Autorizacion contra Active Directory?



  • Hola a todos.

    He estado tratando de realizar el metodo de autentificacion de usuarios mediante RADIUS para que se paree con Active Directory y asi permitir en las ACL por usuarios y no por ip, pero no he podido lograrlo. Deje el proxy en modo no trasnparente, pero no me resulta. Lo que si me funciona super bien es el portal cautivo con autentificacion por RADIUS, ya que mi red corporativa son mas de 100 usuarios y todos ellos cuando acceden por wifi, ahora para navegar a internet deben ingresar con sus credenciales de red, permitiendome asi realizar reportes y saber exactamente a que sitios acceden.

    Favor su apoyo si es posible, ya que me sera de mucha ayuda para la administracion de los usuarios actuales.

    Saludos.



  • Tu problema es el squid vs AD?



  • …claro periko, porque tengo el server pfsense + mas mi controlador de dominio AD con 100 usuarios aproximadamente. Probe con la configuracion que he estudiado, donde el server en este caso que tiene el IAS es el 10.10.156.6 y ademas este contiene mi DNS y AD.

    El puerto de autentificacion le puse el 3128, y el proxy no lo deje transparente, pero asi todo no me resulta. Lo que si funciona es permitir a usuarios en mis determinadas ACL por direccion ip y autentificacion en el portal cautivo por usuairo de red, pero lo que deseo es que en ves de permitir por Ip sea por usuario.

    Se que estoy a un paso, pero no he podido lograrlo.

    Saludos.

    @periko:

    Tu problema es el squid vs AD?




  • Como estas.? Me gustaría saber si puedes lograrlo… Mi esquema de red es igual pero no se nada de pfsense. Apenas estoy leyendo documentación



  • No me resulta aun, pero seguire indagando.

    Saludos.

    @Enyelber:

    Como estas.? Me gustaría saber si puedes lograrlo… Mi esquema de red es igual pero no se nada de pfsense. Apenas estoy leyendo documentación



  • Aun no logro realizar lo que deseo, sera que es muy compleja la configuracion?

    :(
    Saludos.
    @periko:

    Tu problema es el squid vs AD?



  • Hola, esto yo lo habia hecho pero nunca hice el manual y aqui en el foro alguien tambien habia mostrado algo al respecto, recuerdo que yo use este doc, creo que esta en portugues.

    http://www.jack.eti.br/www/arquivos/outros_tutoriais/pfsense/autenticacao_grupos_AD_pfsense.pdf

    Pero con las imagenes se tiene, tendre que ponerme a hacer este tutorial, nomas termino de moverme de casa, espero te sirva, saludos!!!



  • Periko.

    Aplique la configuracion detectando ahora al usuario, pero no me aplico los permisos correspondientes como lo tenia por ip para mis determinadas ACL que tengo habilitada, ya que en una donde tengo ful bloqueo, igual pude acceder a internet.
    Para eso entiendo que debo configurar el proxy manual en las estaciones de trabajo?. Bueno por ultimo cuando quise navegar me aparecio el mensaje en adjunto.

    Por ultimo deje la configuracion como estaba con proxy transparente, pero ahora el sistema quedo lento para cargar una pagina, siendo que deje todo como estaba en un comienzo. Reinicie pfsense, pero asi todo lo encuentro lento llegando a tardar 15 segundo por pagina hasta que carga, cosa que antes lo hacia en promedio dentro de 4 a segundos por sitio que visitaba.

    Saludos.

    @periko:

    Hola, esto yo lo habia hecho pero nunca hice el manual y aqui en el foro alguien tambien habia mostrado algo al respecto, recuerdo que yo use este doc, creo que esta en portugues.

    http://www.jack.eti.br/www/arquivos/outros_tutoriais/pfsense/autenticacao_grupos_AD_pfsense.pdf

    Pero con las imagenes se tiene, tendre que ponerme a hacer este tutorial, nomas termino de moverme de casa, espero te sirva, saludos!!!

    ![error navegacion.JPG](/public/imported_attachments/1/error navegacion.JPG)
    ![error navegacion.JPG_thumb](/public/imported_attachments/1/error navegacion.JPG_thumb)



  • Ese mensaje es bien conocido, checa la seccion:

    Advanced->Admin Access->Disable HTTP_REFERER enforcement check

    La de proxy manual o automatico que lo puedes configurar atraves de un javascript y tambien hay en la doc como hacerlo, no tiene relacion con las reglas que aplica squid a sus ACL, ya que si no esta configurado como 'Transparente' debes bloquear toda navegacion httos/https y forzar ese trafico atraves de squid asi nadie cruzara.

    Cuando esos que dices que no aplica los acl, que dice el log de squid(access.log), que pone su usuario o ip o nada?

    Ejemplo:

    TCP_MISS/200 2115 GET http://a0.twimg.com/profile_images/3588750695/106a548708e377595621100d69346606_normal.jpeg  USUARIO  o IP DIRECT/93.184.216.169 image/jpeg

    Quiero pensar que cuando ellos accesan debe pedirles su usuario clave, si se las pide?

    Saludos.



  • Te adjunto el log de squid.

    Los usuarios cuando acceden a internet les despliega la pagina que tengo habilitada para el portal cautivo. Ellos acceden mediante sus credenciales de red personal funcionando de maravillas. Luego tengo 3 ACL (1 full bloqueo, 2 intermedio y 3 full acceso sin restriccion). La asignacion a cada ACL la hago por Ip la cual tambien funciona muy bien.

    Ahora como te planteo aplique la configuracion que me enviaste en el documento detectanto al usuario, pero no filtrando por las ACL ya que por ejemplo deje a pepito en full bloqueo (ACL 3), pero pude ver videos y descarga de documento cuando tendria que haber detenido el acceso.

    Luego volvi atras toda la configuracion como lo tenia originalmente (login por usuario de red y asignar privilegios por ip), pero quedo demasiado lento el sistema al cargar las paginas.

    Entonces por tratar de mejor como que fue peor.
    Ahora lo ultimo seria devolver el sistema a un fecha anterior y tener una maquina para hacer pruebas ya que en la que probe es la de produccion y a mi parecer y experiencia siento que esta lento.

    Gracias de todos modos por tu ayuda y tiempo, ya que me ha permitido conocer nuevas cosas en este gran sistema.

    @periko:

    Ese mensaje es bien conocido, checa la seccion:

    Advanced->Admin Access->Disable HTTP_REFERER enforcement check

    La de proxy manual o automatico que lo puedes configurar atraves de un javascript y tambien hay en la doc como hacerlo, no tiene relacion con las reglas que aplica squid a sus ACL, ya que si no esta configurado como 'Transparente' debes bloquear toda navegacion httos/https y forzar ese trafico atraves de squid asi nadie cruzara.

    Cuando esos que dices que no aplica los acl, que dice el log de squid(access.log), que pone su usuario o ip o nada?

    Ejemplo:

    TCP_MISS/200 2115 GET http://a0.twimg.com/profile_images/3588750695/106a548708e377595621100d69346606_normal.jpeg  USUARIO  o IP DIRECT/93.184.216.169 image/jpeg

    Quiero pensar que cuando ellos accesan debe pedirles su usuario clave, si se las pide?

    Saludos.

    ![log squid.JPG](/public/imported_attachments/1/log squid.JPG)
    ![log squid.JPG_thumb](/public/imported_attachments/1/log squid.JPG_thumb)



  • Hola, estas usando squid+squidguard?
      Si es asi en squidguard estoy perdido men…



  • mmm claro, entiendo que los datos deben trabajar en conjunto?
    Squid me permite dejarlo como proxy transparente y squidguard creo las ACL o me perdi?

    Saludos.

    @periko:

    Hola, estas usando squid+squidguard?
      Si es asi en squidguard estoy perdido men…






  • Despues que trate de volver el sistema a su origen en modo proxy transparente, el portal cautivo anda demasiado lento al abrir cualquier pagina.
    Ahora realize un analisis con wireshark y claramente tengo un problema en la red evidenciado en en analisis. Que parametros estaran mal, siendo que he revisado el sistema y lo deje como estaba anteriormente.

    ????

    Saludos.

    ![red internaa.JPG](/public/imported_attachments/1/red internaa.JPG)
    ![red internaa.JPG_thumb](/public/imported_attachments/1/red internaa.JPG_thumb)


Log in to reply