Squidguard + Consulta Ldap



  • Olá Pessoal, Boa tarde!

    estava testando o filtro de consultas Ldap para o squidguard, e queria uma ajudinha….

    já tentei de diversas formas a consulta abaixo, mas não funciona.. quando implemento o LDAP  o squidguard  consulta os usuários, no log não apresenta " Invalid Credencials" mas libera tudo, não bloqueia nada...  será que estou errando na forma de consultar?

    olha as consultas que tentei.. alguém tem alguma sugestão?

    estou usando pfsense 2.1.5 ... Windows server 2008 R2 com AD

    ldapusersearch ldap://192.168.0.2:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cCN=Users%2cDC=dominio%2cDC=com%2cDC=br))

    ldapusersearch ldap://192.168.0.2:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cOU=Grupos%2cDC=dominio%2cDC=com%2cDC=br))

    ldapusersearch ldap://192.168.0.2:389/DC=dominio,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cCN=Users%2cCN=Grupos%2cDC=dominio%2cDC=com%2cDC=br))

    obrigado

    DIEGO



  • Olá,

    Como está sua hierarquia no AD ?

    dominio.com.br
    -Users
      - Int-Bloqueada

    ldapusersearch ldap://192.168.0.2/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cCN=Users%2cDC=dominio%2cDC=com%2cDC=br))

    dominio.com.br
    -Grupos
      - Int-Bloqueada

    ldapusersearch ldap://192.168.0.2/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cOU=Grupos%2cDC=dominio%2cDC=com%2cDC=br))

    dominio.com.br

    • Grupos
        -Users
          -Int-Bloqueada

    ldapusersearch ldap://192.168.0.2/DC=dominio,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Int-Bloqueada%2cCN=Users%2cCN=Grupos%2cDC=dominio%2cDC=com%2cDC=br))

    Nao precisa informar a porta, se ela for a padrão (389), pelo que eu saiba existe algumas restrições de senhas quando se usa o squidguar integrado com AD, a senha tem que ser neste formato: iniciar somente com letras (Ex: Exempo123), formatos válidos: [a-zA-Z/][a-zA-Z0-9/_-./:%+?=&]

    Já tive problemas também, que se o nome do Group ACL for diferente do que criou no Squidguard dá pau. Então se o grupo no seu AD é Int-Bloqueada, sugiro que use o mesmo no Group ACL. Abraços.



  • amigo..

    tentei as 3 e não funcionou…

    está assim

    domínio
    grupo na raiz do dominio
    e meus usuários dentro de uma OU que criei

    o nome do grupo está idêntico ao do squidguard e a senha atende o padrão..

    ele até conecta valida o usuário, mas não bloqueia nada!

    mais alguma sugestão?

    obrigado



  • @didonsom:

    amigo..

    tentei as 3 e não funcionou…

    está assim

    domínio
    grupo na raiz do dominio
    e meus usuários dentro de uma OU que criei

    o nome do grupo está idêntico ao do squidguard e a senha atende o padrão..

    ele até conecta valida o usuário, mas não bloqueia nada!

    mais alguma sugestão?

    obrigado

    Alguem chegou a avançar nisso? Como eu verifico que o filtro LDAP funcionou?

    Abraços



  • De uma olhada neste tutorial, configurei o meu pfsense com este e está rodando uma belezinha. O meu server é um 2012 R2

    http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/

    posta ai o resultado depois…

    []s



  • @fpmazzi:

    De uma olhada neste tutorial, configurei o meu pfsense com este e está rodando uma belezinha. O meu server é um 2012 R2

    http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/

    posta ai o resultado depois…

    []s

    Opa, tudo bem cara?

    Muito obrigado pela dica, já tinha visto esse tutorial. Mas no meu caso, eu uso o proxy transparente, não tenho como configurar proxy pra todos e usamos vários navegadores diferentes.

    Meu problema é apenas conseguir fazer o filtro para validar se o usuário faz ou não parte do grupo do AD. Alguem sabe qual é o log que mostra se a validação foi feita ou se está dando algum problema de permissão?



  • Bom dia Medeiros.
    Parece que meu cenário é parecido com o seu: tenho que atutenticá-los pelo captive portal e queria gravar os usuários no log do squid.
    Mas não consigo, você pode me explicar como funciona sua atenticação?

    Ps.: atualmente autentico meus usuários no captive portal pelo Ldap, mas gostaria de gravar no log o que cada usuário acessou.



  • @marcelo.castro:

    Bom dia Medeiros.
    Parece que meu cenário é parecido com o seu: tenho que atutenticá-los pelo captive portal e queria gravar os usuários no log do squid.
    Mas não consigo, você pode me explicar como funciona sua atenticação?

    Ps.: atualmente autentico meus usuários no captive portal pelo Ldap, mas gostaria de gravar no log o que cada usuário acessou.

    Oi Marcelo, blz?

    Então, meu caso é um pouco diferente, pois eu uso proxy transparente. Minha idéia é apenas fazer filtro de conteúdo pelo squidguard, conforme grupo do AD.

    Quando eu crio uma GroupACL com o IP da minha máquina, bloqueia normal… mas quando uso o filtro ldapusersearch, não funciona. Não sei onde to errando e já perdi 3 dias tentando... acabo não sabendo se é um BUG do squidGuard e eu to perdendo tempo ou se é alguma configuração errada....

    Boa sorte amigo!



  • Entendi Medeiros.

    No meu caso eu uso o Proxy Transparente, autenticação pelo Captive Portal (via FreeRadius [ldap]), SquidGuard para bloqueiar e gostaria que nos relatórios (Sarg ou Lightsquid) saisse o nome do usuário autenticado ao invés do ip (visto que cada hora é um naquele ip). Esse post: https://forum.pfsense.org/index.php?topic=85076.0 é exatamente minha dúvida, vou ver se consigo a resposta por lá.

    Obrigado.



  • Meu ambiente está assim:

    Na guia General do proxy Filter deixei habilitado o "Enable LDAP Filter";
    No LDAP DN preenchi com o usuário: CN=pfsense,CN=Users,DC=dominio,DC=local;
    LDAP DN Password: senha do usuário pfsense;
    Strip NT domain name e Strip Kerberos Realm desmarcados;
    LDAP Version: 3

    No GroupACL, criei uma regra com o nome "AcessoTeste" (mesmo nome do grupo que criei no AD e coloquei meu usuário)

    Em Client Source usei um filtro LDAP: ldapusersearch ldap://10.10.0.10/DC=dominio,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=AcessoTeste%2cCN=Users%2cDC=dominio%2cDC=local))
    Em Target Rules bloqueei duas categorias para teste, Aggressive e Alcohol;
    Restante das opções deixei padrão.

    Salvo, vou na guia General e dou um Apply.

    Tento acessar um site que esta na lista do Aggressive e consigo =(

    Como teste, fiz a mesma coisa mas coloquei meu IP como Client Source e aí ele bloqueia o acesso.

    A LDAP está acessível pois uso as mesmas configurações (ip, porta, etc) para validar os usuários do OpenVPN e tudo funciona.

    Será que tem algum BUG no SquidGuard? Ou alguma permissão de usuário ou de acesso ao AD que está impossibilitando isso de funcionar?

    Agradeço qualquer ajuda! Abraços!



  • A senha que está utilizando no Proxy Filter em LDAP Options, contém caracteres especiais ?
    A senha deve começar com uma letra. Seguindo esse formato válido: [a-zA-Z/][a-zA-Z0-9/_-./:%+?=&]



  • @holiveira:

    A senha que está utilizando no Proxy Filter em LDAP Options, contém caracteres especiais ?
    A senha deve começar com uma letra. Seguindo esse formato válido: [a-zA-Z/][a-zA-Z0-9/_-./:%+?=&]

    holiveira, tudo bem? Obrigado pelo retorno.

    Sim, esse foi o primeiro item que dei atenção, porque está bem explícito no proprio pfsense. Coloquei uma senha bem simples, do tipo Senha123456 pra não ter erro.

    Qual dos logs que eu verifico se ele está ou não tentando validar? Olhei o squidGuard.log (em 2 locais diferentes) e também no access.log, cache.log… e não acho nada... apenas informações de configuração.

    A configuração que eu passei acima parece estar certa?



  • Pessoal, uma dúvida, que acho que é besta!

    Para funcionar o filtro LDAP por grupos, é necessário que o Squid tenha autenticação habilitada?

    Não é possível configurar o squid transparente e só o SquidGuard fazer essa integração com o AD?

    Obrigado, abraços!



  • @Medeiros:

    Para funcionar o filtro LDAP por grupos, é necessário que o Squid tenha autenticação habilitada?

    sim.

    @Medeiros:

    Não é possível configurar o squid transparente e só o SquidGuard fazer essa integração com o AD?

    Com acls e integração com o captive portal você consegue isso. Mas não é uma configuração trivial

    Só lembrando que o squidguard é um helper do squid, ou seja, ele depende da configuração do squid para funcionar.



  • @marcelloc:

    @Medeiros:

    Para funcionar o filtro LDAP por grupos, é necessário que o Squid tenha autenticação habilitada?

    sim.

    @Medeiros:

    Não é possível configurar o squid transparente e só o SquidGuard fazer essa integração com o AD?

    Com acls e integração com o captive portal você consegue isso. Mas não é uma configuração trivial

    Só lembrando que o squidguard é um helper do squid, ou seja, ele depende da configuração do squid para funcionar.

    Perfeito Marcello, obrigado pelos esclarecimentos. Apenas para informação de quem interessar, meu ambiente será dessa forma:

    1. Squid autenticado com controle de grupos pelo SquidGuard;
    2. Configuração transparente para que não peça usuário e senha no navegador (tutorial aqui do fórum mesmo);
    3. Push das configurações de proxy via GPO (Group Policy) do Windows;

    Agora só falta pensar na melhor solução para algumas questões:

    1. No caso de notebooks (dos diretores por exemplo). Eles usam para trabalhar de casa também e ter que colocar e tirar configuração de proxy vai ser um problema. Alguem tem sugestões?
    2. Máquinas de visitantes ou máquinas que não estão no domínio, sem configuração de proxy vão conseguir navegar sem restrição. É possível bloquear navegação fora do proxy?

    Abraços e obrigado



  • @Medeiros:

    @fpmazzi:

    De uma olhada neste tutorial, configurei o meu pfsense com este e está rodando uma belezinha. O meu server é um 2012 R2

    http://www.pfsense-br.org/blog/2012/01/pfsensesquidsquidguard-logando-no-active-directory/

    posta ai o resultado depois…

    []s

    Opa, tudo bem cara?

    Muito obrigado pela dica, já tinha visto esse tutorial. Mas no meu caso, eu uso o proxy transparente, não tenho como configurar proxy pra todos e usamos vários navegadores diferentes.

    Meu problema é apenas conseguir fazer o filtro para validar se o usuário faz ou não parte do grupo do AD. Alguem sabe qual é o log que mostra se a validação foi feita ou se está dando algum problema de permissão?

    Amigo como o @marcelloc disse pra usar a autenticação no AD  precisa de autenticação, ai dou uma sugestão já que disse que usa vários navegadores assim eu faço aqui no meu serviço:

    • via firewall força os usuários a usarem o proxy
    • usa gpo pelo WinServer para que este aplique o proxy

    com isso o IE, Mozzila e google chrome irão pegar o proxy se um engraçadinho usar o firefox e pedir pra usar sem proxy ele não irá navegar.

    Assim você força e orienta o usuário no firefox usar a opção para pegar o proxy do sistema.

    espero ter ajudado

    []s


Log in to reply