pfSense + SquidGuard + LDAP

1. pfSense + SquidGuard + LDAP

Fabricio
fabriciohm

(usa Outra)

Enviado em 06/08/2025 - 11:23h


Tenho configurado o pfSense com SquidGuard usando autenticação pelo LDAP. A parte de autenticação está funcionando, ele solicita o login com credenciais do AD e identifica o usuário nos logs de acesso.

O que não estou conseguindo configurar é a Group ACL para ser aplicada nos usuários do AD. Segui o exemplo dado na tela, minha sintaxe está no seguinte modelo:

ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Parece que essa ACL está sendo completamente ignorada pois não consta nada nos logs, nenhum erro, bloqueio, nada. Alguém pode me dar uma luz nessa situação?


  


2. Re: pfSense + SquidGuard + LDAP

Buckminster
Buckminster

(usa Debian)

Enviado em 06/08/2025 - 17:37h

Teste com o comando antes de usar no SquidGuard:
ldapsearch -x -H ldap://ad.dominio.local -D "CN=UsuarioTeste,CN=Users,DC=xxxxx,DC=home,DC=arpa" -W -b "DC=xxxxx,DC=home,DC=arpa" "(&(sAMAccountName=usuario)(memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa))"

Isso mostrará se o filtro está retornando algum resultado.

A tua consulta:
ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Observações:
- Evite 0.0.0.0, pois geralmente não funciona como destino LDAP, normalmente você coloca o IP do AD ou ldap://ad.dominio.local.

- O atributo memberOf pode não estar funcionando porque o %2c (vírgula codificada) nem sempre é aceito pelo SquidGuard. Tente usar vírgula normal e escapar com barra invertida (\) se necessário, por exemplo:
memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa

Tente assim ou adapte:
ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa))

O formato padrão é:
ldap://<servidor>/<base_dn>?<atributo_usuario>?<escopo>?<filtro>


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!


3. Re: pfSense + SquidGuard + LDAP

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 06/08/2025 - 20:54h

Para fins de informação, o SquidGuard, assim como o próprio Squid, foi oficialmente descontinuado no pfSense, tanto na versão pfSense CE 2.7.1 quanto na pfSense Plus 23.09. A Netgate, declarou ambos os pacotes como “deprecated” em novembro de 2023.

https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pfsense-software



4. Re: pfSense + SquidGuard + LDAP

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 06/08/2025 - 21:14h

Considero mais apropriado desacoplar o Squid do pfSense e operá-lo em paralelo, em um servidor dedicado, garantindo maior flexibilidade de gerenciamento e mitigando os riscos associados à descontinuação oficial dos pacotes Squid e SquidGuard.
Executar serviços de proxy em um servidor separado evita que falhas ou vulnerabilidades no Squid impactem o firewall.



5. Re: pfSense + SquidGuard + LDAP

Amarildo Sertorio dos Santos
amarildosertorio

(usa Fedora)

Enviado em 06/08/2025 - 21:39h

É um risco significativo expor o firewall a vulnerabilidades decorrentes de pacotes de terceiros.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts