[Pfsense-pt] Squid + SquidGuard + AD

Wed, 11 Nov 2015 11:45:55 -0800 

Bom dia, 

Estou tentando resolver o problema do squidguard e ACLs por grupo no AD. 

O squid encontra se autenticando usuários no domínio OK. 

O problema parece ser com o SquidGuard e as ACLs por grupo dentro do domínio 
utilizando o "ldapusersearch". Aparentemente a consulta está sendo realizada 
mas não detecta que o usuário pertence ao grupo configurado e acaba no bloqueio 
do Common ACL. 

Alguém saberia me disser se existe a possibilidade de ver algum tipo de log do 
SgFindUser? 


Usuário de testes= dmesg pertence ao grupo DTI 

-------------------------------------- 

PfSense 2.2.4 

Pacotes instalados, 

Squid 4.3.10 
squidGuard-devel 1.5.8 

-------------------------------------- 

SquidGuard.conf 

logdir /var/squidGuard/log 
dbhome /var/db/squidGuard 
ldapbinddn CN=dmesg,OU=DTI,OU=Colaboradores,DC={dominio}DC=com 
ldapbindpass {password} 
ldapprotover 3 
stripntdomain true 
striprealm true 

# DTI liberado 
src DTI { 
ldapusersearch 
"ldap://192.168.1.9:3268/DC={dominio},DC=com?sAMAccountName?sub?(&(memberOf=OU=DTI%2cOU=Colaboradores%2cDC={dominio}%2cDC=com)(sAMAccountName=%s))"
 
log block.log 
} 

acl { 
# DTI liberado 
DTI { 
pass !in-addr all 
redirect www.google.com.br 
log block.log 
} 
# 
default { 
pass none 
redirect 
http://192.168.1.214:80/sgerror.php?url=403%20Site%20bloqueado&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
 
log block.log 
} 


-------------------------------------- 

SquidGuard log 

2015-11-11 09:21:00 [27594] INFO: squidGuard ready for requests 
(1447240860.395) 
2015-11-11 09:21:06 [21979] DEBUG: sgFindUser called with: dmesg 
2015-11-11 09:21:06 [21979] Added LDAP source: dmesg 

-------------------------------------- 

SquidGuard block log 

2015-11-11 09:21:06 [21979] Request(default/none/-) mail.google.com:443 
192.168.1.3/- dmesg CONNECT REDIRECT 

-------------------------------------- 

Com tudo não aparece erro logado em local nenhum, mas ainda assim não funciona, 
eu queria ver se o resultado do ldapusersearch tinha como ser visualizado para 
tentar achar o problema. 

Obrigado desde já!! 

Att., 



_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

Responder a