Paulo Roberto
OBS.: Segue algumas informações importantes sobre a configuração:
- Domínio = contoso.com
- Usuário administrador do domínio = Administrator
- Senha Administrator = admin.123
- IP Servidor AD = 192.168.1.2
- IP Servidor PFSense = 192.168.1.1
Primeiro vamos fazer a configuração dos servidores DNS no PFSense. Para isso vá em System > General Setup:
Defina seus servidores DNS e por onde a consulta vai sair, nesse caso usei o DNS do google e a saída pela WAN.
Agora vá em System > Packages e baixe o pacote Squid. Depois de instalado vá em Services > Proxy Server:
Na aba General preencha os campos com diz abaixo:
Proxy Interface = LAN
Allow users on interface = Marcada
Enabled logging = Marcada
Log store directory = /usr/squid/logs
Proxy Port = 3128
Visible Hostname = Servidor
Administrator e-mail: admin@localhost (Ou o e-mail do seu suporte técnico)
Autentication method = LDAP
Ldap Version = 3
Autentication server = 192.168.1.2
Autentication server port = 389
Ldap server user DN attribute = cn=Administrator,cn=Users,dc=contoso,dc=com
Ldap password = admin.123
Ldap base domain = dc=contoso,dc=com
Ldap username DN attribute = uid
Ldap search filter = sAMAccountName=%s
Agora adicione o pacote SquidGuard em System > Packages. Depois de instalado vá em Services > Proxy Filter.
Na aba General Settings marque a caixa Enable e clique no botão save.
Agora vá na aba Target categories e clique no botão Add.
Preencha os campos como diz abaixo:
Name: Personalizadas
Domain list: adicione os domínios separados por espaço (Ver imagem)
Descriptions: Regras personalizadas
Salve e vá para a aba Common ACL e clique no botão verde para mostrar as listas existentes:
Agora marque Default access [all] como Allow e Regras personalizadas [Personalizadas] como Deny:
Depois disso clique no botão Save.
OBS.: Lembrando que a política adotada nesse manual é negando acesso a alguns sites. Para bloquear tudo e liberar alguns endereços nós aplicamos as regras de forma invertida. Allow para Regras personalizadas [Personalizadas] e Deny para Default access [all].
Agora vamos criar uma regra no Firewall para bloquear a navegação direta para a internet. Vá em Firewall > Rules e clique em Add para criar nova regra.
Preencha os campos como diz abaixo:
Action = Block
Interface = LAN
Protocol = TCP
Source = Lan subnet
Destination:
- Not = Marcada
- Type = Lan subnet
Destination port range = HTTP
Pronto, o PFSense está configurado para controle de acesso a internet via usuários do AD. Basta marcar a configuração de proxy no navegador das estações da rede com o endereço 192.168.1.1 e a porta 3128.
Posted in: PFSense
16 comentários:
Caro Paulo, como seria a autenticação por grupos? e para só pedir usuário e senha quando não estiver no domínio?
Rafael, pra autenticar direto você precisa usar, se não me engano, autenticação com kerberos. No caso das máquinas que não estão no domínio eu não conheço nenhuma forma de direcionar o proxy com autenticação sem configurar manualmente no navegador.
E a configuração do squidguard para permitir ou bloquear por grupos do AD?
Tem que fazer algumas modificações nas configurações. Já cheguei a tentar fazer isso mas acabei optando por gerenciar toda a árvores e não separado por grupos do AD. Eu crio grupos diferenciados no squidGuard e vou adicionando os usuários que eu quero no seu respectivo grupo. Fica mais simples, eu acho.
Marcos, provavelmente vai ser algum parametro errado que você colocou no pfsense referente ao seu AD. É bom dar uma revisada especificamente no usuário e senha utilizados para autenticação.
Rapaz, nunca me deparei com esse tipo de erro não. Dá uma conferida geral na configuração e no syslog pra ver se tem mais algum detalhe. Senão abre um tópico no fórum do pfsense pra ver se alguem já passou por essa bronca.
http://forum.pfsense.org/
paulo e segui sem tutorial certinho mais acontece o seguinte pedi autenticação normalmente colo o usuario e senha ele não vai fica só pensando e pedindo senha vc tem alguma dica para me ajudar
Eduardo, confere o log e vê se ele tá dando algum erro na autenticação do squid na hora de consultar os usuários no AD. Pode ter sido algum erro de digitação do usuário Administrador
Bom dia!
Galera estou com um serio problema aqui na empresa!
Gostaria de saber alguma forma de o proxy autenticado com o AD não pedir usuário e senha para acessar a internet, pois essa maldita senha aparece toda hora teria alguma forma de fazer isso?
Parabens pelo tutorial, funciona tudo perfeitamente.. pf2.0.3 com w3k...
aproveitando tb para dizer se alguem conseguiu instalar o SARG para analise de relatorio... pois com o lightsquid vai muito bem
Ola Paulo, muito bom seu post. Fiz tudo conforme mencionado e funcionou, porem na autenticação do usuario fica muito lenta ( +/- 5 minutos para pedir senha usuario ). O que pode ser?
Consegui fazer o processo de integração corretamente, no entanto está acontecendo algo estranho.
Quando o meu usuario do AD tem restrição de acesso em determinadas maquina o pfsense não valida a senha desse usuario mesmo ele estando na maquina que ele tem autorização para usar.
Ja se mudo a configuração para permitir acesso a todos os computadores a senha desse usuario passa.
Como resolvo isso?
Paulo, excelente tutorial! Fiz aqui na empresa e tudo está funcionando perfeitamente. Minha duvida é: Como fazer para separar as permissões por grupo usando os usuários da minha base de dados do AD? Queria liberar um pequeno grupo para fazer downloads de executáveis. Obrigado!!
Bom dia a todos!
Gostaria de tirar uma duvida...
eu tenho um pfsense com balanceamento de carga, o balanceamento funciona so que tenho um problema so funciona o balanceamento que nao passa pelo proxy pois uso a porta 3128 e proxy setado no browse...
Os usuarios que passam pelo proxy nao funciona no balanceamento ja os que estao sem proxy funcionam normalmente!
alguem sabe me dizer o que pode ser?
Boa tarde, gostaria de saber se dá para bloquear navegação anonima pelo Pfsense?
seria mais pratico do que desabilitar maquina por maquina, uma vez que tenho mais de 100 pcs na rede.
Postar um comentário