Proxy transparente ou configuração automatica de proxy?
-
marcelloc,
Aproveitando o ensejo, sugestivamente, você poderia acrescer no seu post, uma breve discussão sobre a possibilidade (ou não) de uso do NTLM (NT LAN Manager), ou seja, eliminar a necessidade de digitar usuário e senha para se autenticar, a cada vez que o usuário abre o browser?!?
Isso é possível com o Squid 2.7? Será possível com o Squid 3.0?
;)
Abraços!
JackPensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??
-
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
-
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
-
Pensei que usando o proxy autenticado via AD+LDAP, a navegação fosse automática..
não é ?? tenho que digitar usuario/senha ?? é isso ??Exatamente… por default o seu usuário vai precisar digitar login e senha (os mesmos do AD, claro) a cada 1ª vez que abrir o browser. Só assim vai conseguir se autenticar no proxy e, por consequente, navegar na web.
Para contornar isso, somente usando algum recurso mencionado na excelente explicação do marcelloc… Onde você autentica de forma transparente. Nestes casos, o browser usa as mesmas credencias de login no Windows para autenticar o usuário no proxy.
É importante entender que ter um Proxy Autenticado não significa dizer que a autenticação será transparente (automática)! ;)
Abraços!
Jack -
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
-
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.
-
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.Exatamente…
Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!
O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)
Abraços!
Jack -
Rapaz,
Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic,
quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.Porém o marcelo falou o seguinte.
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Ai junto com outro colega do forum deu um nó na cabeça..
Poderia explicar com mais detalhe.. a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??
-
A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.
A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.
-
Então marcelo,
Resumão..
Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
navegador..?? -
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.
Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.
O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.
Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.
-
Marcelo,
Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..
-
Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.
EDIT
Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
http://docs.endian.com/proxy.htmlUTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.
-
Marcelo,
É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.
-
Marcelo,
É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.O problema é basicamente segurança. Mas é claro que cada sysadmin tem sua opinião.
Este tópico mostra com instalar o samba no pfsense
http://forum.pfsense.org/index.php/topic,45828.0.htmlE esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.
O dansguarian não é gratuito. Isso pode não significar nada para muitos sysadmins brasilieiros, mas entre um software gratuito como o squidguard e um pago, o pessoal do pfsense optou pela solução gratuita.
A beleza de um projeto open source é exatamente esta. Eu precisei que o pfsense fizesse um algo a mais e consegui. Assim como vários outros que contribuiram para o pfsense ser o firewall que é hoje.
O fato de não ter uma interface gráfica não quer dizer que não roda.Eu uso, aprovo, gosto, indico, ajudo e contribuo com o pfsense. Até hoje pra mim é o firewall mais completo e personalizável que já trabalhei.
Em breve, antes que levantem a bola por aqui, devo publicar um pacote para gerência e replicação de configurações/regras/alias/etc entre vários pfsenses.
-
Marcelo,
Eu já testei vários e todos tem prós e contras.. até agora pfsense o melhor de todos..
a faço questão em colocar ele em meus clientes. só ele pode ficar melhor com ajuda dos mantedores.. inclusive você.. -
amigo,
Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.
thiago..
Seguinte thiago, eu fiz aqui as configurações (IIS, DNS e DHCP) no meu servidor 2008 de proxy automatico,
mas antes disso, liguei a minha VM pra ve se tava navegando e estava. ai configurei o IE e firefox pra pegar
configurações automaticas de rede e depois desliguei a VM, concluir a configuração na 2008 e voltei a ligar a
VM e não navegou, so isso!!! pra ter certeza, tirei as configurações do 2008 e reiniciei a VM e navegou normal!!!
vlw… ;D :)
-
Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
Abraço 8)
