1 de fev. de 2012

PFsense 2.0 + SquidGuard + Autenticação AD


Na aba "Available Packages" procure por "squid" e mande instalar clicando no ícone no canto direito


Imediatamente você será direcionado para a página do Package Installer, nele veremos o progresso da instalação do pacote squid e suas dependências:


Vamos inserir as regras para a rede LAN:


OBS.: LAN net = LAN subnet

Agora vamos no menu Services > Proxy Server:


Na aba "General" certifique que "Transparent Proxy" está desmarcada.
Considerando que seu servidor wk3 está com o IP: 192.168.1.12, a senha do usuário Administrador é "pwd1admin" e seu domínio é prototipo

Na aba "Auth Settings" vamos adicionar os seguintes parâmetros:

Authentication method: LDAP
LDAP version: 3

Authentication server: 192.168.1.12
Authentication server port: 389
LDAP server user DN: cn=Administrador,cn=Users,dc=prototipo
LDAP password: pwd1admin
LDAP base domain: dc=prototipo
LDAP username DN attribute: uid
LDAP search filter: sAMAccountName=%s

OBS: Meu domínio coloquei somente o nome prototipo, não coloquei nada como .com.br ou .com


Após este processo o squid estará buscando os usuários pelo Ad, agora precisamos instalar o SquidGuard para que ele possa controlar estes usuários na rede.


Vá na aba Blacklist e baixe no site da shallalist os arquivos, ou cole na blacklist upload: http://www.shallalist.de/Downloads/shallalist.tar.gz


Vá na aba Common ACL e acesse Target Rules List e de um Deny no Default access All


Agora vamos adicionar em Group ACL os grupos que já temos cadastrados no Active directory.
No meu exemplo tenho cadastrado somente dois, um deles é “Internet-TI” “Internet-Padrao”, deixe-os com letras maiúsculas ou minúsculas do jeito que postou no Active Directory.


Note que no campo cliente, possui alguns usuários, é importante adiciona-los pois o SquidGuard vai bloquear de acordo com as especificações que você adicionará logo em Target Rules list


No meu exemplo, o Grupo Internet-TI terá bloqueado somente webmail.
Para fazer o teste, clique em "save" e volte para a aba General Settings e deixe de acordo com a tela abaixo.


Assim que o SquidGuard iniciar ficará com status Start. Aí é só testar. Para isso utilizei o Internet Explorer.
Vá em Ferramentas > Opções da Internet > Configurações da LAN



Configure de acordo com o Ip de seu PfSense.




Agora de um Ok e Ok
Feche o navegador e abra-o novamente e agora coloque o login e senha do grupo que adicionou. No meu caso: Internet-TI




Agora vou acessar um site que contenha webmail. Ex: www.hotmail.com.br


Este é o resultado.
Caso alguém tenha mais alguma ideia para tirar o cadastro de usuários no SquidGuard, pode postar aqui.


Autor: Marcelo Mangini 






10 comentários:

Hugo Golembiewski disse...

Paulo, você teve em algum momento que configurar alguma parâmetro via shell? Conseguiu fazer funcionar sem ter que replicar os usuários do grupo do AD para dentro do Squidguard?

Abraço,

Hugo

Paulo Roberto disse...

Esqueci de botar nesse post. Tem sim que colocar na mão. Depois da linha "acl password proxy_auth REQUIRED" vc coloca esse trecho abaixo:

external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=redeinterna,dc=net" -D "cn=Administrador,cn=Users,dc=redeinterna,dc=net" -w "pwd1admin" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=redeinterna,dc=net))" -h 192.168.0.2 -p 389
#LIBERACAO/BLOQUEIO DOS GRUPOS
#Grupo Acesso Padrao: Possui Acesso Limitado
acl ldapPadrao external ldap_group Internet-Padrao
#Grupo Acesso TI: Acesso Full
acl ldapTI external ldap_group Internet-TI

acl bloqueio url_regex -i "/var/squid/acl/bloqueado.acl"
acl liberado url_regex -i "/var/squid/acl/liberado.acl"

http_acess allow ldapTI
http_access deny ldapPadrao !liberado
http_acess deny all

Christian Viana disse...

Prezado, bom dia.

Quando você diz: "Note que no campo cliente, possui alguns usuários, é importante adiciona-los pois o SquidGuard vai bloquear de acordo com as especificações que você adicionará logo em Target Rules list" seriam estes usuários todos àqueles já criados no AD e que autenticarão no FPSense?

Paulo Roberto disse...

Não, essa autenticação é por grupos do AD. Pra puxar todos os usuarios do AD você usa esse:

>> http://pauloxmachado.blogspot.com.br/2012/07/pfsense-201-squid-squidguard.html

Unknown disse...

Olá Paulo, você conseguiu fazer a autenticação transparente, sem aparecer a tela de autenticação?

Paulo Roberto disse...

Pedro, proxy autenticado não tem como ser transparente.

Unknown disse...

Paulo, rsrsr seria a autenticação transparente, sem a tela de autenticação. Quando logar no domínio já faz a autenticação no proxy.

Paulo Roberto disse...

Ahhh rapaz, tem como fazer. Se não me engano você tem que mexer alguma coisa com kerberos. Aqui eu não uso porque não dá certo, tem vários usuarios pra 1 máquina e níveis diferentes pra poder aplicar esse padrão.
Lí sobre isso mas tem muito tempo e não apliquei nada por falta de necessidade mesmo. Mas se você conseguir e quiser compartilhar fique a vontade =D

Squidblacklist disse...

Squidblacklist.org is the worlds leading publisher of native acl blacklists tailored specifically for Squid proxy, and alternative formats for all major third party plugins as well as many other platforms. Including SquidGuard, DansGuardian, and ufDBGuard, as well as pfSense and more.

There is room for better blacklists, we intend to fill that gap.

It would be our pleasure to serve you.

Signed,

Benjamin E. Nichols
http://www.squidblacklist.org

Unknown disse...

Estou com Pfsense 2.1.5 usando Squid e Squidguard autenticando no AD via LDAP. A autenticação funciona mas a integração com o Squidguard deixou de funcionar. Apenas os sites informados na ACLs -> blacklist do Squid é que são bloqueados. A configuração de blacklist do squidguard é ignorada. Alguma dica? Estou querendo algo que está fora das funcionalidades previstas ou é erro?

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Hot Sonakshi Sinha, Car Price in India