Как решить вопрос с единождой аутентификk



  • Добрый день, есть pfsense версии 2, все правила настроены и работают, до этого в компании использовался TMG, ну и сами понимаете LDAP AD работали с ним шикарно, теперь задача приобретает проблемную форму, необходимо сделать так чтобы пользователь введя 1 раз свои учетные данные имел доступ к инету по правилам причем со всех разрешенных приложений, сейчас в браузере приходится постоянно вводить учетные данные а приложения вообще говорят об отсутствии коннекта, как правильно все сделать я не понимаю, извините если повторюсь, на форуме только зарегался, инфы по данному вопросу не нашел, режим прокси обычный не прозрачный. Операционная система FreeBSD.

    Жду ваших предложений, примного благодарен!



  • Это CaptivePortal.



  • Спасибо за быстрый ответ….=) Тогда есть вопрос, возможно ли Captive портал завязать с аутентификацией через LDAP? И как быть с осями андроид и мак, будет ли на них все также прекрасно как и на винде?



  • @PhoenixFV:

    Спасибо за быстрый ответ….=) Тогда есть вопрос, возможно ли Captive портал завязать с аутентификацией через LDAP? И как быть с осями андроид и мак, будет ли на них все также прекрасно как и на винде?

    Там точно есть настройки под радиус-сервер. Посмотрите сами возможности в веб-интерфейсе.



  • Блин покопал я про Captive, что-то не так, может я неправильно объяснил суть… Попробую еще раз... Есть АД, пользюки конектятся в систему по своим учеткам на машинах, как сделать так чтобы, введя 1 раз свои учетные данные и залогинившись, им больше не потребовалось вводить их, скажем в браузере или еще где... И все программы использовали именно эти учетные данные для доступа в инет,и 2-ой вопрос как можно пропустить пользователей, без авторизации но через обычный файрвол к центрам сертификации, просто сейчас когда они коннектятся куда либо им надо вбивать свои учетные данные снова и снова при получении сертификатов.... Подскажите что мне может помочь??? Заранее благодарен.



  • pf и cp такого делать не умеют.
    Максимум, что можно сделать, как вам уже сказали, аутентификация по ldap через radius.
    Если поставить Idle timeout=0 и Hard timeout=0, то по идее пароль нужно будет ввести только 1 раз.
    CP запомнит ip/mac клиента и не будет требовать аутентификацию.
    Но как это все будет работать при смене пароля, ip или mac остается под вопросом.
    Еще и безопасность передачи пароля таким способом под вопросом.
    И кроме аутентификации обычно нужна  еще и авторизация



  • Как вариант можно попробовать связку PPPoE server на Pfsense + NAP(IAS) на Windows. В сквиде можно будет вообще отключить авторизацию. Шейпинг тоже будет работать. Через GPO всем раздать настроенное соединение PPPoE. Ну и стартовый скрипт в котором чтото типа "rasdial internet".


Log in to reply