[Resolvido] Autenticação no AD

rodsgobbo

Gente sou novo, mas pelos tutorias já consegui configurar  LOADBALANCE, SQUID, SQUIDGUARD. Agora estou tentando configurar autentificação  no AD win server 2003.
Meu problema é configurar as CN, OU e DC. Estou perdido mesmo.

Segue a imagem do meu AD os usuarios ficam no MyBusiness >Users > SBSUsers >. Alguém pode me ajudar ?

Att.,

Rodrigo

JackL

rodsgobbo,

Veja com atenção este tutorial: http://www.jack.eti.br/www/?p=3052

marcelloc,

Não cheguei a notar este tutorial no no respectivo tópico Sticky. Talvez você queria relacioná-lo!

Abraços!
Jack

rodsgobbo

Então Jack os tutorias eu já vi, estou com problema para configurar os DC, OU e CN. Estou meio perdido na árvore do AD mesmo

OBS: ESTOU CONFIGURANDO O CAPTIVE PORTAL

Obrigado

Rodrigo

marcelloc

Não cheguei a notar este tutorial no no respectivo tópico Sticky. Talvez você queria relacioná-lo!

Acabei de publicar, valeu pela dica.

rodsgobbo

Consegui !

Como estou usando o CAPTIVE PORTAL + SQUID GUARD, em user manager ele importa automático ?

souzalinux

@marcelloc

Sei que nós usuário sempre queremos mais, rsrrs

Seria legal se nas proximas versões do pFsense fosse adiciona para amarrar a politica já no ad tb de usuario como o endian faz hoje em dia.

Fica a dica

Abs

Souza Linux

JackL

@rodsgobbo:

Consegui !
Como estou usando o CAPTIVE PORTAL + SQUID GUARD, em user manager ele importa automático ?

Que bom que conseguiu… Na realidade não tem muito segredo ao seguir o tutorial mencionado. Claro, é importante entender um pouco sobre a organização de bases LDAP!

Quanto a sua nova pergunta, uma vez que o pfSense esteja autenticado no seu AD, você pode usar os grupos e usuários da respectiva base LDAP na formulação das suas ACLs no SquidGuard, por exemplo!

Abraços!
Jack

marcelloc

@souzalinux:

@marcelloc
Seria legal se nas proximas versões do pFsense fosse adiciona para amarrar a politica já no ad tb de usuario como o endian faz hoje em dia.

Explica melhor por favor, não consegui te entender.

LFCavalcanti

Acho que o que o Souzalinux quis dizer é que o Squid só autentica pelo Browser, e como já foi citado, o PFSense ainda não é UTM, por isso o Firewall trabalha com regras baseadas em IP e MAC apenas.

Seria realmente muito bom o Squid se integrar com o AD de forma a autenticar o usuário sem a necessidade de digitar usuário e senha no Browser. Do ponto de vista gerencial facilitaria muito, pois controlariamos com Grupos quem pode acessar o que, sem o risco de um usuário passar sua senha pra outro.

Hoje se um usuário quiser, ele pega a senha de um colega que possui acesso a internet e coloca no Browser, sem problemas. Para descobrir esse tipo de "truque" precisariamos analisar os Logs do Squid.

marcelloc

tenho um procedimento que usa o kerberos para autenticar 'transparente', mas é restrito a windows + ie>7 ou chrome ou firefox

Vou colocar na minha lista de testes no pfsense, dando certo, publico por aqui.

Regras por usuário dependem de por exemplo um cliente de firewall, o que ainda não faz parte das features do pfsense.

LFCavalcanti

Marcelloc,

Se quiser compartilhar o procedimento comigo, tenho um ambiente de testes bem "elaborado" aqui, podemos fazer isso.

Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.

marcelloc

Sem problemas LFCavalcanti,  :)

Este ambiente tenho rodando em red hat, esta madrugada compilei o krb5 para o pfsense e parece que deu certo.

Vou continuar a configuração, assim que eu tiver um procedimento eu te passo.

JackL

@LFCavalcanti:

Seria uma evolução interessante. Eu pelo menos estou muito interessado nisso pois tenho uma rede aqui com 80 PCs com usuários bem "criativos", isso evitaria o troca-troca de senha, já que logar com outro usuário no PC pra liberar acesso a internet não seria viável para eles.

Apenas a título de contribuição com esta thread, é importante lembrar que nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo. Fazendo uma analogia, se você passa seu cartão de crédito e senha a um determinado indivíduo e, este camarada vai até o caixa eletrônico mais próximo e saca todo o seu dinheiro, você certamente não será ressarcido, correto?

Isso porque seu cartão de crédito e senha são de uso exclusivamente particular e intransferível. Se você o fez (transferiu pra alguém), assumiu a responsabilidade e deve arcar com o ônus como se fosse você próprio o executor do saque.

Este é um exemplo típico de medida adminsitrativa. Em redes corporativas (não estou falando agora de pfSense ou qualquer outra ferramenta, obviamente), as políticas de utilização do parque computacional - com suas possibilidade e sanções - devem estar claras e serem aplicadas à todos sempre!

Abraços!
Jack

LFCavalcanti

JackL

Sim, concordo plenamente com você. :)

Os ambientes de rede que administro possuem regras e conceitos definidos, o problema é que principalmente em ambiente industrial os usuários ainda desafiam as regras.

Caso um usuário utilize a senha de outro e venha a fazer algo que "quebre" a segurança ou prejudique a empresa, certamente será descoberto, mas até lá o mal já foi feito, portanto não existe nada melhor do que prevenir.

Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele. ;)

JackL

@LFCavalcanti:

Melhor impedir o usuário de fazer algo que possa prejudicar a segurança do que confiar nele. ;)

Sem dúvida alguma… ;)

Mas lembre-se, mesmo que o usuário se logue "transparentemente" no pfSense (a partir do seu logon autenticado no AD/Kerberos), se ele levantar e for ao banheiro sem fazer logoff na estação e outro "espertinho" sentar na frente da sua máquina, voltamos ao estágio anterior: "Nenhuma medida técnica restritiva substitui as medidas administrativas em um ambiente corporativo".

Para se ter uma ideia do quanto isso é grave e preocupante hoje em dia nas empresas, a Microsoft tentou patentear recentemente (usando o Kinect como plataforma), uma tecnologia para monitorizar os empregados de empresas, quando interagem com computadores ou telefones. Para ler mais a respeito: http://www.tecnologia.com.pt/2011/11/microsoft-propoe-patente-de-monitorizacao-dos-funcionarios/

Enfim, quando lidamos com "humanos" o buraco é sempre mais em baixo! :D

Abraços!
Jack

LFCavalcanti

Mas esse problema em especifico tem uma solução simples: Proteção de Tela Protegida por Senha.  ;D

Realmente a questão é de cultura, mas tem ambientes de rede que o clima é de guerra com os usuários :o, nesse caso não tenho piedade, bloqueio recursos, acessos, etc… Nisso o PFSense tem me ajudado muito, consegui acabar com problemas de vírus e ociosidade em muitos clientes dessa forma.

Das 32 empresas que estão sob minha responsabilidade, 16 já estão com PFSense. Testei vários(Smoothwall, IPCOP, BrazilFW, ...) até chegar aqui.

JackL

@LFCavalcanti:

Das 32 empresas que estão sob minha responsabilidade, 16 já estão com PFSense. Testei vários(Smoothwall, IPCOP, BrazilFW, …) até chegar aqui.

Certamente LFCavalcanti… uma coisa (técnicas restritivas) não desabona outra (medidas administrativas)!

É bom saber que a base instalada do pfSense no Brasil está crescendo. Assim, ganhamos força e motivação para transformá-lo em um UTM num futuro não tão distante. Provavelmente a melhor ferramenta open-source do gênero!

;)

Abraços!
Jack