[SOLUCIONADO] Help! pfsense (squid+squidguard) autenticando en AD



  • Estimados. Tengo un pfSense 2.1-release con Squid y Squidguard instalados.

    Problema: Si en Proxy Server –> Authentication ingreso en "LDAP server user DN" los datos de CN=squid,CN=Users,DN=midominio,DN=com no logro autenticar en las máquinas clientes con ningún usuario.

    Si en cambio configuro "LDAP server user DN" con usuario Administrador, logro que las máquinas clientes autentiquen

    Esto se debe, supongo, a un asunto de permisos. Sólo el usuario Administrador tiene permisos para ver el árbol LDAP del servidor con AD.

    Sin embargo yo no quiero que mi squid autentique con el usuario Administrador porque es un riesgo para la seguridad de la red.

    Nota aclaratoria. El usuario "squid" existe en el Active Directory bajo el rótulo de "usuarios de dominio"

    Alguna idea?

    Saludos!



  • No es requisito para leer un arbol LDAP que se tenga que tener permisos administrativos, sino, sería imposible que un usuario pudiese ver los contactos de la libreta de direcciones de la red por ejemplo, para mandar un correo. al menos así funciona OpenLDAP, y estoy seguro que AD también, dado que en mi oficina aun está vivo el AD (por ahora) y las libretas de direcciones se configuran con el usuario de red y no con un usuario administrador.

    Por otro lado, donde ves el problema de seguridad? las autenticaciones al AD (si están bien configuradas) van por kerberos, más seguridad que esa para autenticación por red no conozco, solo veo más seguro algo con certificados electrónicos :D

    Saludos.



  • Bueno, gracias por la respuesta!!

    Supongamos que tengo que instalar un pfsense en un entorno con AD, donde el usuario Administrador está deshabilitado. En ese caso no podría configurar al pfsense "como sé" sino que entraría en un loop de popups pidiéndome usuario y password una y otra vez. Esto sucede porque el AD no reconoce al usuario squid o algo así.- Quizás estoy ejerciendo mal mi búsqueda.

    LDAP server user DN: CN=squid,CN=Users,DC=ad,DC=com,DC=ar
    LDAP password: Password de "squid"
    LDAP base domain: DC=ad,DC=com,DC=ar -R (La R es para la recursividad en la búsqueda)
    LDAP username DN attribute: uid
    LDAP search filter: (sAMAccountName=%s)

    sospecho que el error se encuentra en alguna de las configuraciones en negrita.

    Si cambio al usuario "squid" por el usuario "Administrador", esta configuración funciona.

    Gracias rodria por la respuesta :)

    Saludos.



  • Solucionado!!! El error estaba en otro lado =D

    https://forum.pfsense.org/index.php?topic=45996.0 (solución basada en este post)

    me pasó lo mismo. Nombre: squid. Apellido: squid. Username: squid

    así quedó mi configuración.

    LDAP server user DN:CN="squid squid",CN=Users,DC=ad,DC=ipsa,DC=com,DC=ar
    Y todo igual a como estaba antes.

    también edité el archivo /usr/local/pkg/squid.inc para ponerle ese -R de recursividad.

    Espero que aplique en producción. En el peor de los casos, lo configuro con usuario Administrador.

    Estoy en período de prueba. Si esto me sale genial :P

    Saludos y gracias por leer



  • @rocaembole:

    Bueno, gracias por la respuesta!!

    Supongamos que tengo que instalar un pfsense en un entorno con AD, donde el usuario Administrador está deshabilitado. …..

    Si te topas con alguien como yo en seguridad :D seguro que no tienes el usuario Administrador funcional, aunque está activo, tiene una contraseña compleja, autogenerada, muy larga y compartida, almacenada en sobre lacrado, y dentro de una bolsa con precinto y un acta :D  esa contraseña solo usa en caso de un DRP. para las tareas administrativas, cada Admin tiene permisos administrativos para sus labores, pero que dejan trazas de auditoría para cualquier análisis forense futuro :D

    Por otro lado, sí, desde windows 2003 creo que el tema de los CN se complicaron con "nombre apellido" en lugar del UID, qué te puedo decir… así es Windows "facilitando" las cosas.

    Saludos.