The pfSense Store

Author Topic: Tutorial - SquidGuard + LdapGroup (permissão por grupo no ad)  (Read 33390 times)

0 Members and 1 Guest are viewing this topic.

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #75 on: May 11, 2012, 12:50:06 am »
só um detalhe com relação ao usuário, não estaria faltando um cn com a localização da conta?

$user_bind = "cn=root,cn=Users,DC=agrovale,DC=com,DC=br";

Offline gilmarcabral

  • Sr. Member
  • ****
  • Posts: 555
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #76 on: May 11, 2012, 05:16:45 am »
Bom dia.
Penso que não pois em integrações de outras aplicações com o openldap não informo a cn=Usuarios.
Pois a estrutura do openldap que utilizo sendo passo sem a cn=Users, mas Fiz o teste passando porem da o erro abaixo.
./squidguard_ldap.php
Group : CTIN
Warning: ldap_bind(): Unable to bind to server: Invalid credentials in /usr/local/pkg/squidguard_ldap.php on line 55



Onde Ou=Usuarios onde fica os usuarios quando criados na base openldap, na Ou=Grupos e onde fica os grupos e neles informo em qual grupo o usuario ira pertencer.
Então no squidguard irei criar o nome do grupo igual esta na Ou=Grupos
Abaixo segue minha arvore openldap para melhor entender
   
+--> dc=agrovale,dc=com,dc=br (14)
 +--> ou=Computadores (50+)
  +--> ou=Grupos (25)
     | ---> Criar Novo
     | ---> cn=ADMIN
     | ---> cn=Administradores
     | ---> cn=Administradores do Dominio
     | ---> cn=CAFCA
     | ---> cn=CCG
     | ---> cn=CCON
     | ---> cn=CDCS
     | ---> cn=Computadores do Dominio
     | ---> cn=Convidados
     | ---> cn=Convidados do Dominio
     | ---> cn=CRHU
     | ---> cn=CSOP
     | ---> cn=CTIN
     | ---> cn=CURSO
     | ---> cn=Duplicadores
     | ---> cn=GADF
     | ---> cn=GAGS
     | ---> cn=GALC
     | ---> cn=GAVR
     | ---> cn=GSUP
     | ---> cn=Operadores de Backup
     | ---> cn=Operadores de Contas
     | ---> cn=Operadores de Impressao
     | ---> cn=PDV
     | ---> cn=Usuarios do Dominio
     | ---> Criar Novo
     | ---> ou=Idmap
         +--> ou=Usuarios (50+)
             | ---> Criar Novo
             | ---> uid=adeilton_40733
             | ---> uid=adriana_21139
             | ---> uid=adriane_21258
             | ---> uid=alberto_30320
             | ---> uid=ales_21063
             | ---> uid=alinne_21537
             | ---> uid=alvaro_20871
             | ---> uid=gilmar_20601
             | ---> uid=messenger




Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #77 on: May 11, 2012, 02:18:39 pm »
gilmarcabral,

Você esta usando active directory da microsoft ou o openldap?

Offline gilmarcabral

  • Sr. Member
  • ****
  • Posts: 555
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #78 on: May 11, 2012, 02:54:33 pm »
Openldap

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #79 on: May 11, 2012, 05:04:32 pm »
Openldap

Deve ser este o problema, Consegue adaptar o script para funcionar com o openldap também?

att,
Marcello Coutinho

Offline gilmarcabral

  • Sr. Member
  • ****
  • Posts: 555
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #80 on: May 15, 2012, 12:21:48 pm »
Boa tarde.
Galera o Ccesario fez adequação no script squidguard_ldap.php para que o mesmo faça busca em base openldap ao invez de AD.
Era por isso eu não estava conseguindo fazer o script consultar a base e adicionar os usuarios na gui.
Segue abaixo script adequado para consultas em base openldap.

Code: [Select]
#!/usr/local/bin/php -q
<?php
// based on http://samjlevy.com/2011/02/using-php-and-ldap-to-list-of-members-of-an-active-directory-group/
// pfsense integration by marcelloc and ccesario

# AD HOST (required)
$ldap_host "192.168.10.39";

# AD DIRECTORY DN(required)
$ldap_dn "DC=agrovale,DC=com,DC=br";

# BIND USER(required)
$user_bind "CN=root,DC=agrovale,DC=com,DC=br";

# PASSWORD BIND(required)
$password "SENHA.";

#if you need to apply any prefix or sufix to retreived user
#example: prefix user with domain(required)
#$user_mask="DOMAIN\USER";
$user_mask="USER";

####################
# End of user options  #
####################

require_once("/etc/inc/util.inc");
require_once(
"/etc/inc/functions.inc");
require_once(
"/etc/inc/pkg-utils.inc");
require_once(
"/etc/inc/globals.inc");

#mount filesystem writable
conf_mount_rw();


function 
explode_dn($dn$with_attributes=0)
{
    
$result ldap_explode_dn($dn$with_attributes);
    foreach(
$result as $key => $value) {
         
$result[$key] = $value;
    }
    return 
$result;
}

function 
get_ldap_members($group,$user,$password) {
global $ldap_host;
global $ldap_dn;
$LDAPFieldsToFind = array("member");
$ldap ldap_connect($ldap_host) or die("Could not connect to LDAP");

// OPTIONS TO AD
ldap_set_option($ldapLDAP_OPT_PROTOCOL_VERSION,3);
ldap_set_option($ldapLDAP_OPT_REFERRALS,0);

ldap_bind($ldap$user$password) or die("Could not bind to LDAP");

$results ldap_search($ldap,$ldap_dn,"cn=" $group,$LDAPFieldsToFind);

$member_list ldap_get_entries($ldap$results);

//print_r($member_list[0][dn]);


$group_member_details = array();
foreach($member_list[0] as $member) { 
$member_dn explode_dn($member);
//print_r($member_dn);
$member_cn str_replace("cn=","",$member_dn[0]);
$member_search ldap_search($ldap$ldap_dn"(cn=" $member_cn ")");
$member_details ldap_get_entries($ldap$member_search);
$group_member_details[] = array($member_details[0]['memberuid']);
}
ldap_close($ldap);
array_shift($group_member_details);
return $group_member_details;
}

// Read Pfsense config 
global $config,$g;
$id=0;
$apply_config=0;
if (
is_array ($config['installedpackages']['squidguardacl']['config']))
foreach($config['installedpackages']['squidguardacl']['config'] as $group) {
   
$members="";
   
echo  "Group : " $group['name']."\n";
   
$result get_ldap_members($group['name'],$user_bind,$password);
foreach($result[0][0] as $key => $value) {
echo "key $key  ==>>  val $value\n";
     if ( (preg_match ("/\w+/",$value)) && (preg_match ("/^[0-9]/",$key)) ) 
$members .= "'".preg_replace("/USER/",$value,$user_mask)."' ";
}
   
if (!empty($members))
   
if($config['installedpackages']['squidguardacl']['config'][$id]['source'] != $members){
   
$config['installedpackages']['squidguardacl']['config'][$id]['source'] = $members;
   
$apply_config++;
   
}
   
$id++;
}
if (
$apply_config 0){
print "user list from LDAP is different from current group, applying new configuration...";
write_config();
include("/usr/local/pkg/squidguard.inc");
squidguard_resync();
print "done\n";
}

#mount filesystem read-only
conf_mount_ro();
?>

« Last Edit: May 15, 2012, 02:31:58 pm by marcelloc »

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #81 on: May 15, 2012, 02:32:49 pm »
gilmarcabral,

O ccesario me passou o script, vou tentar juntar as duas versões em um único script assim que possível.

att,
Marcello Coutinho

Offline madrugaaa

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #82 on: May 16, 2012, 02:49:16 pm »
Boa tarde, é o seguinte, configurei o squid para autenticar no ad e apliquei o patch do luiz gustavo para fazer os bloqueios no squidguard via grupos do AD, configurei da seguinte forma.
Proxyfilter - SquidGuard -> General Settings


Fui em Common ACL e dei um DENY em Default Access ALL
Em Groups ACL criei um grupo chamado TI
em Client Source coloquei o seguinte = ldapusersearch  ldap://192.168.1.5/DC=far,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=TI%2cCN=Users%2cDC=far%2cDC=com))
onde 192.168.1.5 é o ip do AD, o nome do grupo no AD é TI e dominio far.com
Fiz os devidos bloqueios em target rules list salvei e apply.
o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

Offline pontoexe

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #83 on: May 28, 2012, 07:52:11 pm »
 >:( ???

O que acontece???

Não consigo fazer essa coisa funcionar seguindo os passos de vocês, já tentei com todos os scripts aqui mas não funciona, parei agora no mesmo estágio que o rapaz ai de cima, autentica mas não bloqueia e no meu caso não achei onde vejo a lista de grupos e usuários...

HELP ME PLEASE!!!

Offline pontoexe

  • Newbie
  • *
  • Posts: 19
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #84 on: May 28, 2012, 08:50:25 pm »
Agora usando o squidguard.php consegui fazer ele autenticar e reconhecer os nomes de usuários conforme o print do pessoal, mas agora não autentica nenhum user.

Não sei mais o que fazer... É osso isso aqui viu!!!

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #85 on: May 28, 2012, 10:31:41 pm »
o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

HELP ME PLEASE!!!

Outras pessoas tiveram o mesmo resultado, tente a segunda alternativa com o script que eu e o ccesario fizemos, este eu sei que funciona no dansguardian e no squidguard.

att,
Marcello Coutinho


ps:
Lembrando que o LuisGustavo deixou bem claro que era um patch experimental, ajuda para evoluir o status para stable é sempre bem vinda.
« Last Edit: May 28, 2012, 10:35:06 pm by marcelloc »

Online kelsen

  • Sr. Member
  • ****
  • Posts: 501
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #86 on: June 05, 2012, 09:44:34 am »
Marcelloc,

      Utilizando esse script que vc fez, funciona. Tenho uma dúvida quanto o seguinte, eu preciso colocar o nome da ACL exatamente igual como esta o nome do grupo no AD, certo? problema é que quando o nome tem mais de 16 caracteres o pf nao aceita,isso é padrao do squidguard ou tem como alterar no pfsense?

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9985
  • Karma: +2/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #87 on: June 05, 2012, 09:47:45 am »
Não uso o squidguard, vou verificar onde é a restrição.

De qualquer forma, ser for restrição do squid/squidguard, da para alterar o script para ler o grupo do campo descrição.

mude disso:
Quote
echo  "Group : " . $group['name']."\n";
$result = get_ldap_members($group['name'],$user_bind,$password);

para isso:
Quote
echo  "Group : " . $group['description']."\n";
$result = get_ldap_members($group['description'],$user_bind,$password);

att,
Marcello Coutinho
« Last Edit: June 05, 2012, 09:54:40 am by marcelloc »

Online kelsen

  • Sr. Member
  • ****
  • Posts: 501
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #88 on: June 06, 2012, 07:48:33 am »
Vlw, funcionou pra mim.

Offline jcesarsc

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: [Resolvido] SquidGuard + LdapGroup (permissão por grupo no ad)
« Reply #89 on: July 06, 2012, 03:16:02 pm »
o que acontece é o seguinte, eu consigo autenticar normalmente, testei a consulta manual ldapsearch e consultou tudo ok no meu ad, listou usuarios e grupos, mais ao autenticar os usuário não pegam os bloqueios, help-me

HELP ME PLEASE!!!

Outras pessoas tiveram o mesmo resultado, tente a segunda alternativa com o script que eu e o ccesario fizemos, este eu sei que funciona no dansguardian e no squidguard.

att,
Marcello Coutinho


ps:
Lembrando que o LuisGustavo deixou bem claro que era um patch experimental, ajuda para evoluir o status para stable é sempre bem vinda.


Aqui no trabalho, tbm ta acontecendo a mesma coisa.
Os usuarios sao autenticados no Squid, porem nenhum filtro do SquidGuard esta sendo respeitado. Os usuarios acessam qualquer site.
Apliquei o patch feito pelo Luiz Gustavo, mas continua o mesmo problema.
Uma dúvida:
Depois de aplicado o patch e criado a ACL, tem mais algum passo que deve ser feito ?
Achei estrando pq o squidGuard.conf estava sem a busca ldap. A alteracao feita na aba Group ACL nao deveria refletir nesse arquivo ?