Chiudere sessioni pfsense da client


  • Salve, ho il seguente problema e cerco un'idea/soluzione

    Ho un pfsense configurato per dare accesso alla rete a tre aule dopo autenticazione utente su captive portal.
    Il problema è che l'utente medio non chiude le sessioni tramite l'opportuna finestrella di popup e lascia la sessione aperta.
    Nella migliore delle ipotesi l'utente fa logoff dalla postazione o la riavvia ma la sessione resta comunque in piedi e può essere usata da eventuali altri utenti che utilizzano la postazione in seguito non autenticati.

    La classica soluzione che si usa in questi scenari è un timeout. Se l'utente non fa traffico per un tot di minuti si sconnette l'utenza.
    Un altra soluzione potrebbe essere scollegare manualmente gli utenti dal portale, ma sto cercando una soluzione "automatizzata" da usare da client.
    Soluzione che dovrebbe permettere la gestione delle tre aule anche in modo diverso.

    Ci sono script da utilizzare su Windows che "killano" la sessione ?
    Se fattibile, li potrei schedulare a determinati orari in cui so che le aule si svutano (ora di pranzo, fine giornata) o li potrei impostare come "logoff script" sulle single macchine tramite policy Active Directory. Ogni utente che fa logoff o riavvia/spegne la postazione esegue inconsapevolmente lo script.

    Qualcuno ha idee, esperienze, soluzioni di questo tipo ?
    suggerimenti su comandi da usare da client (Microsoft) per identificare e chiudere ogni singola sessione utente ?

    grazie


  • Ciao,
    il timeout non è molto efficace, poichè i moderni OS scambiano di continuo informazioni sulla rete quindi la connessione di fatto non è mai inattiva.
    In alcune scuole abbiamo individuato la durata massima di una sessione ed abbiamo impostato sul CP di pfsense quella durata come hard timeout. Per esempio, se la scuola è aperta solo dalle 9 alle 13 potresti mettere un hard timeout di 4 ore in modo che nel caso peggiore alle 17 tutte le sessioni verranno chiuse.
    L'altra soluzione che ti suggerirei (ma che non ho provato) è uno script di logoff che lanci una sessione browser corrispondente al link di logoff del CP
    In questo modo è come se l'utente cliccasse sempre sul link di chiusura della sessione.
    Putroppo il link contiene l'id della sessione quindi dovresti trovare il modo per recuperare quest'informazione.

    Ciao Fabio