Autenticação "transparente" com pfsense + squid + active directory
-
Só um logoff na console já resolve, não precisa de boot. ;)
-
Só um logoff na console já resolve, não precisa de boot. ;)
Ok, confesso, não sei como fazer logoff no pfsense, mas já tá reiniciado. Vou tentar o kinit agora …
-
Ok, confesso, não sei como fazer logoff no pfsense, mas já tá reiniciado. Vou tentar o kinit agora …
Sem problema :). Para fazer o logoff basta digitar exit
-
agora recebo o seguinte erro:
kinit: krb5_get_init_creds: unable to reach any KDC in realm virtual.local
teria alguma coisa a ver com colocar o ip no arquivo hosts para ele achar ?
editado
coloquei o seguinte conteudo no meu /etc/hosts
127.0.0.1 localhost localhost.localdomain
192.168.15.101 pfsense.localdomain pfsense
192.168.15.2 pdc001.virtual.local pdc001mas mesmo assim, o erro permanece …
-
Tentei ignorar esse passo, e dar o join
net ads join -U Administrator@virtual.local
retorna a seguinte mensagemkinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect do AD: Invalid credentials -
Não vejo a hora de arrumar tempo pra testar o ambiente!
-
Não vejo a hora de arrumar tempo pra testar o ambiente!
Estou tentando com pf 2.0.1 e Windows 2008 Server R2 …
marcelloc, o seu ambiente era esse mesmo ?
-
Como devo substituir essa linha do tutorial ?
password server = ad-master.domain.com.au
eu fiz assim, mas fiquei na dúvida
password server = pdc001.virtual.local
-
filipe.nanclarez,
Marque o dns do firewall com o ip do ad, o samba/kerberos precisam saber quem são os hosts do seu domínio.
-
filipe.nanclarez,
Marque o dns do firewall com o ip do ad, o samba/kerberos precisam saber quem são os hosts do seu domínio.
sim sim, eu já tinha feito, inclusive testei na tela "diagnostics>ping" com o nome e como ip pra saber se estava ok …
alterei algumas coisas nos arquivos que acredito que estavam erradas (eu não interpretei direito) agora está dando "Password incorrect" tem alguma coisa a ver com ser 2008 server ? Nesse site, diz que precisa ser outra config pra o 2008 server ....
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory
-
Você pode seguir o tutorial ntlm mais atual do site do squid sem problemas. Toma cuidado só com a questão da localização das pastas.
-
Você pode seguir o tutorial ntlm mais atual do site do squid sem problemas. Toma cuidado só com a questão da localização das pastas.
então, usei ele só para verificar como deveria fazer as substituições dos valores, mas estou seguindo o seu pra não bagunçar aqui.
estou recebendo o primeiro erro novamente (depois de arrumar o dns, e acertar o ntp):
kinit: krb5_get_init_creds: unable to reach any KDC in realm virtual.local
no join, retorna:
Failed to join domain: failed to connect to AD: Operations error
tentei olhar nos não estou achando os arquivos dos logs pra verificar … ???
-
pessoal, alguma luz ?
marcelloc, quando voce conseguiu foi no windows 2003 ?
-
Toda vez que arrumo o dns, ele dá outro erro, dá password incorrect.
Já mudei a senha, mas continua dando isso.
Há algum log onde eu possa identificar o que está acontecendo ?
-
tentei olhar nos não estou achando os arquivos dos logs pra verificar … ???
da uma olhada nos logs do samba /var/log/samba/
olha tambem nos logs no windows para ver se aparece alguma coisa
marcelloc, quando voce conseguiu foi no windows 2003 ?
Sim, foi no 2003
-
tentei olhar nos não estou achando os arquivos dos logs pra verificar … ???
da uma olhada nos logs do samba /var/log/samba/
a pasta esta vazia …
-
marcelloc, tem um arquivo que eu não estou vendo
é o /var/kerberos/krb5kdc/kadm5.keytab
eu mudei a pasta de acordo com o caminho para
/var/heimdal/kadm5.keytab
ele não está gerando … algo a mais que preciso fazer ?
-
O keytab é gerado no ad. ainda não vi nenhum port do mskutil para o freebsd.
-
marcelloc, vou instalar um 2003 para podermos isolar as variaveis
em qual versão do pf voce fez ? e a versão do squid ?
-
Senhores Boa Noite!
Primeiramente obrigado marcelloc pelo caminho das pedras :).
Durante o dia realizei alguns testes seguindo a orientação do macelloc e consegui uns tropeços e acertos, agora vim informar que obtive êxito na configuração com autenticação transparente sem o pop-up.
Cenário:
Controlador de dominio usado para autenticar: Windows Server 2008 R2.
Clientes testados: Windows XP e 7
Versão do squid utilizado: Squid Cache: Version 2.7.STABLE9Problemas encontrados:
Ao reiniciar o servidor pfsense e tentar navegar novamente… a janela de autenticação era apresentada... logo fui ver se o serviço do samba (winbindd) estava e iniciado, mas o mesmo estava parado.
Tentei iniciar e o serviço não subia:
[2.0.1-RELEASE][root@trinity.domain.local]/: /usr/local/etc/rc.d/samba onestart
Removing stale Samba tdb files: . done
Starting winbindd.
[2.0.1-RELEASE][root@trinity.domain.local]/: /usr/local/etc/rc.d/samba onestatus
winbindd is not running.Fui ver o log do samba e encontro:
lib/pidfile.c:130(pidfile_create ERROR: can't open /var/run/samba/winbindd.pid: Error was No such file or directory
Ou seja… quando o pfsense reiniciou o diretorio /var/run/samba tinha sumido!... só foi cria-lo novamente na mão e o serviço voltou a funcionar juntamente com à autenticação transparente.
Agora vem as dúvidas:
- Como fazer para que o serviço seja iniciado automaticamente? (criei e editei o arquivo /etc/rc.conf mas ele some depois que inicia o servidor).
- Depois que o servidor inicia é necessário utilizar novamente o comando kinit?
- Quando instalei o samba ele gerou um erro informando que havia um conflito de pacote que existia, porém se eu removesse ele implicava dizendo que o squid depende dele... o que fiz foi forçar a instalação e ele pulou essa etapa.