pfsense 2.4.4 - Como configurar proxy autenticado no pfSense (squid/squidguard + AD/WS2019)
Вставка
- Опубліковано 12 кві 2019
- Olá pessoal,
Neste vídeo nos demostramos como configurar a funcionalidade de autenticação LDAP no squid/squidguard consultando usuários e grupos do Active Directory configurado no windows server 2019.
Se gostou do vídeo se inscreva no canal click em gostei.
Obrigado e até o próximo vídeo!
Testando a autenticacao LDAP
/usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=networkpro,dc=corp -D cn=squiduser,ou=usuarios,ou=pfsense,dc=networkpro,dc=corp -w Ac3ssoA1 -f "sAMAccountName=%s" -u uid -P 192.168.1.254:389
*SQUID*
Squid - general settings
Auth server:192.168.1.254
Auth port:389
Auth prompt: Digite o seu usuario e senha de dominio para autenticar
Auth Process:20
Auth TLL:60
Squid Auth LDAP Settings
LDAP Ver:3
LDAP DN:CN=squiduser,OU=usuarios,OU=pfsense,DC=networkpro,DC=corp
LDAP PASS:Ac3ssoA1
LDAP Dom:DC=networkpro,DC=corp
LDAP SF:sAMAccountName=%s
*SQUIDGUARD*
squidguard - general settings
ENABLE:yes
LDAP DN:CN=squiduser,OU=usuarios,OU=pfsense,DC=networkpro,DC=corp
LDAP PASS:Ac3ssoA1
LDAP Ver:3
ACL_ComAcesso
ldapusersearch ldap://192.168.1.254/DC=networkpro,DC=corp?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=com_acesso%2cOU=grupos%2cOU=pfsense%2cDC=networkpro%2cDC=corp))
ACL_SemAcesso
ldapusersearch ldap://192.168.1.254/DC=networkpro,DC=corp?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=sem_acesso%2cOU=grupos%2cOU=pfsense%2cDC=networkpro%2cDC=corp)) - Наука та технологія
Olá a todos! Uma informação que eu custei a achar, mas pode ser válida para muitos...Segui todos os passos do vídeo e no squid autenticava, mas no squidGuard não, então os meus filtros criados não funcionavam(O que era crucial...rsrsrs )...Depois de muito tentar....refazer...quase criar uma nova vm zerada do pfsense(esta poderia está com alguma falha, pois já tinha feito vários testes) acabei descobrindo que o "squidGuard" não autentica no AD se tiver o "@" na senha do usuário definido nas configurações. Então fica a dica!
Parabéns pelos vídeos! Me ajudaram muito! Deus te abençoe e te prospere a sua colheita pelos frutos de seu trabalho!
Alison, obrigado pela contribuição, como essa pode ser a duvida de outras pessoas vou deixar sua dica em "pinnada". Abs
Alison, por favor rapaz, pode entrar em contato comigo, pois estou estudando esse ambiente,fiz sua dica, mas mesmo assim, não consigo sucesso ...
Meu contato é joel_fernandes@hotmail.com
Grande abraço
@@NETWORKPROBR , infeslimente não consegui exito ..
tambem não consegui resolver, minha senha é basica mesmo assim não esta autenticando para o grupos - (squidGuard): ldap_search_ext_s failed: Bad search filter (params:....
Dica de ouro. Não conseguia autenticar de jeito nenhum por causa do bendito @. Assim que alterei a senha, a autenticação funcionou.
Fala Fernando,
gostaria de parabenizar pela sequência de vídeos que vem postando, parabéns mesmo, está sendo um grande aprendizado! Muito bom!
Olá Osvaldo,
Muito obrigado pelo feedback, continue acompanhando, ainda tem bastante conteúdo sobre pfSense a ser liberado aqui no canal!!
Abs
Meu amigo, venho aqui agradecer por seu tutorial. Simplesmente é perfeito, de uma didática excepcional. Depois de quebrar a cabeça por dias somente seguindo suas orientações eu consegui configurar de maneira correta. Muito obrigado.
Parabéns pelo vídeo! Ajudou demais! Obrigado por compartilhar conhecimento.
obrigado professor tem me ajudado muito essas aulas !!!
Olá a todos! muito obrigado pelo vídeo ficou ótimo. Eu só consegui pegar os grupos no AD depois que adicionei (sAMAccountName=%s) no final da consulta do ldapusersearch
Muito bom mesmo parabens
Parabéns pelo video de excelente qualidade e didática impecável.
Saberia me dizer se existe alguma forma de usar o squid autenticando com AD em smartphones sem precisar configurar o proxy manualmente?
Já usei com WPAD, mas mesmo assim preciso informar o local do servidor nas configs avançadas de Wifi e só consegui no Android. Queria algo que redirecionasse para o usuário solicitando login e senha.
Descobri o problema da consulta de autenticação, em General Setup, esta habilitado Disable DNS Forwarder.
agora a consulta esta funcionando correto.
Olá Excelente video aula, uma duvida ip e porta do firewall foi automaticamente ? ou gpo para levar o ip e porta? uso o windows server 2019 mais não da certo a gpo do internet explorer para setar o IP e porta do pfsense, se alguém conseguir me ajudar eu agradeço
pessoal tem como me ajudar no teste de autenticacao ta ok mas quando no navegador solicita nao da como se nao busca nada ?
boa noite, nesse comando que vc colocou Testando a autenticacao LDAP usando a porta 389 qual regra vc criou pra libera esse acesso ?
Esse popup para pegar o usuário e senha, vc teve que configurar proxy manualmente no navegador?
Bom dia estou a seguir todos passos mas o pfsense nao me pede autenticação please help
o usuário de configuração o squiduser ele tem perfil administrativo, ou pode ser um usuário comum da rede mesmo? valeu, ótimo vídeo.
Olá Fernando tudo bem?
Estou udsando o Pfsense versão 2.4.4-Release-p3
Porém quando tento fazer a consulta no AD aparece o erro
basic_ldap_auth: WARNING, LDAP search error 'Operations error'
ERR Operations Error
estou usando a consulta no meu caso fica assim:
/usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=convidros,dc=local -D cn=pfsense,ou=suporte,ou=matriz,dc=convidros,dc=local -w xbc14567 -f "sAMAccountName=%s" -u uid -P 192.168.1.3:389
A principio estava dando outro erro, mas descobri que o squid não aceita na senha dos usuarios caracteres especiais e troquei, no AD desabilitei a complecidade de senha e troquei a senha do usuario que faz a consulta no AD, no meu caso usuario pfsense com a senha xbc14567 e consigo fazer a consulta, porém da o erro acima quando tento autenticar um usuario do AD carlinhos com a senha xbc14567
porque não consigo fazer a consulta?
Se de algum forma for te ajudar, tenta colocar ASPAS onde coloquei ai > > > /usr/local/libexec/squid/basic_ldap_auth -v 3 -b "dc=convidros,dc=local" -D "cn=pfsense,ou=suporte,ou=matriz,dc=convidros,dc=local" -w "xbc14567" -f "sAMAccountName=%s" -u uid -P "192.168.1.3:389"
Posso fazer direto em uma OU em vez de um grupo?
Olá Fernado! Mais uma vez parabéns pelos videos!
Estou com seguinte problema: Ao usar o celular na rede com autenticação, só consigo usar os navegadores, nenhum app funciona. Fiz toda a configuração de wpad, a rede em questão solicita nome de usário e senha, porém só funciona os navegadores. Poderia explicar onde ou qual configuração devo fazer?
Getúlio, os apps de celular muitos deles não dão suporte a descoberta automática de de proxy (wpad) por que o acesso aos servidores dos respectivos apps estão inseridos diretamente no código do app e muitos deles não dispõe de configuração de proxy para que os mesmo possam navegar, com isso a sugestão para web
filtering para os apps é segmentar a rede wifi em um outro segmento de rede e para esse segmento aplicar o proxy transparente.
Uso o Zentyal 6 (Samba 4) como controlador de domínio, essas informações para gerar a integração entre os dois, poderia me dar um caminho de como fazer??? Obrigado...
Diogo, não testei essa integracao com o ldap em linux mais acredito que a lógica seja a mesma.
Primeiramente parabéns pelo vídeo, muito bom. Me tire uma dúvida Fernando, é possível usar este tipo de autenticação e filtrar sites HTTPS? Criei os certificados conforme outro vídeo seu, ativei o filtro SSL, mas mesmo instalando o certificado no Windows e Navegadores, recebo o seguinte erro do proxy (O seguinte erro foi encontrado ao tentar recuperar a URL: http/*). Se puder me ajudar ficarei muito grato, obrigado
Você deve desabilitar o modo transparente para poder usar o proxy autenticado.
Olá Fernando, parabéns pelo seu material ajuda muito.
poderia me ajudar numa situação? como consigo usar Proxy transparente + Squid + AD? teria como ? pois não consigo colocar para funcionar.
nativamente não tem como, existe uma ferramenta de terceiro que faz isso se chama pf2ad.
Ola, parabens pelo canal muito show os videos.
Gostaria de uma ajuda, o squidGuard esta retornando esse erro:
ldap_search_ext_s failed: Bad search filter (params: DC=empresa,DC=local, 2, (&(sAMAccountName=userpfsense(memberOf=CN=Proxy,OU=Grupos,OU=empresa,DC=empresa,DC=local)), sAMAccountName)
Autenticação por usuario esta ok, o problema esta na autenticação por grupo
precisa ter alguma configuração especifica no SQUID para começar a configurar conforme o video? ou basta instalar o package do SQUID de forma basica?
só instalar e configurar.
É possível criar ACL por usuário também? Eu tenho usuários na rede que precisam ter acessos especiais e não se encaixam em nenhum dos 4 grupos de acesso que tenho configurado, é possível criar um ldapusersearch por usuário?
Ariel, eu sei que com usuário local do pfSense você consegue fazer ACL por usuário, agora buscando por usuário de domínio usando o ldapusersearch vinculado em uma ACL do squidguard não sei te dizer.....
mesmo com o usuário do dominio ainda vai pedir usuário e senha? ou será transparente? hoje eu uso o pf2ad, mas o desenvolvedor descontinuou o projeto
Olá, no modelo de implementação apresentando no vídeo sim, vai pedir usuário e senha.
Fernando, parabéns pelo vídeo. Segui o passo a passo porém quando insiro a Tag ldapusersearch e o caminho ele n autentica os usuários do grupo, se digio 'usuario' ele faz a autenticação poderia me apontar aonde estou errando?
Rony, quando você faz o teste na linha de comando para checar a comunicação entre o pfSense e o AD você recebe OK? qual a versão do Windows server você está usando? Você pode ter um problema ou com a sintaxe da tag ldapsearch, confirme o caminho ldap do grupo no adsi edit, caso isso esteja ok, tente alterar senha do usuário de teste para uma senha apenas com letras e números, caso não resolva, envie um comentário com os passos e resultados que você ta seguindo.
Abs,
@@NETWORKPROBR Bom dia. Sim todos os passos foram seguidos, recebo ok na comunicação entre Pfsense e Ad (2012). Somente com a tag n funciona mesmo. Se ao invés da tag ldapsearch se digito 'usuario' funciona. Obrigado
@@NETWORKPROBR Ola, tambem estou com esse problema na autenticacao de grupos
(squidGuard): ldap_search_ext_s failed: Bad search filter (params: DC=empresa,DC=local, 2, (&(sAMAccountName=userpfsense(memberOf=CN=Proxy,OU=Grupos,OU=empresa,DC=empresa,DC=local)), sAMAccountName)
porque porta 389?
boa tarde. No firewall endian conseguia fazer a integração de forma transparente ao usuário. Ao logar com usuário e senha no dominio, o computador automaticamente carregava o usuário do domínio em que esta logado e repassava automaticamente para o navegador. Existe uma forma de fazer isso pelo pfsense?
Sim. porém como software de terceiro www.pf2ad.com/en/index.html
Bom dia Fernando, minha rede é domínio com windows server 2012r2. já uso o pfSense, gostei muito dessa configuração de autenticação. fique com uma dúvida: quando o usuário se loga no domínio já não era para puxar as configurações do usuário, para não ter que ficar tendo que se logar de tempos em tempos no navegador, isso é possível? desde já obrigado pelos videos!!!
Olá Jorge, existe um pacote não oficial que habilita o SSO single sign on, ou seja, o login automático do usuário sem que ele precise digitar de tempos em tempo usuário e senha, pf2ad.com/pt/, nunca usei mais a comunidade fala muito bem. Abs
Que pacote é esse? por não ser oficial, será que é arriscado instalar? Obrigado por responder!!!
@@jorgehjs Jorge como disse, eu nunca usei, por conta da NETWORKPRO ser parceira oficial da NETGATE no Brasil só podemos usar os pacotes do repositório oficial em nossos clientes então não posso dizer com propriedade se funciona adequadamente ou não, mais tenho amigos que usam e falam bem desse pacote, talvez seja legal (se essa é uma demanda que você tem) pesquisar sobre este pacote ou até mesmo falar com o desenvolvedor para ter mais informações.
@@NETWORKPROBR Obrigado!
Uma dúvida. Você comenta no vídeo que com essas configurações ele não funciona como proxy transparente, estão seria necessário inserir em todas as máquinas a configuração de proxy? E existe uma forma de ser transparente (sem pedir login) que consiga identificar o usuário pelo login da maquina, e não pelo IP nos relatórios? Parabéns pelos videos, são de uma ajuda incrível.
Lucca, obrigado pelo feedback é sempre importante pra nós saber que nosso conteúdo ajuda a comunidade de alguma forma. primeiro ponto, sim, você precisa configurar explicitamente ip e porta do proxy nos navegadores, mais você pode automatizar essa tarefa com wpad tema este que é tema do ultimo vídeo que subimos ontem no canal, sobre o processo de identificar o usuário de forma automática, voce consegue usando pacote de terceiro como este www.pf2ad.com/pt/, de modo oficial não há essa possibilidade.
Depois faça um vídeo sobre o e2guardian com emissão de relatórios usando o sarg .
Edvan,
Como NETGATE partner, a NETWORKPRO não pode gerar conteúdo ou até mesmo usar em nossos clientes qualquer pacote além dos pacotes disponíveis no repositório oficial por questões contratuais.
Em breve pesquisa que fiz pude notar que já há bastante conteúdo abordando os temas que você mencionou.
Obrigado pelo feedback!
Abs,
Ola, abandonei a quase um ano a dupla squid + squidguard. Uso E2guardian em todos os meus clientes, no meu caso nem preciso de proxy autenticado ou coisas assim (infra pequena e não houve necessidade), so o transparente ja me atende em tudo e de foma bem simples.
Depois faça um vídeo sobre o e2guardian com emissão de relatórios usando o sarg .Esse aqui ja fiz, manda email para rosendo.josely@gmail.com que mando passo a passo de como fazer é bem simples
basic_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
ERR Success
I have this error please help me!!!
Taha, sorry I've missed your comment. Probably you're using non alphanumeric characters on your password, use only alphanumeric characters and try again.
11:23 Esta tela branca ja pesquisei em tudo que é lugar e não consigo personalizar. corporativamente falando isso é horrível para os usuários.
Atila, o único modo de mostrar uma pagina de erro para o usuário ou invés de mostrar essa pagina, seria usando interceptação SSL, sem interceptar você não tem como "quebrar" a criptografia do protocolo https para inserir uma pagina de erro, por isso o erro de protocolo.
Opa, fiz a configuração e validei ponto a ponto, porém a regra o squidguard não é aplicada, todos os usuários (com e sem acesso) não sofrem bloqueios. Nos logs do squidguard também não aparece nada. Versão 2.4.4 p3. Poderia auxiliar?
os logs no real time do squid mostram algo relacionado aos usuários que você esta usando nos testes?
@@NETWORKPROBR Sim, ele loga os acessos normalmente no real time do squid (TCP - MISS/200 - TCP - TUNNEL/200), só do squidguard que não. Como se a integração do squid guard não estivesse funcionando. Instalei do 0 e segui todos os passos mas deu o mesmo erro. Sabe alguma forma de validar a integração do squidguard?
Amigo, fiz o passo a passo do vídeo e notei que não está sendo feito o bloqueio dos sites do usuário com acesso limitado. Criei os usuários com acesso liberado e com acesso restrito e em ambos o acesso está como se estivesse liberado.Sabe me dizer o que posso ter me esquecido de fazer? Ah, testei a conexão com do pfsense com o ad e está tudo ok.
Se você criou as duas ACLs (com e sem bloqueios) e a cada ACL tiver associado um grupo do AD diferente para cada ACL, ao autenticar com o usuário do grupo bloqueado deveria funcionar, o que você fazer é tentar processar primeiro a ACL com as restrições e checar os grupos do usuários pra ver se o mesmo usuário não pertence a o grupo sem restrições, outra coisa é checar as configurações ldap da ACL semacesso se esta ok.
Boa tarde, parabéns pelo vídeo. Consegui fazer o teste de autenticação da um resultado ->ERR sucess, porém quando o navegador pede a autenticação com usuário e senha do ad não passar, fica pedindo o usuário e senha.
Wesley, tente usar uma senha sem caractere especial, para o usuário que você está usando para fazer a autenticação no squid/squidguard e veja se o problema persiste.
@@NETWORKPROBR já estava sem caractere especial. Se possível passar o sei email para que eu passe as configurações que apliquei. Desde já agradeço a sua atenção
tu fala devagar e faz rápido parece que o vídeo está com delay , fora isso ótimo vídeo!
Bom dia
Muito bom video;
Tenho uma duvida:
Preciso autenticar o proxy via ad sem pedir login no navegador.
Tem como ???
Com os pacote existente no repositório oficial não é possivel, existe um pacote não oficial chamado pf2ad que faz esse trabalho, faca um pesquisa sobre esse pacote talvez possa te ajudar.
@@NETWORKPROBR Ja tentei usar esse pacote mas o desenvolvedor cobra atualmente. Obrigado.
Bom Dia a todos ! alguem pode me ajudar ? como eu configuro o Squid para rodar em um outro pfsense na minha rede , pois o principal não aguenta :/
Basta você subir um outro pfSense na rede com squid configurado e configurar o proxy nos navegadores, podendo fazer isso manualmente ou via wpad.
Fui fazer a consulta via ssh no pfsense 2.4.5 release p1, seguindo os comandos que você nos informou e demorou um tempão para retornar o seguinte resultado: BH success. Já viu algo assim?
Leonardo, ainda não testei esse modelo de operação do squid na versão atual, vou montar um cenário na próxima semana pra ver o comportamento e te aviso sobre o resultado.
@@NETWORKPROBR Ok. Agradeço.
@@lpgomessn any update for this error?
basic_ldap_auth warning ldap search error 'operations error'
BH Success
@@deonico3886 Nothing.
Estou maratonando os vídeos do seu canal!
Minha integração com AD funcionou perfeitamente, no navegador ele autentica certinho. Porém ele não bloqueia nenhum site passa tudo quando faço autenticação local do pfsense funciona perfeitamente
O que pode ser ?
isso ocorre por que existe uma regra de liberação vinculada na interface lan. para limitar a saida apenas pelo proxy, desabilite essa regra e crie outra liberando apenas o protocolo dns.
você pode acompanhar o que ta passando pelo squid na aba real time. lembre-se se baixar blacklist no squidguard e limpar o cache do navegador.
Olá bom dia,
Parabéns pelo vídeo.
Estou utilizando o pfSense 2.4.5-RELEASE (amd64), fiz todos os passos e mesmo assim não consigo autenticar via linha de comando. Esse é o erro que retorna ao fazer uma consulta: basic_ldap_auth warning ldap search error 'operations error'
Vou reproduzir este lab na ver 2.4.5 e aviso se houver alguma mudança.
Boa tarde, Estou tendo o mesmo problema, Após pesquisar muito descobri que a pesquisa retorna corretamente acrescentando o parâmetro -R entre a base do dominio e o usuario da autenticação "...dc=networkpro,dc=corp -R -D cn=squiduser,ou=usuarios..." Porém, quando fui autenticar na pratica, o navegador fica solicitando a autenticação infinitamente...
Retornei para a versão 2.4.4 e tentei novamente, porem o mesmo erro. Acredito que o problema seja que meu AD foi construído no Samba 4.
A solução que encontrei para isso foi especificar uma OU ao invés de só a base do dominio.
No meu ambiente o squid e o guard param de funcionar. Esse metódo ai ainda funciona?
Bom dia, se o Sr. atualizou a versão do pfsense para uma versão superior a 2.7.2 o squid foi descontinuado no pfsense para versões posteriores.
@@richardviana165 Estou na 2.6. Consegui corrigir, era uma comando errado. 2.6 está funcionado bem. Só estou precisando fazer integração com kerberos no servidor linux "Zentyal" de forma automática.
Bom dia!
Primeiramente quero parabenizar pelo belo tutorial.
Estou com o seguinte problema: Ao entrar no navegador, pede a autenticação e quando coloco as credenciais ele não passa, fica como se fosse uma senha ou usuário incorreto, fica repetindo a solicitação das credenciais do usuário.
Estou utulizando no meu cenário: Windows Server 2016 (AD + DNS + DCHP), Windows 7 e pfSense 2.4.5
No servidor, meu AD está da seguinte forma:
lab.local (192.168.20.10)
|
|__pfsense (OU)
| |_ouro (Grupo)
| |
| |_prata (Grupo)
|
|_usuarios (OU)
|_carlos (está no grupo ouro)
|
|_maria (está no grupo prata)
|
|_joao (default grupo bronze)
|
|_squiduser
Com o comando no console , retorna resultado OK
/usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=lab,dc=local -D cn=squiduser,ou=usuarios,dc=lab,dc=local -w Ac3sso01 -f “sAMAccountName=%s” -u uid -P 192.168.20.10:389
carlos Ac3sso01
OK
Configuração SquidGuard
ACL_Ouro
ldapusersearch ldap://192.168.20.10/DC=lab,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ouro%2cOU=pfsense%2cDC=lab%2cDC=local))
ACL_Prata
ldapusersearch ldap://192.168.20.10/DC=lab,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=prata%2cOU=pfsense%2cDC=lab%2cDC=local))
Por que será que não passa no login no navegador?
Carlos, alguns usuários tem reportado esse comportamento na versão atual do pfSense 2.4.5_p1, para poder te dizer se é algo de configuração ou algo com a versão do squid, precisaria fazer testes, nesse momento estou subindo os vídeos do curso de pfSense aqui no UA-cam assim que terminar a serie vou revisar esse conteúdo.
@@NETWORKPROBR agradeço pelo retorno.
Vou ficar no aguardo. Enquanto isso, vou continuar os testes.
@@magicocarlosgois Conseguiu resolver? estou com o mesmo problema.