Problema em usar o squidguard com ldap



  • Olá pessoal.

    Tenho o seguinte cenário:
    Pfsense 2.2.2 - 64bit
    Squid com autenticação ntlm + Squidguard
    Uso um script de Marcelo e Ccesario squidguard_ldap.php para pegar o usuario no grupo do AD

    O Squid com atenticação NTLM está funcionando, o script para pegar o usuário do grupo do AD funciona.

    Marcando no navegador o proxy eu consigo navegar normalmente.

    A única coisa que não funciona ainda é o bloqueio por grupo. Meu usuario e senha não tem caracteres especiais.

    Consigo acessar a internet normalmente, mesmo o usuário estando dentro de um grupo no squidguard com deny para tudo.

    Estou estagnado nesse problema. Se alguém puder me dar uma luz eu agradeço desde já.

    Já refiz essa instalação várias vezes e cai no mesmo problema



  • Cara vi vários tutoriais na internet mas parei no mesmo que VC só que uso LDAP mas também não consegui fazer funcionar  se por ventura o amigo consegui agradeço o ganho desse conhecimento, pois já refiz umas 10 vezes a mesma instalação uso pfsense 2 .0.1.5 acho que é isso



  • Estou na luta aqui para colocar para funcionar.

    Consigo pegar os usuários da AD e inserir dentro do grupo que está no Group ACL.
    Deixei no Common ACL para negar tudo como padrão.
    E no Grupo que está no Group ACL para liberar alguns sites.

    No meu teste bloqueia tudo até mesmo os sites que está liberado para uso no Group ACL.

    Pessoal quem tiver uma luz ai de uma dica.



  • CARA O MESMO ACONTECE COMIGO, E GERA ESTE ERRO NOS LOGS

    (squidGuard): ldap_search_ext_s failed: Operations error (params: DC=bertin,DC=local, 2, (&(sAMAccountName=juliana)(memberOf=CN=acesso,CN=Users,DC=bertin,DC=local)), sAMAccountName)

    UTILIZEI ESTA CONFIGURAÇÃO

    ldapusersearch "ldap://192.168.2.2/dc=teste,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=cn=acesso%2ccn=Users%2cdc=bertin%2cdc=local)(sAMAccountName=%s))"

    não consegui achar a solução.



  • Bom, eu vou ter que deixar de lado o pfsense e partir para fazer no linux, pois sei que funciona.

    É lamentável um sistema legal de se usar que é pfsense, mas falha muito na implementação, só hoje refiz 3 vezes o pfsense com as configurações acima e deixa de funcionar no mesmo lugar.

    Já fiz um curso, mas carece de suporte por parte do instrutor.

    Continuar com o linux e continuar estudando o pfsense no laboratório, o dia que funcionar coloco em produção.

    Quem conseguir resolver o problema poste ai para ajudar outros com a mesma duvida.



  • Só pra entender melhor, você quer autenticação transparente ou somente consulta dos grupos para liberação/bloqueios?



  • A autenticação é transparente usando NTLM, preciso que libere o acesso conforme as regras aplicadas por grupo, que é o mesmo do AD.
    Quando eu aplico no squidguard a regra deny no Common ACL, bloqueia tudo e libero apenas o que quero no Group ACL, continua bloqueando o acesso a intenet.
    Já autentica no squid via NTLM.
    Uso o pfsense 2.2.2



  • Provavelmente está com problema na consulta na base.
    Não consegue ver nenhuma mensagem no log?



  • Está consultando a base, pois ele me trás o usuário de dentro do grupo do AD.
    No log mostra o usuário que está acessando o site.
    Agora não tenho como copiar o log para colar aqui, vou levantar uma nova instalação e fazer novamente.
    Como é de cliente e o prazo ultrapassou, estou fazendo na mão mesmo no Debian.
    Se puder ajudar eu lhe agradeço, pois pode ser que estou deixando passar alguma coisa desapercebido.
    Valeu Tomas.



  • Vou fazer um laboratório aqui pois preciso disso em cliente e vamos conversando.
    Pode me enviar mensagem privada se quiser.



  • no meu caso uso ldap somente, mas também tive dificuldade de fazer funcionar por grupos

    squidGuard): ldap_search_ext_s failed: Operations error (params: DC=bertin,DC=local, 2, (&(sAMAccountName=juliana)(memberOf=CN=acesso,CN=Users,DC=bertin,DC=local)), sAMAccountName)

    o que me chama atenção no meu caso e o numero 2 pois parece que é a versão do ldap é o que achei, dei uma analizada e não achei para trocar para ver 3  pode ser que é isso que não funciona.

    Tomas Waldow se conseguir fazer funcionar aguardo uma ajuda.