Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Autorizacion contra Active Directory?

    Español
    3
    13
    4399
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hgarcia last edited by

      Hola a todos.

      He estado tratando de realizar el metodo de autentificacion de usuarios mediante RADIUS para que se paree con Active Directory y asi permitir en las ACL por usuarios y no por ip, pero no he podido lograrlo. Deje el proxy en modo no trasnparente, pero no me resulta. Lo que si me funciona super bien es el portal cautivo con autentificacion por RADIUS, ya que mi red corporativa son mas de 100 usuarios y todos ellos cuando acceden por wifi, ahora para navegar a internet deben ingresar con sus credenciales de red, permitiendome asi realizar reportes y saber exactamente a que sitios acceden.

      Favor su apoyo si es posible, ya que me sera de mucha ayuda para la administracion de los usuarios actuales.

      Saludos.

      1 Reply Last reply Reply Quote 0
      • periko
        periko last edited by

        Tu problema es el squid vs AD?

        Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
        www.bajaopensolutions.com
        https://www.facebook.com/BajaOpenSolutions
        Quieres aprender PfSense, visita mi canal de youtube:
        https://www.youtube.com/c/PedroMorenoBOS

        1 Reply Last reply Reply Quote 0
        • H
          hgarcia last edited by

          …claro periko, porque tengo el server pfsense + mas mi controlador de dominio AD con 100 usuarios aproximadamente. Probe con la configuracion que he estudiado, donde el server en este caso que tiene el IAS es el 10.10.156.6 y ademas este contiene mi DNS y AD.

          El puerto de autentificacion le puse el 3128, y el proxy no lo deje transparente, pero asi todo no me resulta. Lo que si funciona es permitir a usuarios en mis determinadas ACL por direccion ip y autentificacion en el portal cautivo por usuairo de red, pero lo que deseo es que en ves de permitir por Ip sea por usuario.

          Se que estoy a un paso, pero no he podido lograrlo.

          Saludos.

          @periko:

          Tu problema es el squid vs AD?


          1 Reply Last reply Reply Quote 0
          • E
            Enyelber last edited by

            Como estas.? Me gustaría saber si puedes lograrlo… Mi esquema de red es igual pero no se nada de pfsense. Apenas estoy leyendo documentación

            1 Reply Last reply Reply Quote 0
            • H
              hgarcia last edited by

              No me resulta aun, pero seguire indagando.

              Saludos.

              @Enyelber:

              Como estas.? Me gustaría saber si puedes lograrlo… Mi esquema de red es igual pero no se nada de pfsense. Apenas estoy leyendo documentación

              1 Reply Last reply Reply Quote 0
              • H
                hgarcia last edited by

                Aun no logro realizar lo que deseo, sera que es muy compleja la configuracion?

                :(
                Saludos.
                @periko:

                Tu problema es el squid vs AD?

                1 Reply Last reply Reply Quote 0
                • periko
                  periko last edited by

                  Hola, esto yo lo habia hecho pero nunca hice el manual y aqui en el foro alguien tambien habia mostrado algo al respecto, recuerdo que yo use este doc, creo que esta en portugues.

                  http://www.jack.eti.br/www/arquivos/outros_tutoriais/pfsense/autenticacao_grupos_AD_pfsense.pdf

                  Pero con las imagenes se tiene, tendre que ponerme a hacer este tutorial, nomas termino de moverme de casa, espero te sirva, saludos!!!

                  Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
                  www.bajaopensolutions.com
                  https://www.facebook.com/BajaOpenSolutions
                  Quieres aprender PfSense, visita mi canal de youtube:
                  https://www.youtube.com/c/PedroMorenoBOS

                  1 Reply Last reply Reply Quote 0
                  • H
                    hgarcia last edited by

                    Periko.

                    Aplique la configuracion detectando ahora al usuario, pero no me aplico los permisos correspondientes como lo tenia por ip para mis determinadas ACL que tengo habilitada, ya que en una donde tengo ful bloqueo, igual pude acceder a internet.
                    Para eso entiendo que debo configurar el proxy manual en las estaciones de trabajo?. Bueno por ultimo cuando quise navegar me aparecio el mensaje en adjunto.

                    Por ultimo deje la configuracion como estaba con proxy transparente, pero ahora el sistema quedo lento para cargar una pagina, siendo que deje todo como estaba en un comienzo. Reinicie pfsense, pero asi todo lo encuentro lento llegando a tardar 15 segundo por pagina hasta que carga, cosa que antes lo hacia en promedio dentro de 4 a segundos por sitio que visitaba.

                    Saludos.

                    @periko:

                    Hola, esto yo lo habia hecho pero nunca hice el manual y aqui en el foro alguien tambien habia mostrado algo al respecto, recuerdo que yo use este doc, creo que esta en portugues.

                    http://www.jack.eti.br/www/arquivos/outros_tutoriais/pfsense/autenticacao_grupos_AD_pfsense.pdf

                    Pero con las imagenes se tiene, tendre que ponerme a hacer este tutorial, nomas termino de moverme de casa, espero te sirva, saludos!!!

                    ![error navegacion.JPG](/public/imported_attachments/1/error navegacion.JPG)
                    ![error navegacion.JPG_thumb](/public/imported_attachments/1/error navegacion.JPG_thumb)

                    1 Reply Last reply Reply Quote 0
                    • periko
                      periko last edited by

                      Ese mensaje es bien conocido, checa la seccion:

                      Advanced->Admin Access->Disable HTTP_REFERER enforcement check

                      La de proxy manual o automatico que lo puedes configurar atraves de un javascript y tambien hay en la doc como hacerlo, no tiene relacion con las reglas que aplica squid a sus ACL, ya que si no esta configurado como 'Transparente' debes bloquear toda navegacion httos/https y forzar ese trafico atraves de squid asi nadie cruzara.

                      Cuando esos que dices que no aplica los acl, que dice el log de squid(access.log), que pone su usuario o ip o nada?

                      Ejemplo:

                      TCP_MISS/200 2115 GET http://a0.twimg.com/profile_images/3588750695/106a548708e377595621100d69346606_normal.jpeg  USUARIO  o IP DIRECT/93.184.216.169 image/jpeg

                      Quiero pensar que cuando ellos accesan debe pedirles su usuario clave, si se las pide?

                      Saludos.

                      Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
                      www.bajaopensolutions.com
                      https://www.facebook.com/BajaOpenSolutions
                      Quieres aprender PfSense, visita mi canal de youtube:
                      https://www.youtube.com/c/PedroMorenoBOS

                      1 Reply Last reply Reply Quote 0
                      • H
                        hgarcia last edited by

                        Te adjunto el log de squid.

                        Los usuarios cuando acceden a internet les despliega la pagina que tengo habilitada para el portal cautivo. Ellos acceden mediante sus credenciales de red personal funcionando de maravillas. Luego tengo 3 ACL (1 full bloqueo, 2 intermedio y 3 full acceso sin restriccion). La asignacion a cada ACL la hago por Ip la cual tambien funciona muy bien.

                        Ahora como te planteo aplique la configuracion que me enviaste en el documento detectanto al usuario, pero no filtrando por las ACL ya que por ejemplo deje a pepito en full bloqueo (ACL 3), pero pude ver videos y descarga de documento cuando tendria que haber detenido el acceso.

                        Luego volvi atras toda la configuracion como lo tenia originalmente (login por usuario de red y asignar privilegios por ip), pero quedo demasiado lento el sistema al cargar las paginas.

                        Entonces por tratar de mejor como que fue peor.
                        Ahora lo ultimo seria devolver el sistema a un fecha anterior y tener una maquina para hacer pruebas ya que en la que probe es la de produccion y a mi parecer y experiencia siento que esta lento.

                        Gracias de todos modos por tu ayuda y tiempo, ya que me ha permitido conocer nuevas cosas en este gran sistema.

                        @periko:

                        Ese mensaje es bien conocido, checa la seccion:

                        Advanced->Admin Access->Disable HTTP_REFERER enforcement check

                        La de proxy manual o automatico que lo puedes configurar atraves de un javascript y tambien hay en la doc como hacerlo, no tiene relacion con las reglas que aplica squid a sus ACL, ya que si no esta configurado como 'Transparente' debes bloquear toda navegacion httos/https y forzar ese trafico atraves de squid asi nadie cruzara.

                        Cuando esos que dices que no aplica los acl, que dice el log de squid(access.log), que pone su usuario o ip o nada?

                        Ejemplo:

                        TCP_MISS/200 2115 GET http://a0.twimg.com/profile_images/3588750695/106a548708e377595621100d69346606_normal.jpeg  USUARIO  o IP DIRECT/93.184.216.169 image/jpeg

                        Quiero pensar que cuando ellos accesan debe pedirles su usuario clave, si se las pide?

                        Saludos.

                        ![log squid.JPG](/public/imported_attachments/1/log squid.JPG)
                        ![log squid.JPG_thumb](/public/imported_attachments/1/log squid.JPG_thumb)

                        1 Reply Last reply Reply Quote 0
                        • periko
                          periko last edited by

                          Hola, estas usando squid+squidguard?
                            Si es asi en squidguard estoy perdido men…

                          Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
                          www.bajaopensolutions.com
                          https://www.facebook.com/BajaOpenSolutions
                          Quieres aprender PfSense, visita mi canal de youtube:
                          https://www.youtube.com/c/PedroMorenoBOS

                          1 Reply Last reply Reply Quote 0
                          • H
                            hgarcia last edited by

                            mmm claro, entiendo que los datos deben trabajar en conjunto?
                            Squid me permite dejarlo como proxy transparente y squidguard creo las ACL o me perdi?

                            Saludos.

                            @periko:

                            Hola, estas usando squid+squidguard?
                              Si es asi en squidguard estoy perdido men…




                            1 Reply Last reply Reply Quote 0
                            • H
                              hgarcia last edited by

                              Despues que trate de volver el sistema a su origen en modo proxy transparente, el portal cautivo anda demasiado lento al abrir cualquier pagina.
                              Ahora realize un analisis con wireshark y claramente tengo un problema en la red evidenciado en en analisis. Que parametros estaran mal, siendo que he revisado el sistema y lo deje como estaba anteriormente.

                              ????

                              Saludos.

                              ![red internaa.JPG](/public/imported_attachments/1/red internaa.JPG)
                              ![red internaa.JPG_thumb](/public/imported_attachments/1/red internaa.JPG_thumb)

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post