Академический Документы
Профессиональный Документы
Культура Документы
Autenticao Transparente
Este tutorial resultado de uma extensa pesquisa que fiz para implementar o pfSense + Squid + SquidGuard + Autenticao
Transparente aqui na empresa. Obtive xito com estes passos. No recomendo fazer diretamente no ambiente de produo,
assim como no dou garantida de que o patch do nosso amigo Luiz Gustavo estar l para sempre. No sei que rumo tomar
este projeto. Talvez em breve tudo seja via GUI num pacote automatizado. Mas funcionando uma beleza
Informaes do Ambiente:
Ambiente: Windows Server 2008 R2
IP AD: 192.168.0.10
DOMNIO: meudominio.net
Nome da maquina pfsense: srvfw01
Usurio utilizado para conectar squid+ad: squidguard | squidguard855
De preferncia na OU Users para evitar erros de endereamento LDAP. No utilizar caracteres especiais na conta e senha.
2 Adicionar o DNS FORWARDER para o IP do Active Directory e colocar o AD como servidor de DNS
secundrio
Para que o pfsense consiga resolver o nome do servidor AD.
Services->DNS Forwarder->Hosts Overrides
Para que o pfSense consiga resolver os nomes que esto configurados no AD. (Dica do Luis Gustavo & Fabio Augusto)
System->General Setup
4 Aplicar o patch do Luiz Gustavo que instalar o samba3 e modificar algumas opes no squid.
Pode ser aplicado via execuo de comando (Diagnostics: Execute command), no entanto eu recomendo utilizar o ssh para ter
um maior controle e flexibilidade da sada dos comandos. Para habilitar, v em System->Advanced
5 Feito isso, logue com a conta de root atravs de um cliente SSH, v na opo 8 (Shell) e cole o seguinte
comando.
1 $ fetch -o - -q ftp://intranet.triadesistemas.com.br/bkpclientes/triade/pfsense/samba.sh | sh
Obs. Caso no esteja funcionando existe uma cpia de todos os arquivos em https://onedrive.live.com/redir?
resid=8a09747c96bb1072!1960&authkey=!AMXns7sgt-pVjmQ&ithint=folder%2cdocx
Caso seja perguntado se tem certeza em aplicar os patchs, responda y!
Este arquivo est hospedado no dev2infra por que fiz uma alterao nos links quebrados que estavam no do Luiz Gustavo.
Espero que ele no se importe.
Feito isso, vamos avanar para configurar.
IMPORTANTE: Verificar se o horrio e data do pfsense est igual ao do AD, caso no esteja, ajuste.
Clicar em salvar e monitorar a entrada do pfSense na OU Computers no AD. O pfsense tem que aparecer l.
Neste patch do nosso amigo Luiz Gustavo, ao clicar em salvar, a tela fica em loop, no entanto a configurao feita. Pode
avanar para outra tela quando perceber que o pfsense j apareceu no AD.
Faz com que ele sempre procure o mesmo servidor do AD no caso de existir um secundrio na rede.
1 $ vi /usr/local/etc/smb.conf
1
1 $ vi /etc/krb5.conf
1 [realms]
2
3
MEUDOMINIO.NET = {
4
5
kdc = serverad01.meudominio.net
6
7
admin_server = serverad01.meudominio.net
8
9
default_domain = meudominio.net
10
11
}
12
13 [domain_realm]
14
15
.meudominio.net = MEUDOMINIO.NET
16
17
meudominio.net = MEUDOMINIO.NET
1 $ wbinfo -g
1 $ /usr/local/etc/rc.d/samba stop
2 $ /usr/local/etc/rc.d/samba start
At aqui configuramos o pfsense como membro do domnio em um AD2008 e verificamos que ele trs os usurios atravs do
winbind. Vamos partir para configurao do squid e squidguard.
10 Configuraes do Squid
Feito isso. Reiniciar o servio do squid e fazer um teste em uma maquina que estiver no domnio.
Em Services->Proxy filter->Blacklist
Colocar o endereo http://www.shallalist.de/Downloads/shallalist.tar.gz e fazer o download.
12 Em General Settings, habilitar o filtro por LDAP, desmarcar as opes Strip NT domain name e Strip
Kerberos Realm
LDAP DN cn=squidguard,cn=Users,dc=meudominio,dc=net
Salva as configuraes e aplica.
Por default o squidguard j deixa tudo negando em Commom ACL. interessante fazer um teste neste momento para ter
certeza que o squidguard est funcionando corretamente. Se tudo der certo, ir aparecer a tela de bloquio j com o nome do
usurio. Neste momento interessante que seja monitorado o log do squidguard e squid, para que qualquer erro seja
conhecido e as providencias sejam tomadas.
/var/log/squidGuard.log
1
/var/squid/logs/access.log
2
Os grupos tem que ter o mesmo nome do AD. Lembrar de adicionar os usurios nos grupos! Quem vai fazer o bloqueio no
o SQUID e sim o SQUIDGUARD. O squid apenas ir autenticar o usurio.
internetTotal
internetPadrao
ldapusersearch "ldap://192.168.0.10/DC=meudominio,DC=net?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internetPadrao
%2cOU=Grupos%2cDC=meudominio%2cDC=net))"
13.2 Em target Rules configurar algumas blacklists existentes ou alguma customizada que voc tenha
criado. No vou abordar isto aqui agora.
Salvar as configuraes e aplicar. Para a internetTotal, apenas criamos a ACL e damos um Allow em Default Access.
Feito isso, aps ter adicionado o usurio no grupo internetPadrao, testar a navegao e acessar um site que esteja na
lista de bloqueio da ACL criada.
Se tudo ocorreu bem!! Voala! Misso cumprida, se ocorreram erros, postem aqui!
No esqueam de fazer um backup das configuraes caso tudo funcione!