20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

INCIO

Paulo Roberto
Tecnologia da Informao
HOME CATEGORIAS

MAIS VISITADOS
UltraVNC no Windows 7 com CTRL+ALT+DEL habilitado na tela de logon Uma bronca enfrentada aqui no trabalho a atualizao do parque de computadores que estava sofrendo com resistncia da equipe de suporte... PFsense 2.0 + Squid + Atenticao AD [UPDATE] Testei vrias vezes com o servidor W2k8 e funcionou perfeitamente!! Agora vou fazer um passo-a-passo de configurao do PFsense p... PFsense 2.0.1 + Squid + SquidGuard + Autenticao AD Esse manual de minha autoria mesmo e traz a configurao do PFsense 2.0.1 amd64 com Squid e SquidGuard criando regras personalizadas e aut... SquidGuard no PFsense 2.0 Atendendo um pedido feito nos comentrios do post PFsense 2.0 + Squid + Atenticao AD eu testei a utilizao do SquidGuard no PFsense 2.0... Sarg no PFsense 2.0 Depois de preparar meu PFSense em laboratrio para partir pro primeiro teste prtico eu acabei esbarrando no problema de simplesmente no te...

PFsense 2.0 + Squid + Atenticao AD

Paulo Roberto 9 comments

Pesquisar

TWITTER

[UPDATE] Testei vrias vezes com o servidor W2k8 e funcionou perfeitamente!! Agora vou fazer um passo-a-passo de configurao do PFsense para fazer controle de acesso via Squid autenticando usurios do AD (2k3) atravs de grupos. Primeiro vamos acessar o WebConfigurator do PFSense: http://ip_pfsense Na tela de autenticao usaremos o usurio e senha padro: User: admin Pwd: pfsense

Agora vamos adicionar o pacote squid ao pfsense para comearmos a configurao: V ao Menu: System > Packages

Na aba "Available Packages" procure por "squid" e mande instalar clicando no cone no canto direito

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

1/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

Imediatamente voc ser direcionado para a pgina do Package Installer, nele veremos o progresso da instalao do pacote squid e suas dependncias:

Vamos inserir as regras para a rede LAN:

OBS.: LAN net = LAN subnet

Agora vamos no menu Services > Proxy Server:

Na aba "General" certifique que "Transparent Proxy" est desmarcada. Considerando que seu servidor wk3 est com o IP: 192.168.0.2, a senha do usurio Administrador "pwd1admin" e seu domnio redeinterna.net Na aba "Auth Settings" vamos adicionar os seguintes parmetros: Authentication method: LDAP

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

2/8

20/06/13
LDAP version: 3

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

Authentication server: 192.168.0.2 Authentication server port: 389 LDAP server user DN: cn=Administrador,cn=Users,dc=redeinterna,dc=net LDAP password: pwd1admin LDAP base domain: dc=redeinterna,dc=net LDAP username DN attribute: uid LDAP search filter: sAMAccountName=%s

Agora vamos ao nico passo que tem que ser realizado via terminal, portanto v novamente ao seu servidor PFSense e digite a opo 8 para ter acesso ao shell:

Agora vamos editar o arquivo squid.inc que o arquivo lido pelo PFSense para aplicar as modificaes que fazemos nele. # vi /usr/local/pkg/squid.inc

Adicione as linhas na caixa logo abaixo do bloco a seguir:

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

3/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

auth_param basic children $processes auth_param basic realm $prompt auth_param basic credentialsttl $auth_ttl minutes acl password proxy_auth REQUIRED

e x t e r n a l _ a c l _ t y p el d a p _ g r o u pc h i l d r e n = 3 0% L O G I N/ u s r / l o c a l / l i b e x e c / s q u i d / s q u i d _ l d a p _ g r o u pv3R # L I B E R A C A O / B L O Q U E I OD O SG R U P O S # G r u p oA c e s s oP a d r a o :P o s s u iA c e s s oL i m i t a d o a c ll d a p P a d r a oe x t e r n a ll d a p _ g r o u pI n t e r n e t P a d r a o # G r u p oA c e s s oT I :A c e s s oF u l l a c ll d a p T Ie x t e r n a ll d a p _ g r o u pI n t e r n e t T I a c lb l o q u e i ou r l _ r e g e xi" / v a r / s q u i d / a c l / b l o q u e a d o . a c l " a c ll i b e r a d ou r l _ r e g e xi" / v a r / s q u i d / a c l / l i b e r a d o . a c l " h t t p _ a c e s sa l l o wl d a p T I h t t p _ a c c e s sd e n yl d a p P a d r a o! l i b e r a d o h t t p _ a c e s sd e n ya l l

OBS.: Recomendo copiar e colar as linhas acima porque eu levei 1 hora pra descobrir erros de digitao na hora que eu fui adicionando essas linhas.

Agora vou mostrar rapidamente como criei os grupos e usurios no servidor wk3 considerando que o domnio redeinterna.net j foi criado. Abra o Acitve Directory e Adicione uma OU (Unit Organization ou Unidade Organizacional) chamada Internet:

Agora entre na OU e adicione 2 grupos: Internet-Padrao e Internet-TI

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

4/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

Agora basta adicionar os usurios do domnio (Dentro da diretrio Users):

Depois de criado o usurio basta adicion-lo ao grupo ao qual ele pertence: TI ou Padro

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

5/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

E pronto, agora s configurar seu proxy no navegador dos clientes informando o IP do seu servidor PFSense e a porta do Squid 3128. Lembrando que os usurios do grupo Internet-Padrao estaro sujeitos a restrio dos sites informados no arquivo bloqueado.acl. Esse manual foi baseado integralmente no tutorial do Ricardo Pardim. Segue abaixo o link original: http://www.jack.eti.br/www/arquivos/outros_tutoriais/pfsense/autenticacao_grup os_AD_pfsense.pdf
Posted in: PFSense Recommend this on Google

Postagem mais recente

Incio

Postagem mais antiga

9 comentrios:

Annimo disse...
Paulo Roberto, muito obrigado pelas dicas oferecidas neste tutorial, muito bem feito. Agradeo a sua ajuda para mais uma duvida com reao ao squid. Haveria a possibilidade de adicionar o squidguard para bloqueio de sites e recursos de blacklist??
09/01/12 20:18

Paulo Roberto disse...

Particularmente eu prefiro baixar a blacklist e aplicar na mo. Assim voc pode fazer pequenas alteraes no arquivo de configurao. Confesso que no cheguei a testar o squidguard mas adianto que o PFSense suporte bem. Vou dar uma testada essa semana e vejo se lano um outro post com essa configurao!
10/01/12 08:35

Annimo disse...
Paulo, obrigado pelo retorno, acho interessante o uso do squidguard, pois j o utilizei, mas sem essa integrao e posso garantir que o funcionamento excelente. Alguns usurios que antes brincava na rede em achar sites que antes passava pelo proxy foi barrado tranquilamente. Gostaria de us-lo por este fato interessante dele e de bloquear 1.500.000 sites na web. Agradeceria se conseguisse fazer isto, estou estudando esta possibilidade, caso consiga, j posto pra voc. Att.
12/01/12 23:21

Hugo Golembiewski disse...

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html 6/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

Paulo Roberto, Sobre seu comentrio de baixar a blacklist na mo. Como fazer nesse caso, estou tentando integrar o squidguard com o AD mas sem sucesso. Vou usar somente o squid e aplicar as liberaes de sites na mo mesmo. Desde j agradeo Hugo
13/02/12 08:33

Paulo Roberto disse...

Hugo, esse outro post explica como integrar o squidguard: http://pauloxmachado.blogspot.com/2012/02/pfsense-20-squidguardautenticacao-ad.html
13/02/12 11:56

Hugo Golembiewski disse...

Paulo, neste caso, seria melhor desinstalar o squidguard? estou seguindo a risca o tutorial e no estou conseguindo liberar os sites listados no arquivo liberados.acl O squid autentica o usurio, mas no reconhece os arquivos. J no sei onde pode ser o problema hehe. Talvez porque eu tenha tambm o squidguard instalado.:/
14/02/12 01:30

Paulo Roberto disse...

Hugo, recomendo vc comear do zero novamente. Siga esse manual aqui que funciona com certeza, depois pode s consultar o outro pra adicionar o squidGuard. Se tiver mais dvidas me mande por e-mail pauloxmachado@gmail.com que fica mais fcil de trocar informaes. Ab
14/02/12 08:42

Luciano Goulart disse...

Prezado Paulo, Obrigado pelo tutorial. Ele realmente funciona! Gostaria de lhe apresentar duas pequenas correes. Onde se pede para acrescentar linhas no squid.inc alterar: a) De: http_acess allow ldapTI Para: http_access allow ldapTI Nota: Faltou um "c" na palavra access. b) De: http_acess deny all Para: http_access deny all

Nota: Faltou um "c" na palavra access. Seria isto, no geral est corretssimo e bem construdo. Cordialmente,

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

7/8

20/06/13

PFsense 2.0 + Squid + Atenticao AD ~ Paulo Roberto

09/07/12 11:40

Lino Almeida disse...

Ola Paulo. Fiz todo o processo e esta logando perfeitamente no AD. Porem quem ta no grupo limitado no tem acesso ao sites que coloquei na acl bloqueado, no entando o pessoal do grupo full tb no.
05/06/13 16:11

Postar um comentrio

Copyright 2011 Paulo Roberto | Powered by Blogger

Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Hot Sonakshi Sinha, Car Price in India

pauloxmachado.blogspot.com.br/2011/12/pfsense-20-squid-atenticacao-ad.html

8/8