Pfsense+squid+Ad
-
Marcello, é possível fazer a "autenticação transparente" somente com o LDAP?
Até onde sei, só com
-
kerberos/negotiate - mais seguro porém mais chato de configurar e mais restritivo
-
samba/ntlm - amplamente usado porém não tão seguro quanto do kerberos
-
squid/ident - facíl de burlar, basta o cliente subir um fake ident na maquina para usar qualquer nome de usuário
-
-
ejales,
Realmente a melhor pedida é você usar alguma forma de "autenticação transparente" do SQUID: http://forum.pfsense.org/index.php/topic,47532.75.html
De qualquer forma, a autenticação LDAP pode ficar lenta por vários motivos. Desde problemas com a estação em específico, passando por gargalos de rede ou do servidor AD, até problemas pontuais com o pacote Squid. Em alguns clientes, onde eu tinha este cenário, resolvi atualizando para o Squid3 (leia com atenção os tutoriais postados por aqui mesmo, sobre o Squid3).
Abraços!
Jack -
Opa JackL, tudo bem?
Acredito que seja com o pacote do squid. Fiz o teste em 3 máquinas para autenticar e as 3 apresentaram o mesmo problema citado anteriormente. O switch em que as máquinas estavam ligadas não apresentava nenhuma porta com 100% de uso e poucas máquinas estavam conectadas. Realizei o comando ldapsearch de dentro do firewall e a resposta foi quase que instantânea…
Estou criando um cenário no vmware para poder testar essa solução com ntlm.Att,
ejales -
Boa tarde á todos!
Obrigado, Marcello.
Poderia informar por favor qual o procedimento a ser realizado para efetuar essa configuração aqui:
- samba/ntlm - amplamente usado, porém não tão seguro quanto do kerberos.
Obrigado mais uma vez!
Grato,
Cabeça. -
Esta lá nos tutoriais para pacote.
autenticação "transparente" com pfsense + squid + active directory
-
Olá Pessoal,
Depois de quebrar a cabeça e solucionar o problema vim postar aqui o meu depoimento.
Como o JackL falou "a autenticação LDAP pode ficar lenta por vários motivos."
Realmente ele esta correto nessa afirmação! A solução para o meu caso pode ser que não sirva para outros ou que apenas solucione casos em que comenteram os mesmos erros que eu.Quando configurei o servidor eu não fiz do zero. Fiz a partir de um restore de um outro servidor pfsense. O servidor antigo possuía um hardware totalmente diferente e usava proxy sem autenticação.
Nos meus testes, o novo servidor não pedia autenticação para um site que era liberado apenas para o servidor antigo. Alguma coisa a mais estava no arquivo XML do backup. Foi então que configurei um servidor do zero, mas repeitando as mesmas configurações e regras do servidor que apresentava "erro". Feito isso, o servidor novo passou a autenticar da forma como esperado.Uma pena que não solucionou esse problema também: http://forum.pfsense.org/index.php/topic,53829.0.html
Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!
Agradeço a todos que comentaram nesse post.Att,
EJALES -
Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!
Não entendi, vc usou autenticação ntlm ou ldap ?
-
Confesso que fiquei um pouco relutante em usar a autenticação ntlm por causa de mais uma porta aberta no FW, mas futuramente…quem sabe!
Não entendi, vc usou autenticação ntlm ou ldap ?
To usando o LDAP. É porque me indicaram a usar o ntlm e ainda estou resistindo… :D
Att,
EJALES -
O como é que vc notou que ficou lento ?
-
O como é que vc notou que ficou lento ?
Na verdade desde o inicío ele apresentava lentidão. Demorava pouco mais de 1 minuto para realizar qualquer primeira autenticação.
Não era rápido como em outros locais que eu tenho autenticando pelo radius ou uma consulta pelo ldapsearch direto do FW.Att,
EJALES