PFSens +AD + LightSquid



  • Здравствуйте. Не сочтите набившей оскомину проблемой, но в фак и предыдущих темах конкретно моей ситуации я не нашел, а разобраться хочется, не имея опыта в линуксовых системах.
    Пришел вот в новую контору, здесь есть сеть на W2012R2 AD, один из серверов служит как сервер приложений, через сессию которого пользователи в том числе хотят в интернет (без настроенной авторизации AD-PFSense, насквозь, ). Поставили задачу определения активности пользователей в интернете, поставили LightSquid, но картина его статистики получается безрадостная: один ip-адрес (сервера), на котором список посещенных сайтов, что логично конечно.
    Вопрос: можно ли в принципе, настроить PFSence так, что б он определял имя пользователя, который на сервере RDP зашел на определенный сайт, не настраивая связки авторизации? Если её точно надо настроить - не подскажете ли, в чём ошибка, при прилагаемых настройках не показываются контейнеры AD (Could not connect to the LDAP server. Please check the LDAP configuration.)
    1.jpg



  • Добрый.

    Ну ,если пол-ли ходят в сеть прямо с TS-сервера, то он и будет светить своим ip.
    Вопрос в том, зачем надо лезть в Сеть прямо с сервера? Чем им свой инет не устраивает? Я бы вообще закрыл досту в Сеть с терминального сервера или пускал бы ТОЛЬКО на опред. сайты. Тогда и логировать никого не пришлось бы.

    Зы. Вместо LDAP там AD нет?



  • "Исторически так сложилось", как я понял. Реализовано подобие песочниц на уровне rdp сессий, кроме инета там ессно кое-какой приклад. Политикой интернет не ограничивается, исхожу из реалий, задача №1 - определить. в случае запроса, кто ходил на такой-то сайт.
    Кроме LDAP в выборе этого меню есть только радиус, пока что не хотелось бы делать еще и эту прослойку, если есть хоть какой-то шанс (?) получить в логе сессии и имя пользователя.



  • Приношу все немыслимые извинения - получилось хотя бы вывести контейнеры, дальше дело думаю пойдёт.
    Оказалось - правильная инструкция
    https://techexpert.tips/pfsense/pfsense-ldap-authentication-active-directory/
    и удаление предыдущего конфига - помогло.
    Реально отсутствовала строка
    Initial Template - Microsoft AD
    Она появляется, если сверху вниз идти последовательно и главное - выключить опцию анонима.
    Причём после сохранения конфига эта строка снова отсутствует. Чудесато.


Log in to reply