Squid autenticado por grupos do AD (pfSense)

Este tutorial demonstra como utilizar os recursos da biblioteca squid_ldap_group para que o Squid autentique os usurios por grupos cadastrados no Active Directory. Por: Ricardo Pardim Claus 29/07/2011 Tags: Squid, pfSense, Active Directory, AD, openldap-client, squid_ldap_group, squid_ldap_auth, squid.inc Vero do sistema e pacotes utilizados: pfSense verso 2.0 RC3 Squid verso 2.7 Windows 2003 R2 Existe um bug no squid e no openldap-client, ambos nas verses anteriores 2.0 do pfSense. Caso o seu pfSense esteja em produo, e no tem como fazer uma nova instalao, dever primeiro resolver estes problemas seguindo estes tutoriais: http://www.fug.com.br/content/view/689/77/ http://www.vivaolinux.com.br/dica/Corrigindo-a-opcao-de-Delay-Pools-e-autenticacao-Ldap-do-Squid2.7.8_1-no-PfSense-1.2.3Release Bases de Referencias: http://forum.pfsense.org/ http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&Itemid=27 http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory http://forum.pfsense.org/index.php/topic,20208.0.html http://www.digipedia.pl/man/doc/view/squid_ldap_auth.8 Mos a obra: Primeiramente, o squid no pode estar configurado em modo proxy transparente. Neste modo, no possvel nem ao menos configurar as opes de autenticao no webgui do pfSense, j que proxy transparente no faz autenticao. No Active Directory, crie uma OU, com o nome Internet. Nesta OU, crie 2 grupos Internet-TI, e Internet-Bancos, ou qualquer nome que mais lhe agradar. O grupo Internet-TI, tem acesso full, sem nenhum bloqueio. J o internet-bancos, ira navegar apenas em sites cadastrados em uma lista (lista branca). Na OU Users, crie um usurio com qualquer nome, aqui utilizei o usurio squid. Defina uma senha para este usurio, e lembre de marcar a opo para no expirar a senha deste usurio. Aps concluir toda a configurao indicada neste tutorial, voc poder criar quantos grupos desejar, e seguir com os bloqueios e liberao para cada um deles. Suponho que o seu Squid j esteja funcionando com os bloqueios desejados. Antes, necessrio alterar as regras de firewall, para que as estaes clientes sejam obrigadas a utilizarem o proxy local para ter acesso a internet. No menu Firewall > Rules, as regras devem ficar conforme imagem abaixo: OBS: A regra importante que desabilitei, foi a segunda regra, pois ela permite acesso total a qualquer endereo de destino. Note que no final das regras, eu criei uma regra semelhante.

Squid autenticado por grupos do AD (pfSense)

Figura 1 - Regras de firewall Agora vamos as configuraes do squid. Acesse o menu Services > Proxy Server. Na guia General, desabilite a opo de Proxy Transparente. Em seguida, acesse a guia Auth Settings. Altere as regras conforme a imagem abaixo:

Squid autenticado por grupos do AD (pfSense)

Figura 2 - Configurao da guia Auth Settings do Squid Explicando os valores que utilizei, para servir como referencia: Meu dominio: dominio.com.br Servidor AD: 10.0.0.2 Usurio squid: Este usurio que far a autenticao no AD, para efetuar as pesquisas na base de dados ldap. Nota: Muitos tutoriais existentes na internet, indica para utilizar um usurio Administrator para pesquisar na base de dados ldap. Mas no necessrio que o usurio seja administrador. Crie um usurio com um nome qualquer, sem que este seja administrador do sistema. Isto aumenta a segurana, j que a autenticao feita em texto puro, sem nenhum tipo de encriptao. (Vide seo Testes e resultados) Aps efetuar as alteraes e salvar, e inclusive o proxy configurado no navegador da maquina cliente, o Squid j ira solicitar autenticao para navegar. Autenticao por Grupo Falta configurar o squid para autenticar por grupo, e no por usurio ou IP. Lembrando que nenhuma alterao deve ser feito no arquivo squid.conf (/usr/local/etc/squid/squid.conf), como feito em outras distribuies linux. Estas configuraes so sobre escritas sempre que o pfSense for reiniciado, ou qualquer alterao feita pela webgui. O correto alterar diretamente o arquivo squid.inc.

Squid autenticado por grupos do AD (pfSense)

Este arquivo se encontra neste diretorio: /usr/local/pkg/squid.inc O cdigo gerado aps configurar a autenticao na guia Auth Settings do squid, ira gerar estas linhas no squid.conf: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b dc=dominio,dc=com,dc=br -D cn=squid,cn=Users,dc=dominio,dc=com,dc=br -w 1234 -f "cn=%s" -u uid -P 10.0.0.2:389 Todas as alteraes que for feita no squid.inc, aps salvar, poder ver no arquivo squid.conf, como esta ficando as configuraes, para efeitos didticos Localize estas linhas no squid.inc: auth_param basic children $processes auth_param basic realm $prompt auth_param basic credentialsttl $auth_ttl minutes acl password proxy_auth REQUIRED Aps localizar, insira estas linhas, para que a autenticao seja feita por grupo, e inclusive, ativa os bloqueios/liberao nos grupos desejados: #AUTENTICACAO POR GRUPOS DO AD external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b "dc=dominio,dc=com,dc=br" -D "cn=squid,cn=Users,dc=dominio,dc=com,dc=br" -w "1234" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn= %a,ou=Internet,dc=dominio,dc=com,dc=br))" -h 10.0.0.2 -p 389 #LIBERAO/BLOQUEIO DOS GRUPOS #Grupo Acesso Padrao Acesso Limitado acl ldapInternet-Bancos external ldap_group Internet-Bancos #Grupo Acesso Full Acesso Full acl ldapInternet-TI external ldap_group Internet-TI #acl bloqueio url_regex -i "/var/squid/acl/bloqueio.acl" acl liberado url_regex -i "/var/squid/acl/liberado.acl" http_access allow ldapInternet-TI http_access deny ldapInternet-Bancos !liberado Note que para fins de testes, eu deixei desabilitado a ACL bloqueio, j que neste ambiente, irei utilizar apenas 2 grupos. Um com acesso total, e outro com acesso limitado. O grupo Internet-Bancos, definido na ACL ldapInternet-Bancos, ir acessar apenas os sites cadastrados no arquivo liberado.acl (ACL liberado), comumente chamado de lista branca. Mas nada impede que seja utilizado mais grupos, e outros tipos de bloqueio, ficando a critrio de cada um. No esquea de criar os arquivos bloqueio.acl, e liberado.acl, e colocar algumas URL's no seu contedo. Testes e resultados: Antes de alterar o pfsense da empresa onde trabalho, efetuei testes em 3 maquinas virtuais (WinXP, pfSense 2.0 RC3 e Win2003 R2 Standard Edition). Na VM, no foi necessrio colocar um usurio administrador para efetuar as pesquisas no LDAP. Mas j no pfSense instalado na empresa, isso no funcionou. Assim tive que colocar o usurio Administrator do Win2003 para pesquisar no LDAP deste servidor. Portanto, caso no funcione com usurio comum, troque pelo usurio administrator, na guia Auth Settings, e tambem na linha em que external_acl_type ldap_group no arquivo squid.inc. No pfSense (empresa), as configuraes da guia Auth Settings do squid, foi necessrio alterar a opo

Squid autenticado por grupos do AD (pfSense)

LDAP search filter, de cn=%s, para sAMAccountName=%s, ficando assim: Authentication server 10.0.0.2 Authentication server port 389 LDAP server user DN cn=Administrator,cn=Users,dc=dominio,dc=com,dc=br LDAP password senha LDAP base domain dc=dominio,dc=com,dc=br LDAP username DN attribute uid LDAP search filter sAMAccountName=%s Finalizando Depois de algumas semanas pesquisando na internet, estes foram os passos que segui para que o Squid do pfSense autenticasse por grupos no Active Directory.