pfSense + SquidGuard + LDAP

fabriciohm
(usa Outra)

Enviado em 06/08/2025 - 11:23h

Tenho configurado o pfSense com SquidGuard usando autenticação pelo LDAP. A parte de autenticação está funcionando, ele solicita o login com credenciais do AD e identifica o usuário nos logs de acesso.

O que não estou conseguindo configurar é a Group ACL para ser aplicada nos usuários do AD. Segui o exemplo dado na tela, minha sintaxe está no seguinte modelo:

ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Parece que essa ACL está sendo completamente ignorada pois não consta nada nos logs, nenhum erro, bloqueio, nada. Alguém pode me dar uma luz nessa situação?

Buckminster
(usa Debian)

Enviado em 06/08/2025 - 17:37h

Teste com o comando antes de usar no SquidGuard:
ldapsearch -x -H ldap://ad.dominio.local -D "CN=UsuarioTeste,CN=Users,DC=xxxxx,DC=home,DC=arpa" -W -b "DC=xxxxx,DC=home,DC=arpa" "(&(sAMAccountName=usuario)(memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa))"

Isso mostrará se o filtro está retornando algum resultado.

A tua consulta:
ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Observações:
- Evite 0.0.0.0, pois geralmente não funciona como destino LDAP, normalmente você coloca o IP do AD ou ldap://ad.dominio.local.

- O atributo memberOf pode não estar funcionando porque o %2c (vírgula codificada) nem sempre é aceito pelo SquidGuard. Tente usar vírgula normal e escapar com barra invertida (\) se necessário, por exemplo:
memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa

Tente assim ou adapte:
ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa))

O formato padrão é:
ldap://<servidor>/<base_dn>?<atributo_usuario>?<escopo>?<filtro>


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 06/08/2025 - 20:54h

Para fins de informação, o SquidGuard, assim como o próprio Squid, foi oficialmente descontinuado no pfSense, tanto na versão pfSense CE 2.7.1 quanto na pfSense Plus 23.09. A Netgate, declarou ambos os pacotes como “deprecated” em novembro de 2023.

https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pfsense-software

amarildosertorio
(usa Fedora)

Enviado em 06/08/2025 - 21:14h

Considero mais apropriado desacoplar o Squid do pfSense e operá-lo em paralelo, em um servidor dedicado, garantindo maior flexibilidade de gerenciamento e mitigando os riscos associados à descontinuação oficial dos pacotes Squid e SquidGuard.
Executar serviços de proxy em um servidor separado evita que falhas ou vulnerabilidades no Squid impactem o firewall.

amarildosertorio
(usa Fedora)

Enviado em 06/08/2025 - 21:39h

É um risco significativo expor o firewall a vulnerabilidades decorrentes de pacotes de terceiros.

fabriciohm
(usa Outra)

Enviado em 11/08/2025 - 10:57h

Testei esse comando no "Command Prompt" do pfsense e ele retorna solicitando a senha do usuário LDAP, isso indica que está funcionando?

Experimentei tambem utilizar o modelo que você me passou na ACL (ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa)) mas sem sucesso.