Pfsense + Squid + NTLM (Autenticação AD transparente)
-
Tá chegando… to terminando o package com o samba4 que dentre outras coisas vai poder se conectar como "MEMBER" de uma rede Active Directory e autenticar o proxy de forma transparente via ntlm, ou seja, adeus aos popups de autenticação no broswer !
-
Vida longa ao software livre! Desta forma reduzimos em vários passos os tutoriais para ter o ntlm no squid do pfsense.
Parabén de novo! :)
-
Lindo, lindo e lindo! :D
Parabéns, Guga!
-
Sem dúvida uma grande feature Luiz…
Parabéns novamente pelo trabalho! ;)
Abraços!
Jack -
É real isso? :o :o :o
Brincadeira. ;D
Parabéns, é uma feature que concerteza vai acrescentar e muito no PFSense.
Perguntinha, essa compilação do Samba e do Squid, você conseguiu que faça parte da árvore oficial?
-
É real isso? :o :o :o
Brincadeira. ;D
Parabéns, é uma feature que concerteza vai acrescentar e muito no PFSense.
Perguntinha, essa compilação do Samba e do Squid, você conseguiu que faça parte da árvore oficial?
Opa !! funciona !, inclusive já tenho vários ambientes em produção com ele e como Domain Controller também ;) Eu só não tenho ainda a gui completa de configuração. Mas que já esta em desenvolvimento -> https://www.diigo.com/item/image/3lt7m/bw9t
E sim.. a compilação do samba4 é da base de ports do Freebsd (já esta disponível no ports do projeto) e vai entrar na lista de packages do pfsense (eu tenho commit no projeto)
Algumas coisas eu trato como patch (exemplo do squidguard) por alterarem muito a estrutura do package, dai então eu preciso da permissão do autor do package para que isso possa ser validado, além de claro, ser testado para virar oficial.
Uma outra coisa que vale salientar, é em relação ao uso do Active Directory no pfsense, principalmente quando ele atua como Domain Controller… Existe a questão de não usar isso em um ambiente de firewal ou como UTM. Pois bem... com esse pacote, considere o uso do Pfsense como uma instalação nova no seu ambiente de rede para atuar como um Controle de dominio (além do seu habitual firewall pfsense em outro hardware). Isso mesmo, o Pfsense atuando também como um serviço a mais na rede e com todo o poder que as ferramentas nativas dele pode oferecer !
Abraços
-
Boa noite á todos!
Novidades?
Grato,
Cabeça. -
Novidades?
Olá, então.. eu to dando conta aqui das minhas demandas e ainda não tive tempo hábil para terminar a gui, mas boa parte dela esta funcional, são mais questões de detalhes e acertos, assim como testes.
Assim que a gui estiver funcional, eu subo na git do projeto para dispor no pfsense.
A principio, segue um screencast que fiz sobre ele:
http://www.youtube.com/watch?v=YhlURO2U_0E
Lembrando que a estrutura de funcionamento do samba4 e ntlm já esta totalmente funcional no pfsense, inclusive eu tenho clientes com elas em produção via consultoria.
Quanto a filtragem via squidguard, eu fiz um patch que esta funcional, eu disponibilizei aqui no fórum:
http://forum.pfsense.org/index.php/topic,59242.0.html
Abraços
-
Obrigado, Luiz Gustavo!
Assim como a estrutura, o Gui também está ficando show de bola. Mais uma vez, meus parabéns!
Grato,
Cabeça. -
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
-
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
Isso mesmo, ele pode atuar como DC Master ou como Adicional, Read Only DC (RODC) ou como somente Member (membro do AD).
Este último com o objetivo de poder suprir a autenticação NTLM e/ou ainda dispor de disponibilizar compartilhamento de arquivos
Pense em um cenário que você tenha filiais ligadas sobre uma vpn e você queira por exemplo colocar a rede local no AD com um DC ou RODC local (sincronizando a arvore com o master, podendo ser outro samba ou mesmo um windows 2003/2008). Com esse pacote você poderá implementar isso diretamente no pfsense.
-
Holy Mother!
Juro que até junho desse ano faço uma doação pra você e pro Marcelloc…
Perfeito isso, já vejo as possibilidades. Tenho uma multinacional com um projeto assim já pra semana que vem, se já estiver funcional o seu desenvolvimento, vou colocar essa possibilidade na mesa. Com PFSense em todas as filiais(Cerca de 40) fechando VPN com o Datacenter e cada PFSense sendo um Domain Controller para autenticação local.
É possivel montar um catalogo global local? Assim se cair a VPN os usuários ainda podem se autenticar...
Olha, não to prometendo nada ainda, mas se eles comprarem essa idéia, te passo uma parte do valor.
-
Holy Mother!
Juro que até junho desse ano faço uma doação pra você e pro Marcelloc…
Perfeito isso, já vejo as possibilidades. Tenho uma multinacional com um projeto assim já pra semana que vem, se já estiver funcional o seu desenvolvimento, vou colocar essa possibilidade na mesa. Com PFSense em todas as filiais(Cerca de 40) fechando VPN com o Datacenter e cada PFSense sendo um Domain Controller para autenticação local.
É possivel montar um catalogo global local? Assim se cair a VPN os usuários ainda podem se autenticar...
Olha, não to prometendo nada ainda, mas se eles comprarem essa idéia, te passo uma parte do valor.
oba !!! :D
Então, em relação ao catalogo globoal… se você configurar como um DC (Não master) ou como RODC, ele vai sincronizar a base local da arvore com o master, se for um DC, pode até fazer alterações locais e assim que ele consiga comunicação com os outros DC's ele sincroniza a base (senhas, usuários novos, etc...)
A maior vantagem é o licenciamento, adeus as CAL's !!!
-
Grande Luiz Gustavo! Kudos!
-
Simplesmente Fantástico!
Aguardando ansiosamente o decorrer do projeto!
-
Dois… ;D
Grato,
Cabeça. -
três !!!
-
Bom dia,
quem quiser fazer testes com a funcionalidade do samba4 atuando como membro de um AD e fazendo autenticação transparente com o ad via ntlm, pode implementar o pacote pelo o script abaixo (via execução de comando -> Diagnostics: Execute command):
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/teste/samba-teste-amd64.sh | sh
Isso ai vai instalar o samba4 e um monte de parafernalha para funcionar… não se preocupe, depois de rodar isso, vai aparecer a opção Samba4 no menu services e a opção de autenticar via ntlm no squid. (para funcionar, instale o squid 2 primeiro, antes de rodar esse script)
Por enquanto, funcional 100% é ele atuar como MEMBER, as outras estou desenvolvendo, principalmente parte para atuar como servidor AD.
MAS ATENÇÃO, PELO O AMOR DE NOSSO PAI !!! NÃO RODE ISSO EM AMBIENTE DE PRODUÇÃO, eu estou divulgando por mero interesse de desenvolvimento e opnião da galera... Se precisar colocar isso em produção para ontem, contate-me via consultoria ;)
-
grande luiz,
parabens.
comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção
"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro
Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação
mantunespb
-
grande luiz,
parabens.
comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção
"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro
Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação
mantunespb
Nem tudo são flores rsrsrsrs e ainda to mexendo nas espinhas das flores.
Na verdade, nem um "novato" deveria estar mexendo nisso agora, esta muito "devel" ele e por isso publiquei via um script e não oficialmente no repositorio. Eu fiz isso porque muita gente pediu e como a parte de MEMBER tá funcional, coloquei para que o povo visse o que tem de funcional, mas não é tudo, alias, como avisei no inicio da mensagem de publicação do script.
Esses erros são normais agora ;)
