PFSens +AD + LightSquid
-
Здравствуйте. Не сочтите набившей оскомину проблемой, но в фак и предыдущих темах конкретно моей ситуации я не нашел, а разобраться хочется, не имея опыта в линуксовых системах.
Пришел вот в новую контору, здесь есть сеть на W2012R2 AD, один из серверов служит как сервер приложений, через сессию которого пользователи в том числе хотят в интернет (без настроенной авторизации AD-PFSense, насквозь, ). Поставили задачу определения активности пользователей в интернете, поставили LightSquid, но картина его статистики получается безрадостная: один ip-адрес (сервера), на котором список посещенных сайтов, что логично конечно.
Вопрос: можно ли в принципе, настроить PFSence так, что б он определял имя пользователя, который на сервере RDP зашел на определенный сайт, не настраивая связки авторизации? Если её точно надо настроить - не подскажете ли, в чём ошибка, при прилагаемых настройках не показываются контейнеры AD (Could not connect to the LDAP server. Please check the LDAP configuration.)
-
Добрый.
Ну ,если пол-ли ходят в сеть прямо с TS-сервера, то он и будет светить своим ip.
Вопрос в том, зачем надо лезть в Сеть прямо с сервера? Чем им свой инет не устраивает? Я бы вообще закрыл досту в Сеть с терминального сервера или пускал бы ТОЛЬКО на опред. сайты. Тогда и логировать никого не пришлось бы.Зы. Вместо LDAP там AD нет?
-
"Исторически так сложилось", как я понял. Реализовано подобие песочниц на уровне rdp сессий, кроме инета там ессно кое-какой приклад. Политикой интернет не ограничивается, исхожу из реалий, задача №1 - определить. в случае запроса, кто ходил на такой-то сайт.
Кроме LDAP в выборе этого меню есть только радиус, пока что не хотелось бы делать еще и эту прослойку, если есть хоть какой-то шанс (?) получить в логе сессии и имя пользователя. -
Приношу все немыслимые извинения - получилось хотя бы вывести контейнеры, дальше дело думаю пойдёт.
Оказалось - правильная инструкция
https://techexpert.tips/pfsense/pfsense-ldap-authentication-active-directory/
и удаление предыдущего конфига - помогло.
Реально отсутствовала строка
Initial Template - Microsoft AD
Она появляется, если сверху вниз идти последовательно и главное - выключить опцию анонима.
Причём после сохранения конфига эта строка снова отсутствует. Чудесато.