Impedir compartir nombre de usuario para navegar



  • Buenas tardes compañeros
    quisiera que me ayudaran en algo: tengo un laboratorio de pruebas que funciona muy bien con pfsense, un dominio 2012r2 y un equipo con w7, he configurado el laboratorio para que el equipo con w7 este en el domino, y para navegar al internet deban colocar su usuario y clave del dominio, la pregunta es: Que sucederia si un usuario restringido usa un usuario/password de alguien que pueda navergar sin restricciones? osea se la preste para que navege.
    La pregunta en si es, si se puede restringir el uso del usuario/password osea que no se pueda prestar a otros usuarios o que solo sea usado en la sesion actual.
    gracias

    pfsense: 2.3.3-RELEASE-p1 (i386)
    windows server 2012r2, con dominio, dhcp activos
    estacion W7 dentro del dominio.



  • Lo haces con el Squid.

    Esta opcion no te la pfsense por defecto en la web, por lo que la deberas setear de forma manual en la web de pfsense modulo squid opciones avanzadas.

    Lee sobre la acl del squid  "max_user_ip"  y  tambien  authenticate_ip_ttl

    http://wiki.squid-cache.org/SquidFaq/SquidAcl

    http://www.squid-cache.org/Doc/config/authenticate_ip_ttl/

    Aplica para evitar que usen en otra(s) maquina(s) un usuario con privilegios para navegar (bien sea por que el usuario facilito la cuenta o la descubrieron).

    Puedes selecionar el numero de hosts a permitir.

    Y el tiempo que debe pasar para loguear en otra maquina.  Por ej: si yo me logueo en equipo A….. Para loguear en Equipo F,  debo esperar X horas para poder iniciar en equipo F.

    Te recomiendo tambien que para la ACL personalices el error con el fin de que sea un denegado con el motivo. para que no se confunda con un denegado de pagina web comun.



  • Gracias por la ayuda y el link, pero no consigo esa opcion dentro del pfsense, busque en todos los menu del sistema y no encuentro algo que diga: "max_user_ip" y  "authenticate_ip_ttl", me meti dentro de las acl que he creado y nada que las consigo.
    Si podrias darme una pista de donde se encuentra podria empezar a configurarlo. O dentro de que menu se encuentra porque de verdad no lo logro visualizar. la versiopn que tengo del pfsense es la  2.3.3-RELEASE-p1 (i386) built on Thu Mar 09 07:17:43 CST 2017
    FreeBSD 10.3-RELEASE-p17
    Gracias



  • Yo lo que hago es que meto las computadoras al dominio y en el Active Directory  en la pestaña de cuenta (account) en el boton de Iniciar sesion en o (Log on to), ahi le das el nombre del equipo en los que puede iniciar sesion. Asi ese usuario no podra utilizar su cuenta en otro equipo de computo que tu no le hayas autorizado.

    Ahora bien ya pensando como el usuario que tomo la clave de otro y si se un poco y me voy al administrador de credenciales de windows y ahi la meto manualmente no recuerdo si funcionaria asi pasarme esta restriccion.

    Tambien lo que dices que cuando tienen que navegar tienen que meter nuevamente su usuario del dominio y clave eso creo no es normal.. Porque si integras tu proxy al dominio tambien las credenciales de acceso van implicitas al intentar acceder al recurso. y no te deberia pedir nuevamente las credenciales tu proxy sino que las autenticaria directamente contra el servidor AD.

    La verdad yo manejaba un proxy de microsoft que se integraba directamente al dominio y pues ya no pedia credenciales extras al usuario



  • buenas compañeros, alguien podria ayudarme a configurar estos parametros? "max_user_ip"  y  tambien  authenticate_ip_ttl los cuales son para impedir que un usuario pueda compartir el usuario/contraseña para poder navegar en internet, en la respuesta del compañetro anterior me dijo que se podia configurar esos parametos pero no los encuentro, si alguien me puede dar una luz de donde se encuentran sabria agradecerle mucho.
    Carlos


Log in to reply