Netgate Store

Author Topic: Problema al validar usuario con el AD usando LDAP  (Read 3184 times)

0 Members and 1 Guest are viewing this topic.

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Problema al validar usuario con el AD usando LDAP
« on: June 18, 2015, 08:41:49 am »
 Buenas tardes, quiero pedir su ayuda a ver si pueden orientarme en donde esta mi error, les explico.

  Estoy en una red donde tenemos: 1 servidor Windows 2003 donde esta el AD y es el servidor DHCP, tengo varias estaciones de trabajo y a parte tengo un equipo con Pfsense, el cual funciona como proxy con Squid y SquidGuard, las restricciones de navegación las ejecuto por las IP y trabajan sin problema, pero deseo hacer un cambio y restringir por usuario ya que los mismos están cambiando de estaciones de trabajo muy seguido, lo que me obliga a modificar las listas de accesos constantemente.

  Estuve leyendo algunos de los post que están acá y complemente con unos vídeos de Youtube, entonces pude crear el usuario que se conectara con el AD y el grupo donde él estará, en la opción "System -> User Manager" cree el mismo grupo y usuario, le di los permisos, en la pestaña "Services -> Proxy Server -> Auth Setting" cree la configuración, coloque el puerto y los valores que pude ver. Al ingresar en "Diagnostics -> Authentication", coloco los usuarios creados o cualquiera que esta en el AD y me dice que es satisfactoria la conexión, pero al ingresar en el navegador, cuando me pide usuario y contraseña.... Entra en un loop y no accede a ninguna pagina, como si no pudiera validar el usuario contra el proxy. anexo las siguientes pantallas con los valores actuales. Estoy usando pfsense 2.2.2.






Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #1 on: June 22, 2015, 11:22:01 am »
No he probado eso pero creo que estás confundiendo la definición de servidores de autentificación para los servicios "propios" (administración, OpenVPN, Captive Portal...) de pfSense en System con la autentificación que pueden llevar los paquetes "añadidos" (squid...)

Algunos enlaces sobre el tema:

https://forum.pfsense.org/index.php?topic=48154.msg254233#msg254233

http://es.slideshare.net/mauro430/autenticacion-proxy-fitermediantegrupodeldap

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #2 on: June 22, 2015, 01:53:29 pm »
Gracias por la respuesta, básicamente la idea es simplemente activar el squid y squidguard como lo tengo actualmente, pero validando el usuario conectado contra el AD y no la ip, pero el mismo no funciona, en uno de los post que me informas, no puedo ver la imágenes, tal vez si pudiera, me ayudaría en el problema.
« Last Edit: June 22, 2015, 02:40:23 pm by bellera »

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #4 on: June 22, 2015, 03:24:15 pm »
Sobre http://forum.pfsense.org/index.php/topic,22273.0.html, escribí al autor del tutorial hace algunas semanas pero no me respondió.

Encontré una copia en https://es.scribd.com/doc/252760895/Tutorial-simple-squid-squidguardiann

La dejo en http://www.bellera.cat/josep/pfsense2/tutorial-simple-squid-squidguard.pdf


Un millón de gracias por la atención y ayuda, pero esos paso de validación por IP, lo tengo cubiertos, de hecho, actualmente esta trabajando así, pero deseo implementar por usuario de red validado contra el AD ya que los usuarios se están cambiando de estaciones de trabajo, lo que me obliga a entrar y actualizar las IP. Allí es donde surge mi problema.  Como lo puse en el principio, ya logro que el pfsense se comunique con el AD, pero no logro que el pfsense acepte las conexiones de los usuarios al momento de la navegación, aún cuando coloco en el navegador, el nombre del servidor proxy y el puerto.

Perdona que te moleste, pero crees que en algún momento sea posible que pueda conversar contigo en linea unos minutos para mostrarte con exactitud lo que hago y lo que me ocurre, tal vez es que no me explico claramente.
« Last Edit: June 22, 2015, 03:55:06 pm by jjescalona »

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #5 on: June 22, 2015, 04:09:20 pm »
Perdona que te moleste, pero quiero anexarte el "Proxy config" , ya que tal vez con tu experiencia puedas ver algo que yo no. Muchas gracias por el apoyo.


# Do not edit manually !
http_port 11.120.11.23:8080
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/pbi/squid-amd64/etc/squid/errors/Spanish
icon_directory /usr/pbi/squid-amd64/etc/squid/icons
visible_hostname midominio
cache_mgr jescalona@midominio.com
access_log /dev/null
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  11.120.11.0/255.255.255.0
uri_whitespace strip

cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode off

# No redirector configured



# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
acl sslports port 443 563 
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin ?
acl allowed_subnets src 11.120.11.0/24
cache deny dynamic
http_access allow manager localhost
 
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

# Custom options
url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0
auth_param basic program /usr/pbi/squid-amd64/libexec/squid/squid_ldap_auth -v 3 -b dc=midominio,dc=com -R -D 'cn=pfsense_admin,dc=Users,dc=midominio,dc=com' -w Pfsense -f 'sAMAccountName' -u  -P 11.120.11.4:389
auth_param basic children 5
auth_param basic realm Ingrese su usuario y clave de Windows
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow password localnet
http_access allow password allowed_subnets
# Default block all to be sure
http_access deny all

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #6 on: June 22, 2015, 04:23:15 pm »
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#squid.conf

Code: [Select]
### /etc/squid3/squid.conf Configuration File ####

### provide basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=example,dc=local" -D squid@example.local -W /etc/squid3/ldappass.txt -f sAMAccountName=%s -h dc1.example.local
auth_param basic children 10
auth_param basic realm Internet Proxy
auth_param basic credentialsttl 1 minute

### acl for proxy auth and ldap authorizations
acl auth proxy_auth REQUIRED

### enforce authentication
http_access deny !auth
http_access allow auth
http_access deny all

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #7 on: June 22, 2015, 04:26:02 pm »
Si no funciona correctamente diría que el problema tiene que estar en la línea

Code: [Select]
auth_param basic program /usr/pbi/squid-amd64/libexec/squid/squid_ldap_auth -v 3 -b dc=midominio,dc=com -R -D 'cn=pfsense_admin,dc=Users,dc=midominio,dc=com' -w Pfsense -f 'sAMAccountName' -u  -P 11.120.11.4:389
Verifica que los parámetros sean correctos para tu LDAP.

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #8 on: June 23, 2015, 09:26:26 am »
Gracias por la información, aprovecho para decirte que no tengo un directorio "/etc/squid3/", de hecho al leer tu mensaje, procedí a instalar el paquete "squid3", pero aun así no tengo el directorio especificado, no se si es que me falta otro paquete más y no lo conozco. Los paquetes que tengo son: "squid","squid3","squidGuard","squidGuard-devel", de nuevo gracias por la ayuda.
« Last Edit: June 23, 2015, 11:23:04 am by bellera »

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #9 on: June 23, 2015, 11:24:52 am »
No puedes tener squid 2.x y squid 3.x

Uno u otro.

Los directorios que te dí están sacados de la wiki de squid y no tiene por qué ser los mismos en la distribución que se emplea. En este caso pfSense, que aunque sea FreeBSD tampoco tiene exactamente la misma distribución de directorios.

Siento haber provocado confusión...

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #10 on: July 01, 2015, 10:26:23 am »
Hola bellera, quería agradecerte el apoyo prestado, pude solventar el problema que tenia y efectivamente ya esta funcionando sin inconveniente el proceso, tuve que eliminar los grupos y usuarios creados en el AD y procedí a crearlos en una nueva unidad organizativa. Inicie todo el proceso de configuración del pfsense y todo esta OK.


De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.

Offline acriollo

  • Hero Member
  • *****
  • Posts: 673
  • Karma: +36/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #11 on: July 02, 2015, 11:00:38 am »
Hola
Entonces el problema fue del lado del AD y no del squid ?

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5577
  • Karma: +128/-51
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #12 on: July 02, 2015, 03:44:28 pm »
De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.

De nada.

La mejor forma de colaborar es ser activo en el foro. Entre todos, mejoramos...

Offline jjescalona

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #13 on: July 03, 2015, 10:11:32 am »
Hola
Entonces el problema fue del lado del AD y no del squid ?

Efectivamente, el problema estaba en la manera como se creo inicialmente en el AD. Para resolver el problema cree una nueva Unidad Organizativa, dentro de ella el usuario de verificación y el grupo a validar el privilegio de navegación.

Offline slayther

  • Newbie
  • *
  • Posts: 3
  • Karma: +0/-0
    • View Profile
Re: Problema al validar usuario con el AD usando LDAP
« Reply #14 on: February 02, 2018, 02:19:46 pm »
Buenas tardes, tengo exactamente el mismo problema. como lograste solucionarlo? saludos