Proxy transparente ou configuração automatica de proxy?
-
Marcelo,
Agora fiquei confuso, eu posso ter autenticação transparente com squid integrado ao AD mas mesmo assim
terei que digitar usuário e senha no browser ?? o processo não é automático ??
para que isso não aconteça terei que instalar o samba no pfsense ou em outra para fazer esse processo ?foi isso que eu entendi ??
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
-
Desculpe, neste caso…Posso está enganado, mas é um ponto extremamente negativo para o pfsense com relação os demais UTM..
se eu desejo controlar a internet através de grupos e usuários baseado a um AD, terei que ver outra solução não nativa ao pfsense, inclusive com uso de relatório e monitoramento..pq vai dizer isso para 1.000 usuários que toda vez que ele fechar o browser terá que digitar usuario/senha..Resumindo.. se ganha em pontos e perdem em outros..
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.
-
Você foi seletivo na leitura deste post :D
O pfsense aceita sim autenticação transparente, meu ambiente usa AD + software livre(incluindo o pfSense) e tem 10mil usuários ao todo.Exatamente…
Veja que fiz questão de deixar em negrito o "não automática". "Não automática" é diferente de "Não possível"!
O marcelloc mencionou pelo menos 2 formas de fazer isso no seu post! ;)
Abraços!
Jack -
Rapaz,
Acho que é a dor de cabeça que estou aqui.. kkk, quando eu iria passar a borracha sobre esse topic,
quando usar o squid+ldap + opção de Detectar automaticamente as configurações do proxy.Porém o marcelo falou o seguinte.
Resumindo a história.
Usando o ntlm ou kerberos, você tem autenticação transparente desde que o browser esteja configurado para usar proxy.
Basicamente qualquer outra configuração vai exigir que o usuário digite o usuário e a senha.
Compilar o samba para o pfSense é possível, mas gera algum desconforto nos sysadmins.
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Ai junto com outro colega do forum deu um nó na cabeça..
Poderia explicar com mais detalhe.. a razão de da necessidade de usar o samba ou outro recurso não nativo do pfsense ??
-
A autenticação ntlm no squid precisa do pacote samba para incluir o servidor no ad e assim encaminhar a autenticação do browser para o ad e analisar a resposta.
A autenticação via Kerberos faz o mesmo procedimento através do kerberos. Por ser um método mais novo, ele é mais leve, mais rápido e não possui plugin no dansguardian. Neste modelo, usamos um squid para autenticar, um dansguardian para filtrar e um terceiro proxy para fazer cache.
-
Então marcelo,
Resumão..
Como eu devo proceder para autenticar o pfsense no AD e os meus usuários não tenha que digitar o login e senha no
navegador..?? -
Usar o pfsense com dansguardian e um linux/freebsd/jail na rede com squid+samba gera o mesmo resultado sem abrir mão da segurança ou dos relatórios do firewall.
Eu prefiro esta por não exigir a instalação do samba no pfsense e por ter uma centena de tutoriais explicado como usar ntlm no squid.
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
-
Marcelo,
Traduzindo a sua frase em bom português.
o pfsense nativo e sozinho não tem suporte para autenticar no AD e não requerer login/senha aos usuários quando na navegação. >:(
Traduzindo para o bom português, o pfsense é firewall e por ser um firewall não deveria ter (ou merecer) um protocolo como netbios rodando nele.
Como qualquer servidor unix, você pode instalar o pacote que quiser, mas estamos falando de segurança antes de falar de funcionalidade.
O dansguardian implementa outros protocolos de autenticação como por exemplo ident, mas a resposta do ident pode ser forjada facilmente.
Por ser um firewall preparado para rodar desde um hardware embarcado até um servidor multicore com vários Gb de ram, a instalação padrão vem enxuta para evitar desperdício de recursos e excesso de serviços habilitados.
-
Marcelo,
Vou discordar.. grande parte das UTM existentes no Mercado tem essa integração, posso citar alguns: Livres, Zentyal, Endian, pagos: BRMA, mcafee e o próprio fortigate sem ter que usar um squid fora do applicance..
-
Se você olhar o proxy que roda em um utm grátis, você vai encontrar o squid e o dansguardian. Eu até recomendo isso para você ver a quantidade de pacotes e serviços que vão embarcados em utm como o endian por exemplo.
EDIT
Leia uma parte da documentação do endian para você ver tudo o que conversamos neste tópico.
http://docs.endian.com/proxy.htmlUTMs pagos, não usam software gratuito e portanto tem seu próprio método de autenticação. Especificamente o fortigate comunica via ad(usando ldap) para saber que usuário esta usando determinado ip.
-
Marcelo,
É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.E esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.
-
Marcelo,
É qual é problema ?? em alguns UTM esse pacotes são opcionais.. Vide Zentyal, eu faço a instalação conforme a necessidade, já o endian
ele já vem nativo, vide anexo.O problema é basicamente segurança. Mas é claro que cada sysadmin tem sua opinião.
Este tópico mostra com instalar o samba no pfsense
http://forum.pfsense.org/index.php/topic,45828.0.htmlE esse é um ponto fraco do pfsense.. temos que admitir.. como foi a não disponibilização do dansguardian até a sua iniciativa.
O dansguarian não é gratuito. Isso pode não significar nada para muitos sysadmins brasilieiros, mas entre um software gratuito como o squidguard e um pago, o pessoal do pfsense optou pela solução gratuita.
A beleza de um projeto open source é exatamente esta. Eu precisei que o pfsense fizesse um algo a mais e consegui. Assim como vários outros que contribuiram para o pfsense ser o firewall que é hoje.
O fato de não ter uma interface gráfica não quer dizer que não roda.Eu uso, aprovo, gosto, indico, ajudo e contribuo com o pfsense. Até hoje pra mim é o firewall mais completo e personalizável que já trabalhei.
Em breve, antes que levantem a bola por aqui, devo publicar um pacote para gerência e replicação de configurações/regras/alias/etc entre vários pfsenses.
-
Marcelo,
Eu já testei vários e todos tem prós e contras.. até agora pfsense o melhor de todos..
a faço questão em colocar ele em meus clientes. só ele pode ficar melhor com ajuda dos mantedores.. inclusive você.. -
amigo,
Pode dizer como você fez para testar e comprovar se realmente as configurações do proxy automático na VM/maquina foram aplicadas já que como vc falou não implantou o proxy.
thiago..
Seguinte thiago, eu fiz aqui as configurações (IIS, DNS e DHCP) no meu servidor 2008 de proxy automatico,
mas antes disso, liguei a minha VM pra ve se tava navegando e estava. ai configurei o IE e firefox pra pegar
configurações automaticas de rede e depois desliguei a VM, concluir a configuração na 2008 e voltei a ligar a
VM e não navegou, so isso!!! pra ter certeza, tirei as configurações do 2008 e reiniciei a VM e navegou normal!!!
vlw… ;D :)
-
Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
Abraço 8) -
Pessoal da para usar o SquidGuard mais sem usar o squid. Estou querendo controlar os sites mais sem fazer cache de arquivo.
Abraço 8)Não é possível, tanto squidguard ou dansguardian usa o squid. Estranho esse seu desejo, pq vai de encontro com a grande maioria do sysadmins. Se não deseja fazer cache em algum site, deve informar quais são..
-
Você pode configurar o squid para não fazer cache.
