pfSense Gold Subscription

Author Topic: Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)  (Read 33388 times)

0 Members and 1 Guest are viewing this topic.

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9983
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #15 on: March 15, 2012, 11:35:58 pm »
Quote
Não entendi ? usando que base ? é fazer ficar transparente ? tipo o usuário do captive portal já estar logado no squid?

Aproveitar a autenticação ja feita no captive portal, logando o usuário no squid sem precisar abrir outra tela de usuário e senha.

Uma mistura de auth_ident com consulta a base de usuários ativos do captive portal.

Offline ccesario

  • Full Member
  • ***
  • Posts: 167
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #16 on: March 16, 2012, 10:24:11 am »
Luiz Gustavo!!!
Ótima notícia!!!!

Muito interessante :)

Qual a possibilidade disso ser incorporado ao pacote oficial!?

Obrigado

att,
Carlos

Offline freekazoide

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
    • My wiki page
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #17 on: March 16, 2012, 12:38:39 pm »
Qual a possibilidade disso ser incorporado ao pacote oficial!?

Não sei, depende do mantenedor, eu fiz o patch para atender uma necessidade localizada de cliente.

Eu vou postar na lista gringa e vamos ver o que o mantenedor acha.

Apesar que seria legal mexer nesse patch para filtrar melhor o campo do search do ldap.
Luiz Gustavo - FreeBSD User
<===\
<=== |====http://www.luizgustavo.pro.br====
<===/

Offline Cabeça

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #18 on: March 16, 2012, 02:08:07 pm »
Boa noite, Gustavo! Como vai?

Como você explicou, eu estou aplicando o seu script, mas não está aparecendo nenhuma opção do LDAP. O que você acha que pode ser fera?

Fique com Deus! Bom final de semana!
« Last Edit: March 16, 2012, 02:17:09 pm by Cabeça »

Offline Cabeça

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #19 on: March 16, 2012, 02:10:45 pm »
Foi mal pessoal, consegui resolver aqui. Apareceu a opção do LDAP, mas eu estacionei aqui. Help!?

Alguém poderia me ajudar, por favor?

Obrigado!
« Last Edit: March 16, 2012, 02:19:45 pm by Cabeça »

Offline freekazoide

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
    • My wiki page
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #20 on: March 16, 2012, 02:45:40 pm »
Foi mal pessoal, consegui resolver aqui. Apareceu a opção do LDAP, mas eu estacionei aqui. Help!?

Alguém poderia me ajudar, por favor?

Obrigado!

Como esta o seu cenário ? já tem o squid autenticando via ldap (no AD) e funcionando ?

A ideia do patch é ter uma opção de filtragem no squidguard baseada em consulta ldap, no caso da configuração no squidguard, é colocar uma entrada de usuário com permissão para listar a arvore do ldap e criar uma acl baseada em uma busca via ldap, conforme a documentação do proprio squidguard [1].

[1] http://www.squidguard.org/Doc/authentication.html (veja item 2 da documentação)
Luiz Gustavo - FreeBSD User
<===\
<=== |====http://www.luizgustavo.pro.br====
<===/

Offline Cabeça

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #21 on: March 16, 2012, 03:33:18 pm »
Obrigado pela ajuda Luis Gustavo!

A base eu entendi. A minha dúvida é, eu tenho que replicar os meus grupos do AD manualmente no Squidguard?

Ex: Tenho um grupo no AD chamado: Programação | Tenho que ir no Group ACL do Squidquard e criá-lo também?

Bom final de semana! E obrigado pela atenção!

Offline freekazoide

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
    • My wiki page
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #22 on: March 16, 2012, 05:14:21 pm »
A base eu entendi. A minha dúvida é, eu tenho que replicar os meus grupos do AD manualmente no Squidguard?

Ex: Tenho um grupo no AD chamado: Programação | Tenho que ir no Group ACL do Squidquard e criá-lo também?

Não, basta criar uma entrada conforme o print que mandei anteriormente apontando para o seu grupo no AD que ele vai verificar se o usuário logado pelo o squid esta no grupo ou  não para validar a ACL que você esta criando.

Entendeu, a ideia é filtrar (ACL) por grupo do AD (ldap), dessa forma você consegue por exemplo, criar um bloqueio de sites para o grupo XYZ no AD, assim, basta no windows você selecionar quem faz parte ou não do grupo.

É usar a imaginação.

E isso não se limita a grupo, pode ser uma arvore do AD diferente, uma outra abordagem de DN, etc..... é uma busca ldap, o exemplo que citei é para grupos, mas pode ser qualquer coisa.

Abraços
Luiz Gustavo - FreeBSD User
<===\
<=== |====http://www.luizgustavo.pro.br====
<===/

Offline freekazoide

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
    • My wiki page
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #23 on: March 16, 2012, 05:16:42 pm »
Replico o que eu disse na lista pfsense-pt:

Quote
Show,

Mas adianto que o patch ainda é muito cru, eu fiz para consolidar uma
necessidade de um cliente, mas de qualquer forma, do jeito que esta, ele
é funcional e não só para fazer consulta a grupo do AD e sim para
qualquer tipo de busca via ldap.

Assim que puder, eu vou mexer um pouco mais no patch, para filtrar
melhor aquela string do ldapsearch e fazer uma abordagem melhor na
entrada de dados.

Abraços
Luiz Gustavo - FreeBSD User
<===\
<=== |====http://www.luizgustavo.pro.br====
<===/

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9983
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #24 on: March 16, 2012, 05:30:49 pm »
Você alterou a regra do campo onde fica a string do ldap?

Quanto estava testando o outro patch ele me pareceu bem restritivo.

Este patch foi feito em cima da última versão do pacote?

att,
Marcello Coutinho

Offline Cabeça

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #25 on: March 16, 2012, 05:32:06 pm »
Obrigado irmão!

Estarei fazendo os testes e postando os resultados, assim que possível.

Fique na santa paz, Luis Gustavo!

Offline freekazoide

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
    • My wiki page
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #26 on: March 16, 2012, 06:07:41 pm »
Você alterou a regra do campo onde fica a string do ldap?

Quanto estava testando o outro patch ele me pareceu bem restritivo.

Este patch foi feito em cima da última versão do pacote?


Sim, claro ! senão não funciona....

olha o código que você vai ver a serie de "ifs" que coloquei para tratar a entrada da string do ldap (é nessa parte que eu digo que tenho que melhorar, até para evitar strings gigantes e pensar em poder colocar mais de uma string de busca na acl)

E sim, esta para a ultima versão, se não o patch falha ;)

abraços
Luiz Gustavo - FreeBSD User
<===\
<=== |====http://www.luizgustavo.pro.br====
<===/

Offline FullEraser

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (extraindo usuarios do ad)
« Reply #27 on: March 27, 2012, 01:05:05 pm »
Obrigado pela ajuda Marcello.

Pessoal, quem testar, por favor comente aqui :)

[]s

Carlos

Oi people,

Estou testando o squidguard_ldap.php, tenho os grupos na AD iguaizinhos aos grupos no squidguard, e está dando o seguinte erro:

Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
Group : GRP_Externo

Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
Group : Usrs_Limitado

Warning: Invalid argument supplied for foreach() in /usr/local/pkg/squidguard_ldap.php on line 40
user list from LDAP is different from current group, applying new configuration...done

Apesar de aparecer a mensagem "applying new configuration...done" nada é actualizado nos Groups ACL.

Agradeço desde já a vossa ajuda.


Offline FullEraser

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (extraindo usuarios do ad)
« Reply #28 on: March 30, 2012, 05:27:41 am »
Bom dia ppl,

Instalei o script squidguard_ldap.php, e ao executá-lo, ele vai ler penso que correctamente a arvore na minha AD, mas vai criar o ficheiro config.xml.bad e não vai actualizar os Group ACL's, que são igualzinhos aos grupos na AD.
Fiz isso num pfsense 2.0.1. Alguém pode ajudar???

Obrigado desde já,

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9983
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #29 on: March 30, 2012, 07:34:54 am »
Flicid,

Qual procedimento você usou entre o seus últimos posts?

Você saiu de um erro de script para uma aparente recuperação automática de configuração do pfsense.

Você pode executar um diff /conf/config.xml /conf/config.xml.bad ?