Autenticação "transparente" com pfsense + squid + active directory
-
veja qual é o winbind separator no smb.conf, o exemplo do tutorial sugere o +
/usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-basic
mydomain+myuser mypasswd
OKSe não der certo, tente colocar estas linhas no campo custom do squid, lembrando que tem que substituir <enter>por ;
warning: basic authentication sends passwords plaintext
a network sniffer can and will discover passwords
auth_param basic program /usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hoursjuntando tudo fica mais ou menos asssim:
auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 30;auth_param ntlm keep_alive on;auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic;auth_param basic children 5;auth_param basic realm Squid proxy-caching web server;auth_param basic credentialsttl 2 hours;acl password proxy_auth REQUIRED;http_access allow password ```</enter> -
-
marcelloc, desfarça, eu viajei ali …
então, estavamos achando que era uma coisa e é outra.
quando entrei novamente na conta de usuaário tambem deu popup.
ai eu fui fazer os testes novamente no shell, e tava dando host não encontrado.
ai eu vi que no resolv.conf, ele tinha voltado as linhas que eu tinha comentado, quando eu reiniciei o servidor...
depois que eu comente as linhas de loopback, funcionou direito, tanto o usuario do dominio, quanto o pc que está fora do dominio e digita a senha.
como fazer para as alterações no resolv.conf ficarem permanentes ?
-
Tenta desabilitar o dns forwarder na aba services.
-
Então, as duas opções que eu usei foram
Na General Setup
Do not use the DNS Forwarder as a DNS server for the firewalldeixei marcado,
e opção
Allow DNS server list to be overridden by DHCP/PPP on WAN
deixei desmarcado …
e não esqueçe de deixar o ip do seu PDC no primeiro servidor DNS ( claro se ele for o DNS primário da rede. No meu caso o setup do DNS está como integrado ao AD)
Com esse setup, não faz muito sentido usar o DNS forwarder, mas se deixar ativo tambem não haverá problemas ...
Mais uma vez, muito obrigado marcelloc ;D
-
marcelloc, quando uma máquina nova, fora do dominio tenta acessr aparece assim
connecting to 192.168.15.101
user name:
password:
domain: WS001Existe alguma configuração, onde eu possa alterar esses valores que ele já traz ? Ou seja, uma mensagem amigável, e já trazer o dominio correto ?
desde já, obrigado …
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
Então, lá deixei o texto do tutorial, para autenticar.
Onde eu acho a sintax para mudar a aparencia do popup ?
-
Fala galera!
Eu não li o Tópico todo, é muito longo, mas resumindo:
gostaria de saber se deu certo e também se funciona para Windows Server 2008.
-
O procedimento funciona mas não testei em um ambiente 2008.
-
Pessoal,
Não seria melhor fazer um novo post com resumo em definitivo.. e fixar para que seja usado como tutorial..
-
Seria melhor colocar isso no blog. ;) Alguém se habilita?
-
Eu me habilito com certeza, já tenho um txt quase pronto. Inclusive, se quiser, posso colocar esse passo a passo completo, pois o txt que fiz, contempla a instalação do pfSense, integração com o AD via NTLM (este post) depois integração com o RADIUS para vpn autenticando no AD, e WPAD no DHCP para configuração automática de proxy.
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...
Funciona bem, e funciona no 2008 sim, eu faço no 2008 R2 (64x)
Marcelo, com relação a sintaxe para controlar a strings do popup, procurei mas não achei, vc tem essa sintaxe ?
-
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...filipe.nanclarez, basta acessar no Blog da Comunidade Brasileira do pfSense (http://www.pfsense-br.org/blog/), se registrar (criar uma conta) e postar o tutorial por lá… Você pode usar links, imagens e tudo que julgar necessário para ilustrar o tutorial.
Assim que tiver publicado por lá, basta avisar por aqui que o marcelloc insere uma chamada ao seu tutorial nos links fixos que ficam aqui em cima (área "sticky" do fórum).
Abraços!
Jack -
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...filipe.nanclarez, basta acessar no Blog da Comunidade Brasileira do pfSense (http://www.pfsense-br.org/blog/), se registrar (criar uma conta) e postar o tutorial por lá… Você pode usar links, imagens e tudo que julgar necessário para ilustrar o tutorial.
Assim que tiver publicado por lá, basta avisar por aqui que o marcelloc insere uma chamada ao seu tutorial nos links fixos que ficam aqui em cima (área "sticky" do fórum).
Abraços!
JackOk, obrigado. Assim que eu terminar aviso aqui.
-
Galera alguem poderia post um tutorial, porque tentei fazer do geito que sta no topico mais nao conseguir
-
Galera alguem poderia post um tutorial, porque tentei fazer do geito que sta no topico mais nao conseguir
Estou fazendo, assim que terminar eu aviso aqui …
Qual erro que deu no seu setup ?
-
Filipe, Bom dia.
Cara, estou apannhando feio aqui para implementar esse cenário, dê um help por favor.
Instalei os pacotes conforme dicas do Marcello, porém quando instalo o samba via pkg_add ele não instala o suporte a ADS, como você fez para instala-lo?
mesmo sem o suporte ao ADS, quando teste via kinit mesmo tendo certeza que coloco a senha correta ele retorna kinit: password incorrect
dê uma luz por favor, nobre mortal que já passou por isso!!!
-
Olá pessoal estou com problema, nao estou conseguindo achar o arquivos de configuração do heimdal mesmo reiniciando ou fazendo logout.
Alguem sabe porque acontece, e qual a solução? -
cristianonix,
Bem vindo ao fórum! :)
Você instalou o pacote seguiu o procedimento?
att,
Marcello Coutinho
