Captive Portal vs Radius vs Relação confiança subdomínios
-
Boa tarde.
Pessoal solicito ajuda na seguinte questão:
Tenho várias redes distintas, uma em cada unidade física da empresa.
Todas as unidades estão conectadas em si via IPsec VPN e graças a esta interconexão hoje eu tenho uma estrutura de AD que é um AD pai na unidade X e um AD filho em cada uma das demais localidades. Todas as relações de confiança criadas, tudo funcionando perfeitamente.
Assim, para se logar em uma maquina cliente, basta o usuário entrar com sua credencial no formato DOMINIO_FILHO\username + pass que acessa normalmente.
Estou testando o Captive Portal e a única coisa que não consegui fazer para implantá-lo de vez é autenticar via Radius/AD quando o usuário é de outro domínio e não do domínio local: EX:
AD MG e PFSense MG tudo na mesma subrede –> um usuário do domínio local da unidade MG entra com suas credenciais e acessa, ok
AD SP e PFSense MG subredes diferentes --> um usuário do domínio local da unidade SP entra com suas credenciais (no Captive Portal do pfsense MG) mas não acessa.Ja fiz de varias formas nos ADs
no MG:- criei um grupo local cujos os membros eram usuários dos outros domínios
- criei um grupo local cujos os membros eram o grupos "usuários do domínio" de cada subdomínio
no SP:
- criei um grupo global e acrescentei os usuários desejados neste grupo e setei este grupo no Radius do AD MG....
Não antentica de jeito nenhum. Alguma dica?
-
No AD MG por exemplo, quando tu faz uma busca pelos usuários, ele mostra também os usuários dos outros ADs?
-
Faça testes via console para ver como retorna o usuário em uma dessas pesquisas cruzadas. Às vezes é só formato da resposta que está diferente ou incompatível.
Você pode também alterar a página de login e implementar o próprio método de autenticação/validação do usuário.
-
Posted by: empbilly
« on: Yesterday at 04:40:39 pm » Insert Quote
No AD MG por exemplo, quando tu faz uma busca pelos usuários, ele mostra também os usuários dos outros ADs?Na caixa de pesquisa do AD eu tenho os campos para especificar onde que quero pesquisar.
Então, se eu escolho o AD da localidade SP sim, localiza os usuários, se escolho AD MG, localiza os usuarios de MG, se escolho "diretório inteiro" ou seja, toda a floresta aí ele localiza usuários de todos os subdiretórios existentes.
Como eu havia dito, a questão de AD está toda ok. Pesquisando sobre isso, li algo sobre Radius Proxy. Estou focando nisso pra ver se é o que vai ser minha solução. -
Faça testes via console para ver como retorna o usuário em uma dessas pesquisas cruzadas. Às vezes é só formato da resposta que está diferente ou incompatível.
Você pode também alterar a página de login e implementar o próprio método de autenticação/validação do usuário.
Faça testes via console: testes de conexão/autenticação no CP direto na console? como eu faria estes testes?
Você pode também alterar a página de login e implementar o próprio método de autenticação/validação do usuário: algum link com mais detalhes sobre quais comandos php/html/ldap são compatíveis com o pfsense?
-
Descobri como fazer. Eu não estava sabendo era configurar o Radius do Windows Server.
A grande questão é que no meu caso específico (pode ser que também ocorra em outras infras por aí) é que os critérios que o Radius/NPS do Win server para decidir qual dos ADs vai autenticar qual conta não tem pontos em comum com minha infra estrutura.
Se alguém quiser, explico em detalhes.
Vou fazer testes com o FreeRadius do PF agora.
-
Descobri como fazer. Eu não estava sabendo era configurar o Radius do Windows Server.
A grande questão é que no meu caso específico (pode ser que também ocorra em outras infras por aí) é que os critérios que o Radius/NPS do Win server para decidir qual dos ADs vai autenticar qual conta não tem pontos em comum com minha infra estrutura.
Se alguém quiser, explico em detalhes.
Vou fazer testes com o FreeRadius do PF agora.
Bacana!!
Se tu quiser explicar aqui, já fica mais fácil de resolver futuros problemas para outros usuários. :D