Autenticazione di dominio
-
Buonasera a tutti,
vi ringrazio anticipatamente per il contributo che vorrete offrire al mio quesito, vengo subito al punto.
Vorrei configurare il mio firewall sincronizzandolo con il server di dominio in modo tale che potranno navigare in internet e quindi accedere alle risorse di rete solo le macchine che si sono autenticate correttamente in dominio, diversamente le stesse non potranno fare nulla (magari neanche ricevere un' indirizzo ip valido dal server dhcp).
E' nelle possibilità di pfsense fare questo? Chiaramente non sto chiedendo la configurazione di un captiv portal.
Vi ringrazio ancora per la vostra competente collaborazioneNicola
-
Ciao,
In realtà stai chiedendo 3 cose diverse, salvo errata interpretazione da parte mia. Le trecose sono:- autorizzare i lease dhcp solo dopo autenticazione su dominio
- autorizzare il traffico di rete solo dopo autenticazione su dominio
- autorizzare il traffico verso internet solo dopo autenticazione su dominio
La prima è abbastanza strana, come potrei autenticarmi senza aver ricevuto un ip per dialogare con il dc per l'autenticazione? Quindi tendenzialmente la risposta è che non è possibile
La terza farebbe pensare ad un proxy con autenticazione e qui potrei dirti che si può fare ma non con un autenticazione "automatica" ovvero con credenziali passate dal client windows in modo trasparente
La seconda è quella che forse può riportarci sulla strada giusta, a pensarci bene un sistema di autenticazione 802.1x potrebbe risolvere tutti e 3 i problemi e soddisfare le tue richieste. Per implementarlo non serve pfsense ma un server radius connesso ad active directory. Nonostante su pfsense si possa installare freeradius, non è possibile integrarlo con ad correttamente, inoltre dovresti fare in modo che ogni client nelle impostazioni di rete utilizzi 802.1x
Normalmente è una soluzione usata con reti wifi con protezione wpa2 infrastructure. Dove l'ho implementato ho usato il controller wifi o servizi radius, quello più sempliceche mi sia capitatodi usare e quello attivabile su nas synology.
Quindi riassumendo, con pfsense non puoi fare quello che chiedi ma puoi farlo con un server radius che si interfacci con AD
Ciao