Video Tutorial Como Autenticar Squid/SG vs Active Directory usando Pf2AD.



  • Aquellos que administran redes windows y tienen un AD de por medio y desean que pfsense se autentique vs el, Pf2AD nosa yuda, aqui les dejo el video, saludos.

    Pfsense Pf2AD



  • Excelente aporte, lo he utilizado, de hecho lo tengo en producción, con no mas de 350 usuarios y 10 grupos de autenticacion.

    Detalles:

    1. Una vez en producción y estable: No actualicen pfsense, se vuelta todo.
    2. Entre mas usuarios hay que hacer tuning al winbind y al helper del squid.
    3. PF2AD viene solo para el Método NTLM, a pesar de tener el soporte listo para Kerberos, hay que hacer dicho procedimiento de generacion de claves "ticket". No se si en estos momentos ya pf2ad tiene la conf de kerberos.
    4. Existen navegadores que por defecto no autentican NTLM (IE chrome) , por lo que tendrías que hacer una conf en cada maquina. si tienes AD por GPO la aplicas.
    5. NTLM es estable, pero es inseguro, Kerberos tiene mejor performance, ahorras consultas al AD.

    Este link es el unico mas cercano que he conseguido para hacer que pfsense autentica con AD mediante un SSO pero con Kerberos sin la modificación de Pfsense ya que seria squid puro.

    https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/

    Saludos.



  • Adicional hay que resaltar. que tanto como NTLM como Kerberos, son para lograr el Single Sign On (SSO) es decir para que no le pida "popup" usuario y clave para navegar.

    Si tu PC es Linux, no aplica (al menor que le hagas "truquillos")

    Y siempre se debe manejar las 3 opciones en el squid para autenticar:

    1. Kerberos lo ideal.
    2. NTLM por si el navegador o windows es viejo.
    3. Basic por si el equipo no esta en el dominio o es un linux.


  • Asi es, para un ambiente windows no habra tanto problema, ya cuando llegan OS distintos viene el detalle, saludos.


Log in to reply