PfSense: Squid + DansGuardian + active directory (windows 2008)



  • Salva a tutti, ho iniziato a testare Pfsense per una scuola e ho qualche problema nell'autenticazione con l'active directory:
    funziona tutto ma il primo login della sessione (quando accedo ad un link esterno e mi viene chiesta l'autenticazione) ha un tempo molto lungo di risposta (qualche minuto), poi nei successivi accessi (anche chiudendo il browser e riavviandolo) il tempo di autenticazione è normale, se esco dalla sessione windows (disconnetto l'utente) e rientro mi si ripresenta lo stesso problema, avete qualche consiglio ?
    Grazie a tutti
    Beppe



  • Non è che il tuo domain controller è sovraccarico?
    Fabio



  • Non credo, ho provato più volte, anche alla sera quando la scuola è chiusa.
    Beppe



  • La cosa strana è che nel test di autenticazione la risposta è immediata.
    Avete qualche idea su cosa potrei fare, potrei vedere nei log di squid ?

    Beppe



  • Bhe come priama cosa verificherei che il primary dns server per pf sia il domain controller e se per qualsiasi motivo non lo posso usare userei l'ip della macchina che funge da domain controller.
    Ho 2 cluster in carp di 2 pf ciascuno e faccio le autentiche delle openvpn in Active Directory senza problemi.



  • Era il DNS, mi sembrava di averlo già cambiato ma non era così, quando A/D non funziona è sempre il DNS !
    Grazie
    Siccome in questo modo dopo il logon ogni volta che si apre una connessione con squid (se chiudo e riapro il browser ovviamente) mi chiede il logon con il proxy, mi piacerebbe fare in modo che prenda in automatico le credenziali dell'utente loggato in A/D, mi pare si possa fare con un server radius ma non ho mai provato, cosa consigliate ?
    Grazie ancora
    Beppe



  • Meglio mettere le credenziali tutte le volte. Già il proxy al giorno d'oggi serve a poco dato che basta un google traduttore per eluderlo….ti descrivo un caso che coinvolge 2 persone e un terminale:

    l'utente A si alza dalla sua postazione e va in bagno, l'utente B che è classico collega ignorante e sbruffone vedendo la postazione libera pensa bene di posizionarsi sul pc dell'utente A e navigare a caxxo su siti a caso tipo gazzetta giallozafferano che di per se non sono siti malefici. Bene andando ad analizzare il log di navigazione secondo te l'utente B vine scoperto?  Se l'utente A venisse accusato di perdere tempo guardando siti come giallozafferano e la gazzetta come farebbe a discolparsi?.

    Al contrario fai autenticare tutte le volte e l'utente B mette le mani sul PC dell'utente A e naviga alla caxxo risulta che B usa il pc di utente A e li puoi scatenare l'inferno.



  • Assolutamente vero, però è una scuola (che non vuole dire niente, ma in Italia questo tipo di problematiche nelle scuole sono poco considerate, forse i problemi sono altri….) e sono abituati a non inserire nulla dopo il logon (adesso si connettono tramite ISA), quindi pensavo di usare NTLM che mi pare sia possibile usare con pfsense.
    un saluto
    Beppe


Log in to reply