Proxy transparente ou configuração automatica de proxy?
-
Coloca uma pitada de dansguardian nesta receita também. :)
-
Atualizei o primeiro post com um faq para facilitar o entendimento.
-
Seguindo as orientações de marcello, vou colocar a configuração automatica de proxy.
E ja realizei a configuração do site http://blogdonerd.com.br/2011/10/descoberta-automatica-de-proxy-wpad-web-proxy-auto-discovery/ e deu primeira (testei em uma VM, não configurei o Pfsense com proxy mesmo, so testei pra ve se a VM pegava as configurações e pegou)
Vou fazer alguns testes a mais e colocar pra funcionar aqui!!!
Adeus Https liberado!!! ;D ;D ;D
-
amigo,
Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.
thiago..
-
marcelloc,
Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?
Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?
;)
Abraços!
Jack -
marcelloc,
Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?
Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?
;)
Abraços!
JackPensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??
-
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
-
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
-
Pensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??Exatamente… por default o seu usuário vai precisar digitar login e senha (os mesmos do AD, claro) a cada 1ª vez que abrir o browser. Só assim vai conseguir se autenticar no proxy e, por consequente, navegar na web.
Para contornar isso, somente usando algum recurso mencionado na excelente explicação do marcelloc… Onde você autentica de forma transparente. Nestes casos, o browser usa as mesmas credencias de login no Windows para autenticar o usuário no proxy.
É importante entender que ter um Proxy Autenticado não significa dizer que a autenticação será transparente (automática)! ;)
Abraços!
Jack -
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
-
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.
-
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.Exatamente…
Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!
O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)
Abraços!
Jack -
Rapaz,
Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic,
quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.Porém o marcelo falou o seguinte.
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Ai junto com outro colega do forum deu um nó na cabeça..
Poderia explicar com mais detalhe.. a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??
-
A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.
A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.
-
Então marcelo,
Resumão..
Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
navegador..?? -
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.
Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.
O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.
Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.
-
Marcelo,
Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..
-
Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.
EDIT
Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
http://docs.endian.com/proxy.htmlUTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.
