08/10/2015
[R es es ol ol vi vi do do] Autenti ca cação squi dG dGuar d vi a Gr up upos LD AP AP - Ac titi ve ve D ir ir ec ector y
Hello eumesmoluiz
you have 1 message, 0 are new. Show unread posts since last visit. Show new replies to your posts.
Search...
Home
Help
Search
Profile
My Messages
Mem emb bers
Logout
pfSense Forum » International Support » Portuguese Portuguese (Moderator: (Moderator: marcelloc marcelloc)) » [Resolvido] Autenticação squidGuard via Grupos LDAP - Active Directory
« previous next » Pages: [1 [1] 2 Go Down Author
REPLY
NOTI NOTIFFY
MAR MARK UNR UNREAD EAD
SEND END THIS THIS TOP TOPIC
PRINT INT
Topic: [Resolvido] Aute Autenticação nticação squidGuard via Grupos LDAP - Active Active Directory (Read 833
eumesmoluiz and 0 Guests are viewing this topic. eumesmoluiz
rronaldo Jr. Member
[Resolvido] Auten [Resolvido] Autenticação ticação squidGuard via Grupos LDAP Active Directory
Quote
Than ank k You
« on: on: September 23, 2015, 07:34:21 pm » Posts: 33 Karma: +0/-0 [applaud] [smite]
Compartilhando o sucesso! Passei semanas semanas pesquisando pesquisando e fazendo testes até que enfim eu consegui, existe muito tutorial na internet onde você cria Groups ACL conforme o nome do grupo lá no AD e no campo de filtro "cliente source" você insere os nomes nomes dos usuários usuários entre entre aspas simples redundantemente conforme você já inseriu inseriu lá no AD, mas mas cara! como isso é terrível (redundante e estático), imagina nas eventuais necessidades neces sidades de mudar os usuários de grupos para aplicar outras políticas de acesso a Internet da empresa, você vai ter que mudar lá no AD e vai ter que lembrar de mudar lá do Groups ACL o grupo novo do usuário, que chato né! Então consegui cons egui aplicar aplicar de fato o filtro filtro "ldapusersearch ldap", ldap", de forma que você nem precisa digitar os nomes de usuários no proxy filter, basta cadastra-los no AD e quando necessário movimentá-los de um grupo de acesso a internet para o outro. Pra adiantar adiantar só consegui cons egui fazer o feito feito com o squid3 + squidGuard-devel, já tinha tentando as mesmas configurações com as versões: 1 - squid2 2 - squid2 3 - squid3 4 - squid3
+ squidGuard (Não deu certo) + squidGuard-devel (Não deu certo) + squidGuard (Não deu certo) + squidGuard-devel (SÓ ASSIM DEU CERTO) CERTO )
As configurações para dar certo são (sem entrar em detalhes detalhes agora, caso alguém tenha dúvida posso ajudar posteriormente): Quote 1 - Crie grupos no AD para posteriormente posteriorme nte serem usados na plicação plicaçã o de políticas polít icas para internet, exemplos(Diretores, Funcionários, Internet-TI,Internet-Geral) e depois adicione usuários AD nos respectivos grupos; https://for um .pfsense.or g/i ndex.php?topi c= 99894.0
1/7
08/10/2015
[R es ol vi do] Autenti cação squi dGuar d vi a Gr upos LD AP - Ac ti ve D ir ector y
2 - Ative a autenticação LDAP no squid3 e efetive as configurações necessárias; 3 - Ative o "Enable LDAP Filter" no squidGuard-devel e efetive as configurações necessárias; 4 - Crie Grupos ACL no squidGuard-devel, com o nome de cada grupo criado no AD e no filtro "cliente source", cole o filtro " ldapusersearch ldap" de exemplo e mude para as configurações necessárias do seu ambiente, não esqueça de acrescentar a porta 389. E aplique as políticas de bloqueio ou desbloqueio necessário nas categorias já existentes ou personalizadas. 5 - Obs: em Common ACL só deixe a categoria "access default" definida como deny, as demais categoria deixe indefinidas "----". Só as definas suas regras em seus respectivos Groups ACL.
Pronto! após isso você já estará apto a usar o Groups LDAP de forma dinâmica, sem a necessidade de estar cadastrando no proxy filter os usuários já cadastrados no AD, e podendo mudar de grupos no AD a qualquer hora que as políticas são aplicadas instantaneamente. «
marcelloc Moderator Hero Member
Last Edit: September 30, 2015, 08:35:25 am by rronaldo
»
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Report to moderator Logged
Quote
Thank You
« Reply #1 on: September 24, 2015, 09:55:24 am »
Já usei com autenticação transparente e um script que "puxava" os usuários a cada x minutos. Funcionou sem problemas e sem popup de autenticação ldap. Posts: 11822 Karma: +375/-3 [applaud] [smite]
Report to moderator
Logged
Treinamentos de Elite: http://sys-squad.com Help a community developer! Te ajudei? Doações são sempre bem vindas!
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Thank You
« Reply #2 on: September 28, 2015, 08:46:41 am »
Olá pessoal Fiz a instalação conforme o rronaldo informou Ambiente: PFSense 2.2.4. Active Directory: Samba 4 1 - Crie grupos no AD para posteriormente serem usados na plicação de políticas para internet, exemplos(Diretores, Funcionários, Internet-TI,InternetGeral) e depois adicione usuários AD nos respectivos grupos; USUÁRIO CRIADOS 2 - Ative a autenticação LDAP no squid3 e efetive as configurações necessárias; Authentication server: 10.0.0.10 Authentication server port: 389 LDAP server user DN: cn=proxy,cn=Users,dc=domain,dc=lan LDAP password: SENHA LDAP username DN attribute: uid LDAP search filter: sAMAccountName=%s 3 - Ative o "Enable LDAP Filter" no squidGuard-devel e efetive as configurações necessárias; Em LDAP Options na guia General Setings Enable LDAP Filte: HABILITADO
https://forum.pfsense.org/index.php?topic=99894.0
2/7
08/10/2015
[R es ol vi do] Autenti cação squi dGuar d vi a Gr upos LD AP - Ac ti ve D ir ector y
LDAP DN: cn=proxy,cn=Users,dc=domain,dc=lan LDAP DN Password: SENHA: Strip NT domain name: HABILITADO Strip Kerberos Realm: HABILITADO 4 - Crie Grupos ACL no squidGuard-devel, com o nome de cada grupo criado no AD e no filtro "cliente source", cole o filtro "ldapusersearch ldap" de exemplo e mude para as configurações necessárias do seu ambiente, não esqueça de acrescentar a porta 389. E aplique as políticas de bloqueio ou desbloqueio necessário nas categorias já existentes ou personalizadas. Name: Setor_TI Client (source): ldapusersearch "ldap://10.0.0.10/DC=domain,DC=lan? sAMAccountName?sub?(&(sAMAccountName=%s) (memberOf=CN=TI%2cCN=Users%2cDC=domain%2cDC=lan))" ldapusersearch "ldap://10.0.0.10:389/DC=domain,DC=lan?sAMAccountName? sub?(&(sAMAccountName=%s) (memberOf=CN=TI%2cCN=Users%2cDC=domain%2cDC=lan))" Obs: Tentei as duas query acima Problemas: Fica pedindo autenticação do proxy no navegador. Ele bloqueia tudo como mesmo na acl do Grupo estando tudo liberado na acl default bloqueia tudo Resquest Denied by pfsense proxy: 403 Forbidden Pelo que vi ele ta pegando a regra Default "Common ACL", pois depois liberei ela e funcionou como se ele tivesse ignorando as ACL Groups Abraço «
isaiasbertin Jr. Member Posts: 92 Karma: +0/-0 [applaud] [smite]
Last Edit: September 28, 2015, 09:18:20 am by jeaneduardo
»
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Report to moderator Logged
Quote
Thank You
« Reply #3 on: September 28, 2015, 09:52:53 am »
boa tarde rronaldo temos que conversar estou na batalha faz tempo para implementar isso. vou so confirmar as versões que tenho no meu pfsense. depois adiciono mais um post. Report to moderator
marcelloc Moderator Hero Member
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Logged
Thank You
« Reply #4 on: September 28, 2015, 01:39:52 pm » Quote from: jeaneduardo on September 28, 2015, 08:46:41 am Fica pedindo autenticação do proxy no navegador.
Posts: 11822 Karma: +375/-3 [applaud] [smite]
Isso não é problema, é característica da autenticação por ldap do squid. Report to moderator
Logged
Treinamentos de Elite: http://sys-squad.com Help a community developer! https://forum.pfsense.org/index.php?topic=99894.0
3/7
08/10/2015
[R es ol vi do] Autenti cação squi dGuar d vi a Gr upos LD AP - Ac ti ve D ir ector y
Te ajudei? Doações são sempre bem vindas!
rronaldo Jr. Member Posts: 33 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Thank You
« Reply #5 on: September 28, 2015, 02:35:35 pm »
Justamente como o Marcello Coutinho disse "jeaneduardo", o fato de pedir autenticação não é um problema é uma característica de autenticação, pois a intenção é justamente esta, requerer a autenticação do usuário. Mas tem sim como utilizar autenticação ldap sem aparecer a janela pop-up de autenticação, tipo ele já reconhece o usuário de domínio logado na estação, mas isto é via kerberos, eu ainda não tive esta experiência, só sei que tem como fazer sim, e até pretendo implementar futuramente, mas por enquanto pra mim está de bom tamanho. Faça passo a passo pra não perdeu o fio da meada, configure primeiro assim depois trabalhe com kerberos. E o fato de bloquear tudo, talvez você pode ter feito alguma coisa errada, faz assim: em common acl só deixe a categoria default como deny, as demais deixa indefinida "---", aí as outas categorias só defina nos próprios grupos. «
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Last Edit: September 28, 2015, 02:39:02 pm by rronaldo
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
»
Report to moderator Logged
Quote
Thank You
« Reply #6 on: September 28, 2015, 03:49:35 pm »
Pessoal obrigado pela ajuda mas depois de muita pesquisa no google achei um site interessante de como deixar 100% integrado com o AD Segue o lInk abaixo http://pf2ad.mundounix.com.br/pt/index.html Ja funciona pegando a autenticação do Windows para o Proxy, Funcionando com blacklist categorizada
Report to moderator
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Logged
Thank You
« Reply #7 on: September 28, 2015, 03:51:49 pm »
Alguem tem uma ideia no ldap filter em group ACl como colocar na query do AD um valor com espaço exemplo ldapusersearch "ldap://domain.lan:389/DC=domain,DC=lan? sAMAccountName?sub?(&(sAMAccountName=%s) (memberOf=CN=TI%2cCN=Users%2cDC=domain%2cDC=lan))" Eu tenho um setor que chama Domain Users coloquei ele na query e devido ter espaço não funciona na regra Report to moderator
https://forum.pfsense.org/index.php?topic=99894.0
Logged 4/7
08/10/2015
[Resolvido] Autenticação squidGuard via Grupos LDAP - Active Directory
rronaldo Jr. Member Posts: 33 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Thank You
« Reply #8 on: September 28, 2015, 04:26:12 pm » Quote from: jeaneduardo on September 28, 2015, 03:49:35 pm Pessoal obrigado pela ajuda mas depois de muita pesquisa no google achei um site interessante de como deixar 100% integrado com o AD Segue o lInk abaixo http://pf2ad.mundounix.com.br/pt/index.html Ja funciona pegando a autenticação do Windows para o Proxy, Funcionando com blacklist categorizada
Quote jeaneduardo
, acredito que você fez tudo certo, porém não defina as regras em common ACL, pois elas serão aplicadas aos usuários antes que sejam verificadas as políticas da blacklist categorizadas por grupos. Pesquisei muito e este é um assunto muito discutido, em todos os posts que encontrei as soluções são redundantes e estáticas, e estes passos que passei funcionam 100% de forma dinâmica sem ter que ficar cadastrando usuários nos grupos do squidGuard, basta referenciar os grupos no squidGuard e ter os usuários cadastrados no Grupos de AD. Report to moderator
isaiasbertin Jr. Member Posts: 92 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Logged
Thank You
« Reply #9 on: September 28, 2015, 06:49:40 pm »
rronaldo as versões que tenho são essas meu pfsense é 2.2.3 squid3 Network Available: 0.3.4 squidGuard Network Management 1.9.15 segundo o que vc mencionou devo instalar o squidguard-devel para funcionar por grupo ldap Report to moderator
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Logged
Thank You
« Reply #10 on: September 29, 2015, 07:36:23 am »
Alguma Ideia de como usar espaço na query do AD? Report to moderator
rronaldo https://forum.pfsense.org/index.php?topic=99894.0
Re: Autenticação SquidGuard via Grupos do Active Directory
Quote
Logged
Thank You
5/7
08/10/2015
[R es ol vi do] Autenti cação squi dGuar d vi a Gr upos LD AP - Ac ti ve D ir ector y
Jr. Member Posts: 33 Karma: +0/-0 [applaud] [smite]
[Compartilhando Sucesso!] « Reply #11 on: September 29, 2015, 08:25:33 am »
jeaneduardo , na criação de contas de grupos e usuários do AD, desde o princípio adote padrões para não ter problemas futuros, sem acentos, sem espaços. O AD não te impede de usar caracteres especiais, mas com certeza você pode ter problemas em aplicações externas quando necessário recorrer ao AD. «
marcelloc Moderator Hero Member
Last Edit: September 29, 2015, 08:43:39 am by rronaldo
»
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Report to moderator Logged
Quote
Thank You
« Reply #12 on: September 29, 2015, 09:00:47 am » Quote from: jeaneduardo on September 29, 2015, 07:36:23 am Alguma Ideia de como usar espaço na query do AD?
Posts: 11822 Karma: +375/-3 [applaud] [smite]
Já tentou o google? http://bfy.tw/2244 http://discussions.citrix.com/topic/250981-netscaler-can-a-ldap-searchstring-contain-spaces/ http://www.linuxquestions.org/questions/linux-general-1/how-to-specifyspace-in-ou-name-in-ldap-search-835175/ Report to moderator
Logged
Treinamentos de Elite: http://sys-squad.com Help a community developer! Te ajudei? Doações são sempre bem vindas!
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Thank You
« Reply #13 on: September 29, 2015, 09:05:09 am »
rronaldo Eu ja assumi a empresa aqui com os grupos com este Nome, sempre quando crio utilizo sempre sem espaço e caracteres especiais marcelloc obrigado pela ajuda Sim estou pesquisando desde ontem mas não acho nada conclusivo, vou tentar esse poste que mandou Obrigado Report to moderator
jeaneduardo Newbie Posts: 16 Karma: +0/-0 [applaud] [smite]
Re: Autenticação SquidGuard via Grupos do Active Directory [Compartilhando Sucesso!]
Quote
Logged
Thank You
« Reply #14 on: September 29, 2015, 09:11:30 am »
marcelloc
https://forum.pfsense.org/index.php?topic=99894.0
6/7
08/10/2015
[R es ol vi do] Autenti cação squi dGuar d vi a Gr upos LD AP - Ac ti ve D ir ector y
não deu certo essa solução, ele simplesmente ignora a regra pois ela nao traz nenhum resultado Report to moderator
Pages: [1] 2 Go Up
REPLY
NOTIFY
MARK UNREAD
Logged
SEND THIS TOPIC
PRINT
« previous next » pfSense Forum » International Support » Portuguese (Moderator: marcelloc) » [Resolvido] Autenticação squidGuard via Grupos LDAP - Active Directory
Jump to: => Portuguese
go
SMF 2.0.10 | SMF © 2015, Simple Machines Flagrantly by, Crip XHTML RSS WAP2 Page created in 0.085 seconds with 20 queries.
https://forum.pfsense.org/index.php?topic=99894.0
7/7