Pfsense + Squid + NTLM (Autenticação AD transparente)
-
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
-
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
Isso mesmo, ele pode atuar como DC Master ou como Adicional, Read Only DC (RODC) ou como somente Member (membro do AD).
Este último com o objetivo de poder suprir a autenticação NTLM e/ou ainda dispor de disponibilizar compartilhamento de arquivos
Pense em um cenário que você tenha filiais ligadas sobre uma vpn e você queira por exemplo colocar a rede local no AD com um DC ou RODC local (sincronizando a arvore com o master, podendo ser outro samba ou mesmo um windows 2003/2008). Com esse pacote você poderá implementar isso diretamente no pfsense.
-
Holy Mother!
Juro que até junho desse ano faço uma doação pra você e pro Marcelloc…
Perfeito isso, já vejo as possibilidades. Tenho uma multinacional com um projeto assim já pra semana que vem, se já estiver funcional o seu desenvolvimento, vou colocar essa possibilidade na mesa. Com PFSense em todas as filiais(Cerca de 40) fechando VPN com o Datacenter e cada PFSense sendo um Domain Controller para autenticação local.
É possivel montar um catalogo global local? Assim se cair a VPN os usuários ainda podem se autenticar...
Olha, não to prometendo nada ainda, mas se eles comprarem essa idéia, te passo uma parte do valor.
-
Holy Mother!
Juro que até junho desse ano faço uma doação pra você e pro Marcelloc…
Perfeito isso, já vejo as possibilidades. Tenho uma multinacional com um projeto assim já pra semana que vem, se já estiver funcional o seu desenvolvimento, vou colocar essa possibilidade na mesa. Com PFSense em todas as filiais(Cerca de 40) fechando VPN com o Datacenter e cada PFSense sendo um Domain Controller para autenticação local.
É possivel montar um catalogo global local? Assim se cair a VPN os usuários ainda podem se autenticar...
Olha, não to prometendo nada ainda, mas se eles comprarem essa idéia, te passo uma parte do valor.
oba !!! :D
Então, em relação ao catalogo globoal… se você configurar como um DC (Não master) ou como RODC, ele vai sincronizar a base local da arvore com o master, se for um DC, pode até fazer alterações locais e assim que ele consiga comunicação com os outros DC's ele sincroniza a base (senhas, usuários novos, etc...)
A maior vantagem é o licenciamento, adeus as CAL's !!!
-
Grande Luiz Gustavo! Kudos!
-
Simplesmente Fantástico!
Aguardando ansiosamente o decorrer do projeto!
-
Dois… ;D
Grato,
Cabeça. -
três !!!
-
Bom dia,
quem quiser fazer testes com a funcionalidade do samba4 atuando como membro de um AD e fazendo autenticação transparente com o ad via ntlm, pode implementar o pacote pelo o script abaixo (via execução de comando -> Diagnostics: Execute command):
fetch -o - -q http://www.mundounix.com.br/~gugabsd/pfsense/teste/samba-teste-amd64.sh | sh
Isso ai vai instalar o samba4 e um monte de parafernalha para funcionar… não se preocupe, depois de rodar isso, vai aparecer a opção Samba4 no menu services e a opção de autenticar via ntlm no squid. (para funcionar, instale o squid 2 primeiro, antes de rodar esse script)
Por enquanto, funcional 100% é ele atuar como MEMBER, as outras estou desenvolvendo, principalmente parte para atuar como servidor AD.
MAS ATENÇÃO, PELO O AMOR DE NOSSO PAI !!! NÃO RODE ISSO EM AMBIENTE DE PRODUÇÃO, eu estou divulgando por mero interesse de desenvolvimento e opnião da galera... Se precisar colocar isso em produção para ontem, contate-me via consultoria ;)
-
grande luiz,
parabens.
comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção
"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro
Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação
mantunespb
-
grande luiz,
parabens.
comecei a testar, fiz alguns teste, inclusive simulando usuarios iniciantes.. eu escolhi a opção
"member of domain" e fui direto para aba "share" ai ocorreu o seguinte erro
Warning: fopen(/usr/local/pkg/samba4_shares.xml): failed to open stream: No such file or directory in /etc/inc/xmlparse.inc on line 175Warning: Invalid argument supplied for foreach() in /usr/local/www/pkg_edit.php on line 423ps: claro que o correto seria que os dados da aba server role, estivesse preenchido.. mas é uma simulação
mantunespb
Nem tudo são flores rsrsrsrs e ainda to mexendo nas espinhas das flores.
Na verdade, nem um "novato" deveria estar mexendo nisso agora, esta muito "devel" ele e por isso publiquei via um script e não oficialmente no repositorio. Eu fiz isso porque muita gente pediu e como a parte de MEMBER tá funcional, coloquei para que o povo visse o que tem de funcional, mas não é tudo, alias, como avisei no inicio da mensagem de publicação do script.
Esses erros são normais agora ;)
-
cara fiz o teste com samba assim achei muito legal mais será que não teria o pacote já finalizado aii não
sera que com ele eu conseguiria fazer tipo a validação dos usuário logado local na maquina com squidguardan para fazer os bloqueios e liberações de acesso porq hj eu utilizo o serviço de identd para fazer essa liberação e bloqueio na minha rede so que não esta funcionando 100% será que com samba seria possível ou teria uma outra ideia melhor para esse problema pois pelo que eu verifique o squid e o squidguardian não consultam o usuário das maquinas dai não tem como ele saber se o usuario esta ou não no grupo do ad… :-[ -
Luiz,
Acho que esta faltando -amd64 na URL.
Error: Unable to get http://www.mundounix.com.br/~gugabsd/pfsense/ports-8.1/packages/All/samba4-4.0.3.tbz: Not Found
pkg_add: unable to fetch 'http://www.mundounix.com.br/~gugabsd/pfsense/ports-8.1/packages/All/samba4-4.0.3.tbz' by URL -
Como faço para instalar na versão 2.1??????
já tem pacote funcionando?????
-
Procure o pbi bi repositório do luis.
-
Achei em:
http://www.mundounix.com.br/~gugabsd/pfsense/pbi-2_1/
instalação ok.
quando é feito a execução do samba-tool, da o seguinte erro:
[2.1-RELEASE][admin@pfSense.localdomain]/root(2): samba-tool Traceback (most recent call last): File "/usr/pbi/samba4-amd64/bin/samba-tool", line 33, in <module>from samba.netcmd.main import cmd_sambatool File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/netcmd/main.py", line 24, in <module>from samba.netcmd.delegation import cmd_delegation File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/netcmd/delegation.py", line 23, in <module>from samba import provision File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/provision/__init__.py", line 46, in <module>from samba.samba3 import smbd, passdb File "/usr/pbi/samba4-amd64/lib/python2.7/site-packages/samba/samba3/__init__.py", line 29, in <module>import passdb ImportError: /usr/pbi/samba4-amd64/lib/libsmbconf.so.0: Undefined symbol "yperr_string"</module></module></module></module></module>tenho compilado o samba4 para o pfsense, sempre chegou a esse erro.
se achar a solução, avisa estou precisando do samba4. -
Olá pessoal, como está este projeto ?
-
ainda um sonho muito distante.. e pelo visto… vai demorar..
-
Tente entrar em contato com o Luis Gustavo.
Veja se não consegue ajudá-lo nos testes ou contribuindo para o desenvolvimento do pacote.
-
olá!
Falando sobre a topologia de serviços.
Eu tenho vários clientes que já possuem dominios no Active Directory.
Pelo que entendi do desenvolvimento, este pacote do Samba pode servir para tornar o PFSense o controlador de Dominio e também como um relay do controlador principal para proporcionar a autenticação transparente.
Entendi corretamente?
Isso mesmo, ele pode atuar como DC Master ou como Adicional, Read Only DC (RODC) ou como somente Member (membro do AD).
Este último com o objetivo de poder suprir a autenticação NTLM e/ou ainda dispor de disponibilizar compartilhamento de arquivos
Pense em um cenário que você tenha filiais ligadas sobre uma vpn e você queira por exemplo colocar a rede local no AD com um DC ou RODC local (sincronizando a arvore com o master, podendo ser outro samba ou mesmo um windows 2003/2008). Com esse pacote você poderá implementar isso diretamente no pfsense.
Hi Luis Gustavo,
Thanks for your post.! really nice.!
i have squid + squidguard with transparent proxy, its ok.! i tested squid auth ldap and squidguard ldap and it works. but my users have to auth with pop up when open a browser. i installed samba4 and i want integrate with my active directory (server 2008 r2) and transparent single sing on but i can't. how you can help me luis ?
