PfSense: Squid + DansGuardian + active directory (windows 2008)
-
Salva a tutti, ho iniziato a testare Pfsense per una scuola e ho qualche problema nell'autenticazione con l'active directory:
funziona tutto ma il primo login della sessione (quando accedo ad un link esterno e mi viene chiesta l'autenticazione) ha un tempo molto lungo di risposta (qualche minuto), poi nei successivi accessi (anche chiudendo il browser e riavviandolo) il tempo di autenticazione è normale, se esco dalla sessione windows (disconnetto l'utente) e rientro mi si ripresenta lo stesso problema, avete qualche consiglio ?
Grazie a tutti
Beppe -
Non è che il tuo domain controller è sovraccarico?
Fabio -
Non credo, ho provato più volte, anche alla sera quando la scuola è chiusa.
Beppe -
La cosa strana è che nel test di autenticazione la risposta è immediata.
Avete qualche idea su cosa potrei fare, potrei vedere nei log di squid ?Beppe
-
Bhe come priama cosa verificherei che il primary dns server per pf sia il domain controller e se per qualsiasi motivo non lo posso usare userei l'ip della macchina che funge da domain controller.
Ho 2 cluster in carp di 2 pf ciascuno e faccio le autentiche delle openvpn in Active Directory senza problemi. -
Era il DNS, mi sembrava di averlo già cambiato ma non era così, quando A/D non funziona è sempre il DNS !
Grazie
Siccome in questo modo dopo il logon ogni volta che si apre una connessione con squid (se chiudo e riapro il browser ovviamente) mi chiede il logon con il proxy, mi piacerebbe fare in modo che prenda in automatico le credenziali dell'utente loggato in A/D, mi pare si possa fare con un server radius ma non ho mai provato, cosa consigliate ?
Grazie ancora
Beppe -
Meglio mettere le credenziali tutte le volte. Già il proxy al giorno d'oggi serve a poco dato che basta un google traduttore per eluderlo….ti descrivo un caso che coinvolge 2 persone e un terminale:
l'utente A si alza dalla sua postazione e va in bagno, l'utente B che è classico collega ignorante e sbruffone vedendo la postazione libera pensa bene di posizionarsi sul pc dell'utente A e navigare a caxxo su siti a caso tipo gazzetta giallozafferano che di per se non sono siti malefici. Bene andando ad analizzare il log di navigazione secondo te l'utente B vine scoperto? Se l'utente A venisse accusato di perdere tempo guardando siti come giallozafferano e la gazzetta come farebbe a discolparsi?.
Al contrario fai autenticare tutte le volte e l'utente B mette le mani sul PC dell'utente A e naviga alla caxxo risulta che B usa il pc di utente A e li puoi scatenare l'inferno.
-
Assolutamente vero, però è una scuola (che non vuole dire niente, ma in Italia questo tipo di problematiche nelle scuole sono poco considerate, forse i problemi sono altri….) e sono abituati a non inserire nulla dopo il logon (adesso si connettono tramite ISA), quindi pensavo di usare NTLM che mi pare sia possibile usare con pfsense.
un saluto
Beppe
