Как решить вопрос с единождой аутентификk
-
Добрый день, есть pfsense версии 2, все правила настроены и работают, до этого в компании использовался TMG, ну и сами понимаете LDAP AD работали с ним шикарно, теперь задача приобретает проблемную форму, необходимо сделать так чтобы пользователь введя 1 раз свои учетные данные имел доступ к инету по правилам причем со всех разрешенных приложений, сейчас в браузере приходится постоянно вводить учетные данные а приложения вообще говорят об отсутствии коннекта, как правильно все сделать я не понимаю, извините если повторюсь, на форуме только зарегался, инфы по данному вопросу не нашел, режим прокси обычный не прозрачный. Операционная система FreeBSD.
Жду ваших предложений, примного благодарен!
-
Это CaptivePortal.
-
Спасибо за быстрый ответ….=) Тогда есть вопрос, возможно ли Captive портал завязать с аутентификацией через LDAP? И как быть с осями андроид и мак, будет ли на них все также прекрасно как и на винде?
-
Спасибо за быстрый ответ….=) Тогда есть вопрос, возможно ли Captive портал завязать с аутентификацией через LDAP? И как быть с осями андроид и мак, будет ли на них все также прекрасно как и на винде?
Там точно есть настройки под радиус-сервер. Посмотрите сами возможности в веб-интерфейсе.
-
Блин покопал я про Captive, что-то не так, может я неправильно объяснил суть… Попробую еще раз... Есть АД, пользюки конектятся в систему по своим учеткам на машинах, как сделать так чтобы, введя 1 раз свои учетные данные и залогинившись, им больше не потребовалось вводить их, скажем в браузере или еще где... И все программы использовали именно эти учетные данные для доступа в инет,и 2-ой вопрос как можно пропустить пользователей, без авторизации но через обычный файрвол к центрам сертификации, просто сейчас когда они коннектятся куда либо им надо вбивать свои учетные данные снова и снова при получении сертификатов.... Подскажите что мне может помочь??? Заранее благодарен.
-
pf и cp такого делать не умеют.
Максимум, что можно сделать, как вам уже сказали, аутентификация по ldap через radius.
Если поставить Idle timeout=0 и Hard timeout=0, то по идее пароль нужно будет ввести только 1 раз.
CP запомнит ip/mac клиента и не будет требовать аутентификацию.
Но как это все будет работать при смене пароля, ip или mac остается под вопросом.
Еще и безопасность передачи пароля таким способом под вопросом.
И кроме аутентификации обычно нужна еще и авторизация -
Как вариант можно попробовать связку PPPoE server на Pfsense + NAP(IAS) на Windows. В сквиде можно будет вообще отключить авторизацию. Шейпинг тоже будет работать. Через GPO всем раздать настроенное соединение PPPoE. Ну и стартовый скрипт в котором чтото типа "rasdial internet".