Autenticação "transparente" com pfsense + squid + active directory
-
marcelloc, quando uma máquina nova, fora do dominio tenta acessr aparece assim
connecting to 192.168.15.101
user name:
password:
domain: WS001Existe alguma configuração, onde eu possa alterar esses valores que ele já traz ? Ou seja, uma mensagem amigável, e já trazer o dominio correto ?
desde já, obrigado …
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
Então, lá deixei o texto do tutorial, para autenticar.
Onde eu acho a sintax para mudar a aparencia do popup ?
-
Fala galera!
Eu não li o Tópico todo, é muito longo, mas resumindo:
gostaria de saber se deu certo e também se funciona para Windows Server 2008.
-
O procedimento funciona mas não testei em um ambiente 2008.
-
Pessoal,
Não seria melhor fazer um novo post com resumo em definitivo.. e fixar para que seja usado como tutorial..
-
Seria melhor colocar isso no blog. ;) Alguém se habilita?
-
Eu me habilito com certeza, já tenho um txt quase pronto. Inclusive, se quiser, posso colocar esse passo a passo completo, pois o txt que fiz, contempla a instalação do pfSense, integração com o AD via NTLM (este post) depois integração com o RADIUS para vpn autenticando no AD, e WPAD no DHCP para configuração automática de proxy.
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...
Funciona bem, e funciona no 2008 sim, eu faço no 2008 R2 (64x)
Marcelo, com relação a sintaxe para controlar a strings do popup, procurei mas não achei, vc tem essa sintaxe ?
-
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...filipe.nanclarez, basta acessar no Blog da Comunidade Brasileira do pfSense (http://www.pfsense-br.org/blog/), se registrar (criar uma conta) e postar o tutorial por lá… Você pode usar links, imagens e tudo que julgar necessário para ilustrar o tutorial.
Assim que tiver publicado por lá, basta avisar por aqui que o marcelloc insere uma chamada ao seu tutorial nos links fixos que ficam aqui em cima (área "sticky" do fórum).
Abraços!
Jack -
Mas não sei como fazer (aqui no fórum) ….
O que preciso ? Já tenho ele pronto porque estava preparando um tutorial para o meu funcionário fazer lá na empresa ...filipe.nanclarez, basta acessar no Blog da Comunidade Brasileira do pfSense (http://www.pfsense-br.org/blog/), se registrar (criar uma conta) e postar o tutorial por lá… Você pode usar links, imagens e tudo que julgar necessário para ilustrar o tutorial.
Assim que tiver publicado por lá, basta avisar por aqui que o marcelloc insere uma chamada ao seu tutorial nos links fixos que ficam aqui em cima (área "sticky" do fórum).
Abraços!
JackOk, obrigado. Assim que eu terminar aviso aqui.
-
Galera alguem poderia post um tutorial, porque tentei fazer do geito que sta no topico mais nao conseguir
-
Galera alguem poderia post um tutorial, porque tentei fazer do geito que sta no topico mais nao conseguir
Estou fazendo, assim que terminar eu aviso aqui …
Qual erro que deu no seu setup ?
-
Filipe, Bom dia.
Cara, estou apannhando feio aqui para implementar esse cenário, dê um help por favor.
Instalei os pacotes conforme dicas do Marcello, porém quando instalo o samba via pkg_add ele não instala o suporte a ADS, como você fez para instala-lo?
mesmo sem o suporte ao ADS, quando teste via kinit mesmo tendo certeza que coloco a senha correta ele retorna kinit: password incorrect
dê uma luz por favor, nobre mortal que já passou por isso!!!
-
Olá pessoal estou com problema, nao estou conseguindo achar o arquivos de configuração do heimdal mesmo reiniciando ou fazendo logout.
Alguem sabe porque acontece, e qual a solução? -
cristianonix,
Bem vindo ao fórum! :)
Você instalou o pacote seguiu o procedimento?
att,
Marcello Coutinho -
Obrigado , estou feliz em entrar no fórum pfsense, espero ajudar muito e ser ajudado.
Gostaria de agradecer pelo seu excelente trabalho Marcello Coutinho, pelo que voce fez no dansguardian.Muito Fera.Uso pfsense 2.0.1 64bits.
Instalei o seguintes pacotes, e instalei as bibliotecas do do procedimento.
amd64
http://e-sac.siteseguro.ws/packages/amd64/8/All/samba36-3.6.3.tbz
http://e-sac.siteseguro.ws/packages/amd64/8/All/heimdal-1.4_1.tbzReiniciei e fiz logout, mesmo assim não funcionou
Não acho os arquivos de confs do kerberos, só achei o do samba.
Preciso disso para autenticar no dominio, via ntlm. -
Não acho os arquivos de confs do kerberos, só achei o do samba.
Se me recordo bem do tutorial, alguns arquivos são criados na mão.
leia o post de novo com mais atenção ainda.
O procedimento não é trivial mas também não é impossivel :) -
Ok, vou ler novamente.
-
Bom refiz todo o processo, criei os arquivos olha ai, mas deu problema, nao mostra os usuários e grupos utilizando wbinfo -u e grupos, wbinfo -g, mas wbinfo -t e wbinfo -p funciona. Já consegui adicionar o servidor no AD, pois aparece meu netbios name no computers do Ad, só que nao listo usuário no meu servidor linux. SAbe oque pode ser?
cat /etc/krb5.conf
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/ksadmind.log [libdefaults] default_realm = FREESOLUTIONS.INFO dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes default_tgs_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC default_tkt_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC preferred_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC [realms] FREESOLUTIONS.INFO = { kdc = 192.168.100.181:88 admin_server = 192.168.100.181:749 default_domain = domain. } [domain_realm] .domain. = FREESOLUTIONS.INFO domain. = FREESOLUTIONS.INFO [kdc] profile = /var/heimdal/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
cat /usr/local/etc/smb.conf
[global]
netbios name = FREEBSD
workgroup = FREESOLUTIONS
realm = FREESOLUTIONS.INFO
server string = Domain Proxy Server
encrypt passwords = yes
security = ADSwins server = 192.168.100.181
password server = 192.168.100.181
password server = FREESOLUTIONS.INFO
log level = 3
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_SNDBUF=8192
printcap name = /etc/printcap
preferred master = no
dns proxy = no
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
cups options = raw
hosts allow = 192.168–------------
cat /var/heimdal/kadm5.acl
*/administrador@FREESOLUTIONS.INFO *
–-----
cat /var/heimdal/kdc.conf
[kdcdfefaults]
acl_file = /var/heimdal/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/heimdal/kadm5.keytab
v4_mode = noreauth
[libdefaults]
default_realm = FREESOLUTIONS.
[realms]
FREESOLUTIONS. = {
master_key_type = des-cbc-crc
supported_enctypes = des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
des-cbc-crc:v4 des-cbc-crc:afs3
} -
Onde você quer listar estes usuarios?
Se a maquina já esta no ad, coloque as regras do squid,squidguard/dansguardian e pronto.
att,
Marcello Coutinho