br
1 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
JACK.eti.br
Informao e Contedo sobre TI
Incio
Contato
Sobre
Sorteio de 2 ingressos para o webcast IPv6: Entendendo na prtica da ConexTI Live
sflPhone: Softphone livre e de qualidade!
19/08/2015 17:27
2 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Aps concluir toda a configurao indicada neste tutorial, voc poder criar quantos grupos desejar, e seguir com os
bloqueios e liberao para cada um deles.
Suponho que o seu Squid j esteja funcionando com os bloqueios desejados.
Antes, necessrio alterar as regras de firewall, para que as estaes clientes sejam obrigadas a utilizarem o proxy local
para ter acesso a internet.
No menu Firewall > Rules, as regras devem ficar conforme imagem abaixo:
OBS: A regra importante que desabilitei, foi a segunda regra, pois ela permite acesso total a qualquer endereo de
destino. Note que no final das regras, eu criei uma regra semelhante.
19/08/2015 17:27
3 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
19/08/2015 17:27
4 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
No esquea de criar os arquivos bloqueio.acl, e liberado.acl, e colocar algumas URLs no seu contedo.
Testes e resultados:
Antes de alterar o pfsense da empresa onde trabalho, efetuei testes em 3 maquinas virtuais (WinXP, pfSense 2.0 RC3 e
Win2003 R2 Standard Edition).
Na VM, no foi necessrio colocar um usurio administrador para efetuar as pesquisas no LDAP. Mas j no pfSense
instalado na empresa, isso no funcionou. Assim tive que colocar o usurio Administrator do Win2003 para pesquisar no
LDAP deste servidor. Portanto, caso no funcione com usurio comum, troque pelo usurio administrator, na guia Auth
Settings, e tambem na linha em que external_acl_type ldap_group no arquivo squid.inc.
No pfSense (empresa), as configuraes da guia Auth Settings do squid, foi necessrio alterar a opo LDAP search
filter, de cn=%s, para sAMAccountName=%s, ficando assim:
Authentication server
10.0.0.2
Authentication server port
389
LDAP server user DN
cn=Administrator,cn=Users,dc=dominio,dc=com,dc=br
LDAP password
senha
LDAP base domain
dc=dominio,dc=com,dc=br
LDAP username DN attribute
uid
LDAP search filter
sAMAccountName=%s
Finalizando:
Depois de algumas semanas pesquisando na internet, estes foram os passos que segui para que o Squid do pfSense
autenticasse por grupos no Active Directory.
Atualizao 11/01/2012: Acaba de ser publicado, pelo colega de frum Zeon, um tutorial mais atualizado explicando
como fazer seu pfSense autenticar (atravs de uma conta pr-definida) diretamente no seu servidor MS Active Directory.
O texto bem didtico e merece uma leitura atenta.
Like
Tweet
Jack
Jackson Laskoski Especialista em Administrao de Redes de Computadores e em Informtica
Aplicada ao Ambiente Empresarial. Atualmente professor universitrio, diretor tcnico da ConexTI e
diretor executivo do Sys Squad. palestrante e membro atuante de vrios grupos de usurios e projetos
de tecnologia.
15 Respostas a PFSense: Proxy autenticado e gerenciando ACLs com base em grupos do Active Directory
Feed para esta Entrada
19/08/2015 17:27
5 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Hugo
9/02/2012 a 09:57
Amigo, timo tutorial!
Possuo um nvel bem bsico no pfsense e mais ainda em sistemas linux. Estou com uma dvida bem bsica, como
inserir estas linhas usando vi? Tem como instalar o nano no pfsense?
Sds,
Responder
Jack
9/02/2012 a 10:43
Hugo,
Voc pode editar os arquivos de configurao com o vi ou qualquer outro editor de textos que possua verso para o
FreeBSD 8.1.
Um simples comando: pkg_add -r nano j faz este trabalho pra voc. Aqui voc estaria instalando o editor nano
diretamente dos ports do sistema operacional.
Abraos!
Jack
Responder
Hugo
10/02/2012 a 14:14
Legal Jack, vou fazer isso no pfsense via shell.
Obrigado!
Outra dvida sobre este tutorial: nas linhas abaixo, voc coloca duas ACLs com arquivos onde vc cadastras os
sites. (liberado e bloqueio). Sei que estamos falando apenas de squid, mas voc j tentou usar estas configuraes
usando o squidguard?
#LIBERAO/BLOQUEIO DOS GRUPOS
#Grupo Acesso Padrao Acesso Limitado
acl ldapInternet-Bancos external ldap_group Internet-Bancos
#Grupo Acesso Full Acesso Full
acl ldapInternet-TI external ldap_group Internet-TI
#acl bloqueio url_regex -i /var/squid/acl/bloqueio.acl
acl liberado url_regex -i /var/squid/acl/liberado.acl
http_access allow ldapInternet-TI
http_access deny ldapInternet-Bancos !liberado
Abrao,
Responder
Hugo
12/02/2012 a 11:43
Jack,
Tentei fazer como vc disse, mas o erro abaixo aparece. Pergunto: tem algum outro procedimento pra atualizar a
lista de pacotes antes?
19/08/2015 17:27
6 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
$ pkg_add -r nano
Error: Unable to get ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.1-release/Latest/nano.tbz: File
unavailable (e.g., file not found, no access)
Outra dvida:
Existe outra maneira de editar as linhas do arquivo sem utilizar editores via shell?
Vi que no pfsense tem uma aba > diagnostic > edit file. Os arquivos podem ser editados por l?
Estou tentando fazer tudo isso, pra autenticar os grupos do AD com o squidguard.
No meu caso eu uso Windows 2k8R2 e o pfsense 2.01. Para isso fiz:
1- Coloquei as informaes do meu domnio na autenticao do squid ok
2- crieis 02 grupos do AD: ok
grp_net_standard com acesso padro
grp_net_full com acesso full
3- necessrio criar 02 grupos no squidguard da mesma forma que foram criados no AD ok
4- Agora tenho que editar esse arquivo na mo para funcionar, essa a parte que estou travado
Sou novato em pfsense e tambm em linux:
Por isso tantas dvidas, desculpe minha ignorncia ok!
Hugo
Responder
Jack
21/02/2012 a 12:41
Hugo,
Sobre instalao de pacotes no FreeBSD, comece suas leituras por aqui: http://doc.fug.com.br/handbook/ports.html
Sobre a edio dos arquivos textos, voc pode usar tambm o vi (igualzinho como acontece no Linux e outros
Unix/Like).
Abraos!
Jack
Responder
Luciano
28/02/2012 a 23:19
Caro Jack,
O meu cenrio atual seria.
* pfSense verso 2.0.1
* Squid verso 2.7.9
* Windows 2008 R2
O que mudaria? Segui o manual criteriosamente mas ele continua pedindo autenticao, como se a senha estive-se
errada.
Responder
Jack
29/02/2012 a 11:30
19/08/2015 17:27
7 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Luciano,
Aparentemente voc esqueceu de informar algo no squid.inc ou est com algum tipo de inconsistncia na
configurao do seu AD. importante lembrar que ter o Windows 2008 Server no sinnimo de ter um
Active Directory ativo. Leia este outro tutorial mais ilustrativo: http://forum.pfsense.org/index.php
/topic,44689.0/topicseen.html
Outra dica verificar os logs do Squid pra ter mais informaes sobre o erro que vem ocorrendo. Isso voc
pode fazer via console texto do pfSense:
# tail -f /var/squid/logs/access.log
Abraos!
Jack
Responder
Luciano
1/03/2012 a 12:16
Vou seguir suas instrues e assim que possvel eu retorno.
Desde j agradeo sua ateno.
Responder
Rafael Dzin
12/09/2012 a 10:56
Caro Jack,
O meu cenrio atual seria.
* pfSense verso 2.0.1
* Squid verso 2.7.9
* Windows 2008 R2
O que mudaria? Segui o manual criteriosamente mas ele continua pedindo autenticao, como se a senha estive-se
errada.
Existe hoje em dia alguem conseguindo rodar o PFsense baseado em grupos do Server 2008 eu digo isso pois no
WIndows Server 2008 foi adotada algumas medidas de segurana no protocolo LDAP ento trazendo transtorno
na forma de programas terceiros autenticar-se no AD 2008 Se atualmente funciona as regras por grupos do AD
gostaria de um manual passo a passo pois ja segui varios da internet e nenhum funciona lembrando que estou
utilizando o VirtualBox para o experimento.. no Aguardo por uma resposta! Grato!
Responder
Claudio Geasy
11/12/2012 a 18:27
Opa Jack, cara show os passos do tutorial, porm no consigo autenticar meus usurios criados no AD. O prompt
do navegador sempre volta como se tivesse errado a senha.
Meu cenrio atual tambm seria:
* pfSense verso 2.0.1
* Squid verso 2.7.9
* Windows 2008 R2
H possibilidade de os parmetros de LDAP serem diferentes devido ao fatos dos Windows servers serem 2003 R2
e 2008 R2?
19/08/2015 17:27
8 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
19/08/2015 17:27
9 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Responder
Igor Motta
8/07/2015 a 17:55
Jack,
Tenho aqui um firewall de borda e um proxy separado fazendo autenticao ntlm funcionando.
Quero comear a broquear e liberar os usurios conformes os grupos no AD. Essa soluo que voc postou serve
para meu caso?
Hoje uso pfsense 2.2.2 64bit.
Valeu pelo artigo e obrigado desde j.
Responder
Sorteio de 2 ingressos para o webcast IPv6: Entendendo na prtica da ConexTI Live
sflPhone: Softphone livre e de qualidade!
Deixar uma Resposta
Nome (obrigatrio)
Mail (no ser publicado) (obrigatrio)
Website
CAPTCHA Code *
19/08/2015 17:27
10 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Eventos
FreeBSD
Games
Linux
Mercado
Network
Programao
Promoes
Sorteio Livro Smartphones
Sorteio Mochila Targus
Segurana da Informao
Sociedade Digital
Software Livre
Todos os Posts
Vagas de Emprego
Windows
Anteriores:
Anteriores:
Downloads
Exemplos programao
Modelo de Artigo Cientfico
Instituies de Ensino
CNEC Concrdia/SC
FAE/RS
FUnC
SENAI/SC
UCEFF Faculdades
Links - Programao
Apostila Lgica Programao
Apostila PHPMyAdmin
Apostila POO
Apostila SQL Avanado
Apostila SQL Bsico
Apostilas Visual Basic
Cdigos em VB
Clube Delphi
Curso de "C" da UFMG
Curso HTML UFPEL
Curso Python
Curso: POO com JAVA
fechaTag
GUJ: Grupo de Usurios Java
JavaFree
Linha de Cdigo
Livro Gratuito sobre C
Macoratti.net VB
Manual do PHP
PHP Brasil
Planeta Delphi
Python Brasil
19/08/2015 17:27
11 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
19/08/2015 17:27
12 de 12
http://www.jack.eti.br/proxy-autenticado-acls-grupos-ad/
Os direitos autorais de todas as ilustraes pertencem aos respectivos autores, e elas so reproduzidas na inteno de
atender ao disposto no art. 46 da Lei 9.610.
se ainda assim alguma delas infringe direito seu, entre em contato para que possamos remov-la imediatamente.
Feed de Entradas e Feed de Comentrios
57 queries. 0,394 seconds.
Desde 2006 http://www.jack.eti.br
19/08/2015 17:27