next »

[rodsgobbo]

Gente sou novo, mas pelos tutorias já consegui configurar  LOADBALANCE, SQUID, SQUIDGUARD. Agora estou tentando configurar autentificação  no AD win server 2003.
Meu problema é configurar as CN, OU e DC. Estou perdido mesmo.

Segue a imagem do meu AD os usuarios ficam no MyBusiness >Users > SBSUsers >. Alguém pode me ajudar ?






Att.,


Rodrigo

[JackL]

rodsgobbo,

Veja com atenção este tutorial: http://www.jack.eti.br/www/?p=3052


marcelloc,

Não cheguei a notar este tutorial no no respectivo tópico Sticky. Talvez você queria relacioná-lo!

Abraços!
Jack

[rodsgobbo]

Então Jack os tutorias eu já vi, estou com problema para configurar os DC, OU e CN. Estou meio perdido na árvore do AD mesmo


OBS: ESTOU CONFIGURANDO O CAPTIVE PORTAL


Obrigado


Rodrigo

[marcelloc]

Não cheguei a notar este tutorial no no respectivo tópico Sticky. Talvez você queria relacioná-lo!

Acabei de publicar, valeu pela dica.

[rodsgobbo]

Consegui !

Como estou usando o CAPTIVE PORTAL + SQUID GUARD, em user manager ele importa automático ?

[souzalinux]

@marcelloc

Sei que nós usuário sempre queremos mais, rsrrs


Seria legal se nas proximas versões do pFsense fosse adiciona para amarrar a politica já no ad tb de usuario como o endian faz hoje em dia.


Fica a dica


Abs

Souza Linux

[JackL]

Consegui !
Como estou usando o CAPTIVE PORTAL + SQUID GUARD, em user manager ele importa automático ?

Que bom que conseguiu... Na realidade não tem muito segredo ao seguir o tutorial mencionado. Claro, é importante entender um pouco sobre a organização de bases LDAP!

Quanto a sua nova pergunta, uma vez que o pfSense esteja autenticado no seu AD, você pode usar os grupos e usuários da respectiva base LDAP na formulação das suas ACLs no SquidGuard, por exemplo!


Abraços!
Jack

[marcelloc]

@marcelloc
Seria legal se nas proximas versões do pFsense fosse adiciona para amarrar a politica já no ad tb de usuario como o endian faz hoje em dia.

Explica melhor por favor, não consegui te entender.

[LFCavalcanti]

Acho que o que o Souzalinux quis dizer é que o Squid só autentica pelo Browser, e como já foi citado, o PFSense ainda não é UTM, por isso o Firewall trabalha com regras baseadas em IP e MAC apenas.

Seria realmente muito bom o Squid se integrar com o AD de forma a autenticar o usuário sem a necessidade de digitar usuário e senha no Browser. Do ponto de vista gerencial facilitaria muito, pois controlariamos com Grupos quem pode acessar o que, sem o risco de um usuário passar sua senha pra outro.

Hoje se um usuário quiser, ele pega a senha de um colega que possui acesso a internet e coloca no Browser, sem problemas. Para descobrir esse tipo de "truque" precisariamos analisar os Logs do Squid.

[marcelloc]

tenho um procedimento que usa o kerberos para autenticar 'transparente', mas é restrito a windows + ie>7 ou chrome ou firefox

Vou colocar na minha lista de testes no pfsense, dando certo, publico por aqui.


Regras por usuário dependem de por exemplo um cliente de firewall, o que ainda não faz parte das features do pfsense.

[LFCavalcanti]

Marcelloc,

Se quiser compartilhar o procedimento comigo, tenho um ambiente de testes bem "elaborado" aqui, podemos fazer isso.

Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.

[marcelloc]

Sem problemas LFCavalcanti,  

Este ambiente tenho rodando em red hat, esta madrugada compilei o krb5 para o pfsense e parece que deu certo.

Vou continuar a configuração, assim que eu tiver um procedimento eu te passo.

[JackL]

Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.

Apenas a título de contribuição com esta thread, é importante lembrar que nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo. Fazendo uma analogia, se você passa seu cartão de crédito e senha a um determinado indivíduo e, este camarada vai até o caixa eletrônico mais próximo e saca todo o seu dinheiro, você certamente não será ressarcido, correto?

Isso porque seu cartão de crédito e senha são de uso exclusivamente particular e intransferível. Se você o fez (transferiu pra alguém), assumiu a responsabilidade e deve arcar com o ônus como se fosse você próprio o executor do saque.

Este é um exemplo típico de medida adminsitrativa. Em redes corporativas (não estou falando agora de pfSense ou qualquer outra ferramenta, obviamente), as políticas de utilização do parque computacional - com suas possibilidade e sanções - devem estar claras e serem aplicadas à todos sempre!

Abraços!
Jack

[LFCavalcanti]

JackL

Sim, concordo plenamente com você.

Os ambientes de rede que administro possuem regras e conceitos definidos, o problema é que principalmente em ambiente industrial os usuários ainda desafiam as regras.

Caso um usuário utilize a senha de outro e venha a fazer algo que "quebre" a segurança ou prejudique a empresa, certamente será descoberto, mas até lá o mal já foi feito, portanto não existe nada melhor do que prevenir.

Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele.

[JackL]

Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele.

Sem dúvida alguma...

Mas lembre-se, mesmo que o usuário se logue "transparentemente" no pfSense (a partir do seu logon autenticado no AD/Kerberos), se ele levantar e for ao banheiro sem fazer logoff na estação e outro "espertinho" sentar na frente da sua máquina, voltamos ao estágio anterior: "Nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo".

Para se ter uma ideia do quanto isso é grave e preocupante hoje em dia nas empresas, a Microsoft tentou patentear recentemente (usando o Kinect como plataforma), uma tecnologia para monitorizar os empregados de empresas, quando interagem com computadores ou telefones. Para ler mais a respeito: http://www.tecnologia.com.pt/2011/11/microsoft-propoe-patente-de-monitorizacao-dos-funcionarios/

Enfim, quando lidamos com "humanos" o buraco é sempre mais em baixo!


Abraços!
Jack