Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSens +AD + LightSquid

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 546 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Kundor
      last edited by

      Здравствуйте. Не сочтите набившей оскомину проблемой, но в фак и предыдущих темах конкретно моей ситуации я не нашел, а разобраться хочется, не имея опыта в линуксовых системах.
      Пришел вот в новую контору, здесь есть сеть на W2012R2 AD, один из серверов служит как сервер приложений, через сессию которого пользователи в том числе хотят в интернет (без настроенной авторизации AD-PFSense, насквозь, ). Поставили задачу определения активности пользователей в интернете, поставили LightSquid, но картина его статистики получается безрадостная: один ip-адрес (сервера), на котором список посещенных сайтов, что логично конечно.
      Вопрос: можно ли в принципе, настроить PFSence так, что б он определял имя пользователя, который на сервере RDP зашел на определенный сайт, не настраивая связки авторизации? Если её точно надо настроить - не подскажете ли, в чём ошибка, при прилагаемых настройках не показываются контейнеры AD (Could not connect to the LDAP server. Please check the LDAP configuration.)
      1.jpg

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        Добрый.

        Ну ,если пол-ли ходят в сеть прямо с TS-сервера, то он и будет светить своим ip.
        Вопрос в том, зачем надо лезть в Сеть прямо с сервера? Чем им свой инет не устраивает? Я бы вообще закрыл досту в Сеть с терминального сервера или пускал бы ТОЛЬКО на опред. сайты. Тогда и логировать никого не пришлось бы.

        Зы. Вместо LDAP там AD нет?

        1 Reply Last reply Reply Quote 0
        • K
          Kundor
          last edited by

          "Исторически так сложилось", как я понял. Реализовано подобие песочниц на уровне rdp сессий, кроме инета там ессно кое-какой приклад. Политикой интернет не ограничивается, исхожу из реалий, задача №1 - определить. в случае запроса, кто ходил на такой-то сайт.
          Кроме LDAP в выборе этого меню есть только радиус, пока что не хотелось бы делать еще и эту прослойку, если есть хоть какой-то шанс (?) получить в логе сессии и имя пользователя.

          1 Reply Last reply Reply Quote 0
          • K
            Kundor
            last edited by

            Приношу все немыслимые извинения - получилось хотя бы вывести контейнеры, дальше дело думаю пойдёт.
            Оказалось - правильная инструкция
            https://techexpert.tips/pfsense/pfsense-ldap-authentication-active-directory/
            и удаление предыдущего конфига - помогло.
            Реально отсутствовала строка
            Initial Template - Microsoft AD
            Она появляется, если сверху вниз идти последовательно и главное - выключить опцию анонима.
            Причём после сохранения конфига эта строка снова отсутствует. Чудесато.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.