucas
    fiz esse teste tbm da porta :3268 de diferente só nao coloquei a OU=Internet pq ta direto no Users só que meu ta como CN=Users será que é isso tem que estar como OU=Users ?
    Vou fazer o teste tbm e te reporto

    novamente obrigado

    creio que nao faz diferenca, a nao ser que vc alterou manualmente o CN no seu AD



  • Boa tarde,

    Lucas fiz o teste também com a porta 3268 e com OU em vez de CN e também não funcionou.

    até liberei no firewall do Win 2012 R2 a porta 3268 igual a 389 do squid que ta funcionando para pegar os users do AD e nada também

    Muito estranho no Squid funciona diretinho, eu crio um usuário no AD e já autentica no squid bem rapido.



  • Em proxy Filter -> General Settings -> Ldap Options o que vc configurou? pode mandar um print?



  • Obrigado pela força Lucas estou mandando dois print 1 que vc pediu e outro do groupsACL






  • Olá,

    Tente desmarcas as opções:

    Strip NT domain name e Strip Kerberos Realm

    em: Proxy Filter > General settings

    A porta que roda seu LDAP é a 3268 mesmo ?



  • O grupo "Bloqueado" esta dentro da OU "Users" no seu AD? estou achando que essa string de busca nao esta correta, verifique certinho onde esta o seu grupo Bloqueado, normalmente se cria uma OU especifica para grupos, nao deixando misturado com users



  • holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho


    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )



  • @davidjrsp:

    holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho

    Te mandei meu Skype por PM, se quiser me adicionar comparamos nossas configs.



  • @davidjrsp:

    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )

    Bloqueados ou Bloqueado ?



  • CN=Bloqueado

    E no AD tbm Bloqueado



  • Fiz um teste só pra ver se nao era problema do squidguard coloquei o client source do groups acl como range de ip e funcionou a questão mesmo é que parece que o squidguard nao ta pegando o grupo e os usuarios do AD do WinServer 2012 R2

    Ahh tentei reinstalar o pacote do squidguard tbm e NADIAAAAAAA :( ja dizia os Árabes NADIAAAAAAAA :(



  • no squid, ele criou as regras no campo Integration?



  • Lucas agora vc me pego como eu vejo esse campo Integration ?

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”



  • @davidjrsp:

    Lucas agora vc me pego como eu vejo esse campo Integration ?

    Em services, proxy server, no fim da pagina, custon settings

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”

    nunca precisei colocar nada no squid.inc é tudo transparente…



  • eu coloquei pq vi um procedimento e um cara falando que só funcionou com o -R no arquivo

    segue Custon

    redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5



  • :'( :'( :'(

    Montei uma VM nova para testar o squidguard e nada também, fiz as mesmas configuração da maquina fisica e não atribui as ACL para o grupo de usuários :(



  • nao sei se isso implica em algo mais o campo "Order" no Group ACL eu sempre deixo em branco..



  • Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))



  • @davidjrsp:

    Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))

    ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    montei um server novo ontem, com essa string… e ta 100%



  • é Windows Server se sim qual Versão ?



  • a autenticacao é no Server 2012 R2 Standart x64



  • UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?
    OU Internet é a unidade Organizacional do AD ?
    OU XXXXXX  o que seria ?

    vc liberou alguma coisa no firewall do Windows Server ?



  • @davidjrsp:

    UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?

    Sim

    OU Internet é a unidade Organizacional do AD ?

    Sim, é uma OU do AD

    OU XXXXXX  o que seria ?

    Unidade Organizacional que apenas mascarei o nome (uma OU dentro de uma OU)

    vc liberou alguma coisa no firewall do Windows Server ?

    Nao uso firewall do windows, todos, inclusive desktops estao desativados

    se voce for no seu AD, no grupo Bloqueados por exemplo, botao direiro do mouse, va em propriedades, na aba "Attribute Editor" o campo "distinguishedName" tem a Base, basta copiar



  • Vou desabilitar o Firewall do Windows Server então e fazer o teste

    Vc tem OU dentro de Ou entendi

    no seu LDAP DN no general Settings vc deixa como ?

    Obrigado pela força



  • CN=Administrator,CN=Users,DC=XXXXX,DC=com,DC=br



  • Ta ativo o seu

    Blacklist options

    no General

    no meu no AD nao achei essas propriedades do Grupo
    "Attribute Editor" o campo "distinguishedName"
    Meu Ad instalei modo 2008 R2 será que tinha que estar modo 2012 R2 ? para aparecer esses atributos

    ![Propriedades do Grupo.jpg](/public/imported_attachments/1/Propriedades do Grupo.jpg)
    ![Propriedades do Grupo.jpg_thumb](/public/imported_attachments/1/Propriedades do Grupo.jpg_thumb)



  • por padrao é desativado no server 2012 (fica mais "limpo" com menos opcoes), va no menu acima, na aba View, marque a opcao "Advanced Features"

    BlackList Ativo



  • Agora ta aparecendo no Ad.

    deixei igual mais não vai.

    Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.






  • Na Blacklist do grupo o Default access vc deixa como allow e no General Settings vc deixa como deny

    nao esqueca do apply no general settings apos cada mudanca efetuada, senao a regra nao é aplicada



  • Bom dia,

    Percebi que no AD o nome do grupo está: "bloqueado" (com b em minusculo)
    No pfSense o nome do grupo tem que ser idêntico ao que está no AD, você está colocando "Bloqueado" (com B em maisculo)
    Mude o grupo no pfsense para: "bloqueado" e veja se irá funcionar.



  • @davidjrsp:

    Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.

    ja esta autenticando entao.. agora seu problema é so as configuracoes de blacklist bem mais simples.. segue o que falei acima que vai funcionar



  • Bom dia Lucas

    Tentei fazer as configurações que falou e também não ta bloqueando
    Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Deny

    estou te mandando uns prints.


    Henrique Deixei o b minusculo e também não foi :(










  • Estou dando o Apply e ainda vou em status e coloco para recarregar filtro
    fecho o browser do usuario e logo novamente, e limpo o cache também do browser



  • @davidjrsp:

    Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Deny

    Desculpe, errei o local é em Common ACL, na blacklist



  • Lucas também não funcionou vc acredita !!!!!




  • deixe a Bloqueia Sites como –- nessa pagina vc nao altera nada, somente se for colocar um whitelist



  • Coloquei o –----- e também não funcionou




  • limpou o cache do squid?



  • Não Limpei, é via Shell Console ? ou da pra fazer com a interface WEB