Problemas com SQUID e SQUIDGUARD autenticando no AD



  • Olá,

    Tente desmarcas as opções:

    Strip NT domain name e Strip Kerberos Realm

    em: Proxy Filter > General settings

    A porta que roda seu LDAP é a 3268 mesmo ?



  • O grupo "Bloqueado" esta dentro da OU "Users" no seu AD? estou achando que essa string de busca nao esta correta, verifique certinho onde esta o seu grupo Bloqueado, normalmente se cria uma OU especifica para grupos, nao deixando misturado com users



  • holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho


    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )



  • @davidjrsp:

    holiveira
    A porta Ldap ta como 389 e fizemos teste com a 3268 mais ja voltei pra 389
    desmarquei as opções que vc falo Strip NT domain name e Strip Kerberos Realm e também não rolo  :(
    mais obrigado vamos tentando uma vai fé em Deus que vai rsrsrs e nos amigos da comunidade :)
    No squid pela 389 ele puxa os usuarios bonitinho

    Te mandei meu Skype por PM, se quiser me adicionar comparamos nossas configs.



  • @davidjrsp:

    Lucas Então eu gosto de trabalhar com  OU e grupos por departamentos exemplo OU MKT ou RH OU VENDAS e assim por diante porem estou criando dentro da OU padrao Users o grupo Bloqueados e liberados pra teste antes da Producao ( colocar no AR )

    Bloqueados ou Bloqueado ?



  • CN=Bloqueado

    E no AD tbm Bloqueado



  • Fiz um teste só pra ver se nao era problema do squidguard coloquei o client source do groups acl como range de ip e funcionou a questão mesmo é que parece que o squidguard nao ta pegando o grupo e os usuarios do AD do WinServer 2012 R2

    Ahh tentei reinstalar o pacote do squidguard tbm e NADIAAAAAAA :( ja dizia os Árabes NADIAAAAAAAA :(



  • no squid, ele criou as regras no campo Integration?



  • Lucas agora vc me pego como eu vejo esse campo Integration ?

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”



  • @davidjrsp:

    Lucas agora vc me pego como eu vejo esse campo Integration ?

    Em services, proxy server, no fim da pagina, custon settings

    na mão eu fiz isso aqui no arquivo /usr/local/pkg/squid.inc

    pra ele meio que buscar os users do AD

    modificada: $conf .= “auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v {$settings['ldap_version']} -b {$settings…”

    nunca precisei colocar nada no squid.inc é tudo transparente…



  • eu coloquei pq vi um procedimento e um cara falando que só funcionou com o -R no arquivo

    segue Custon

    redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5



  • :'( :'( :'(

    Montei uma VM nova para testar o squidguard e nada também, fiz as mesmas configuração da maquina fisica e não atribui as ACL para o grupo de usuários :(



  • nao sei se isso implica em algo mais o campo "Order" no Group ACL eu sempre deixo em branco..



  • Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))



  • @davidjrsp:

    Também deixei Lucas mais não foi também!

    como vc deixa o Client (source) no Groups ACL ?

    O meu ta assim, ja tentei colocar porta :389 ou :3268 o grupo do Active Directoy é bloqueado e tem 2 usuarios e nenhum deles pega as acl

    ldapusersearch ldap://192.168.1.208/DC=meudominio,DC=srv?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=bloqueado%2cCN=Users%2cDC=meudominio%2cDC=srv))

    ldapusersearch ldap://192.168.0.x:3268/DC=xxxxxx,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    montei um server novo ontem, com essa string… e ta 100%



  • é Windows Server se sim qual Versão ?



  • a autenticacao é no Server 2012 R2 Standart x64



  • UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?
    OU Internet é a unidade Organizacional do AD ?
    OU XXXXXX  o que seria ?

    vc liberou alguma coisa no firewall do Windows Server ?



  • @davidjrsp:

    UHHH mesmo que o meu Windows Server 2012 R2 x64

    No seu tem

    (memberOf=CN=Bloqueados%2cOU=Internet%2cOU=XXXXXXX%2cDC=xxxxxxxx%2cDC=com%2cDC=br))

    Bloqueados é o Grupo  igual no AD ?

    Sim

    OU Internet é a unidade Organizacional do AD ?

    Sim, é uma OU do AD

    OU XXXXXX  o que seria ?

    Unidade Organizacional que apenas mascarei o nome (uma OU dentro de uma OU)

    vc liberou alguma coisa no firewall do Windows Server ?

    Nao uso firewall do windows, todos, inclusive desktops estao desativados

    se voce for no seu AD, no grupo Bloqueados por exemplo, botao direiro do mouse, va em propriedades, na aba "Attribute Editor" o campo "distinguishedName" tem a Base, basta copiar



  • Vou desabilitar o Firewall do Windows Server então e fazer o teste

    Vc tem OU dentro de Ou entendi

    no seu LDAP DN no general Settings vc deixa como ?

    Obrigado pela força



  • CN=Administrator,CN=Users,DC=XXXXX,DC=com,DC=br



  • Ta ativo o seu

    Blacklist options

    no General

    no meu no AD nao achei essas propriedades do Grupo
    "Attribute Editor" o campo "distinguishedName"
    Meu Ad instalei modo 2008 R2 será que tinha que estar modo 2012 R2 ? para aparecer esses atributos

    ![Propriedades do Grupo.jpg](/public/imported_attachments/1/Propriedades do Grupo.jpg)
    ![Propriedades do Grupo.jpg_thumb](/public/imported_attachments/1/Propriedades do Grupo.jpg_thumb)



  • por padrao é desativado no server 2012 (fica mais "limpo" com menos opcoes), va no menu acima, na aba View, marque a opcao "Advanced Features"

    BlackList Ativo



  • Agora ta aparecendo no Ad.

    deixei igual mais não vai.

    Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.






  • Na Blacklist do grupo o Default access vc deixa como allow e no General Settings vc deixa como deny

    nao esqueca do apply no general settings apos cada mudanca efetuada, senao a regra nao é aplicada



  • Bom dia,

    Percebi que no AD o nome do grupo está: "bloqueado" (com b em minusculo)
    No pfSense o nome do grupo tem que ser idêntico ao que está no AD, você está colocando "Bloqueado" (com B em maisculo)
    Mude o grupo no pfsense para: "bloqueado" e veja se irá funcionar.



  • @davidjrsp:

    Ele autentica e tudo no browser da estação mais deixa passar os sites bloqueados globo.com e terra.com.br dominios cadastrados para bloqueados.

    ja esta autenticando entao.. agora seu problema é so as configuracoes de blacklist bem mais simples.. segue o que falei acima que vai funcionar



  • Bom dia Lucas

    Tentei fazer as configurações que falou e também não ta bloqueando
    Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Deny

    estou te mandando uns prints.


    Henrique Deixei o b minusculo e também não foi :(










  • Estou dando o Apply e ainda vou em status e coloco para recarregar filtro
    fecho o browser do usuario e logo novamente, e limpo o cache também do browser



  • @davidjrsp:

    Vc falou General Settings vc deixa como deny no General Setting nao achei a opção Deny

    Desculpe, errei o local é em Common ACL, na blacklist



  • Lucas também não funcionou vc acredita !!!!!




  • deixe a Bloqueia Sites como –- nessa pagina vc nao altera nada, somente se for colocar um whitelist



  • Coloquei o –----- e também não funcionou




  • limpou o cache do squid?



  • Não Limpei, é via Shell Console ? ou da pra fazer com a interface WEB



  • prefiro via shell, va no diretorio do cache, pare o squid, remova todos os arquivos (rm -R *), mais antes verifique se esta no local correto, depois de remover digite squid -z para recriar o cache e inicie novamente o squid, limpe o cache do navegador tb



  • Olá Lucas

    fiz os seguintes comados via console e limpei o cache do browser

    E também não rolo ate parei o serviço do squidguard e subi novamente e nada

    /usr/local/etc/rc.d/squid.sh stop

    rm -rf /var/squid/cache/

    mkdir -p /var/squid/cache/

    chown proxy:proxy /var/squid/cache/

    chmod 750 /var/squid/cache/
    squid -z

    /usr/local/etc/rc.d/squid.sh start



  • a porta esta aberta no seu firewall?



  • Eu desabilitei o Firewall do Windows Server 2012 r2



  • firewall do pfsense..