[Resolvido] Autenticação no AD
-
@marcelloc
Seria legal se nas proximas versões do pFsense fosse adiciona para amarrar a politica já no ad tb de usuario como o endian faz hoje em dia.Explica melhor por favor, não consegui te entender.
-
Acho que o que o Souzalinux quis dizer é que o Squid só autentica pelo Browser, e como já foi citado, o PFSense ainda não é UTM, por isso o Firewall trabalha com regras baseadas em IP e MAC apenas.
Seria realmente muito bom o Squid se integrar com o AD de forma a autenticar o usuário sem a necessidade de digitar usuário e senha no Browser. Do ponto de vista gerencial facilitaria muito, pois controlariamos com Grupos quem pode acessar o que, sem o risco de um usuário passar sua senha pra outro.
Hoje se um usuário quiser, ele pega a senha de um colega que possui acesso a internet e coloca no Browser, sem problemas. Para descobrir esse tipo de "truque" precisariamos analisar os Logs do Squid.
-
tenho um procedimento que usa o kerberos para autenticar 'transparente', mas é restrito a windows + ie>7 ou chrome ou firefox
Vou colocar na minha lista de testes no pfsense, dando certo, publico por aqui.
Regras por usuário dependem de por exemplo um cliente de firewall, o que ainda não faz parte das features do pfsense.
-
Marcelloc,
Se quiser compartilhar o procedimento comigo, tenho um ambiente de testes bem "elaborado" aqui, podemos fazer isso.
Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.
-
Sem problemas LFCavalcanti, :)
Este ambiente tenho rodando em red hat, esta madrugada compilei o krb5 para o pfsense e parece que deu certo.
Vou continuar a configuração, assim que eu tiver um procedimento eu te passo.
-
Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.
Apenas a título de contribuição com esta thread, é importante lembrar que nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo. Fazendo uma analogia, se você passa seu cartão de crédito e senha a um determinado indivíduo e, este camarada vai até o caixa eletrônico mais próximo e saca todo o seu dinheiro, você certamente não será ressarcido, correto?
Isso porque seu cartão de crédito e senha são de uso exclusivamente particular e intransferível. Se você o fez (transferiu pra alguém), assumiu a responsabilidade e deve arcar com o ônus como se fosse você próprio o executor do saque.
Este é um exemplo típico de medida adminsitrativa. Em redes corporativas (não estou falando agora de pfSense ou qualquer outra ferramenta, obviamente), as políticas de utilização do parque computacional - com suas possibilidade e sanções - devem estar claras e serem aplicadas à todos sempre!
Abraços!
Jack -
JackL
Sim, concordo plenamente com você. :)
Os ambientes de rede que administro possuem regras e conceitos definidos, o problema é que principalmente em ambiente industrial os usuários ainda desafiam as regras.
Caso um usuário utilize a senha de outro e venha a fazer algo que "quebre" a segurança ou prejudique a empresa, certamente será descoberto, mas até lá o mal já foi feito, portanto não existe nada melhor do que prevenir.
Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele. ;)
-
Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele. ;)
Sem dúvida alguma… ;)
Mas lembre-se, mesmo que o usuário se logue "transparentemente" no pfSense (a partir do seu logon autenticado no AD/Kerberos), se ele levantar e for ao banheiro sem fazer logoff na estação e outro "espertinho" sentar na frente da sua máquina, voltamos ao estágio anterior: "Nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo".
Para se ter uma ideia do quanto isso é grave e preocupante hoje em dia nas empresas, a Microsoft tentou patentear recentemente (usando o Kinect como plataforma), uma tecnologia para monitorizar os empregados de empresas, quando interagem com computadores ou telefones. Para ler mais a respeito: http://www.tecnologia.com.pt/2011/11/microsoft-propoe-patente-de-monitorizacao-dos-funcionarios/
Enfim, quando lidamos com "humanos" o buraco é sempre mais em baixo! :D
Abraços!
Jack -
Mas esse problema em especifico tem uma solução simples: Proteção de Tela Protegida por Senha. ;D
Realmente a questão é de cultura, mas tem ambientes de rede que o clima é de guerra com os usuários :o, nesse caso não tenho piedade, bloqueio recursos, acessos, etc… Nisso o PFSense tem me ajudado muito, consegui acabar com problemas de vírus e ociosidade em muitos clientes dessa forma.
Das 32 empresas que estão sob minha responsabilidade, 16 já estão com PFSense. Testei vários(Smoothwall, IPCOP, BrazilFW, ...) até chegar aqui.
-
Das 32 empresas que estão sob minha responsabilidade, 16 já estão com PFSense. Testei vários(Smoothwall, IPCOP, BrazilFW, …) até chegar aqui.
Certamente LFCavalcanti… uma coisa (técnicas restritivas) não desabona outra (medidas administrativas)!
É bom saber que a base instalada do pfSense no Brasil está crescendo. Assim, ganhamos força e motivação para transformá-lo em um UTM num futuro não tão distante. Provavelmente a melhor ferramenta open-source do gênero!
;)
Abraços!
Jack
