PfSense: Squid + DansGuardian + active directory (windows 2008)



  • Salva a tutti, ho iniziato a testare Pfsense per una scuola e ho qualche problema nell'autenticazione con l'active directory:
    funziona tutto ma il primo login della sessione (quando accedo ad un link esterno e mi viene chiesta l'autenticazione) ha un tempo molto lungo di risposta (qualche minuto), poi nei successivi accessi (anche chiudendo il browser e riavviandolo) il tempo di autenticazione è normale, se esco dalla sessione windows (disconnetto l'utente) e rientro mi si ripresenta lo stesso problema, avete qualche consiglio ?
    Grazie a tutti
    Beppe



  • Non è che il tuo domain controller è sovraccarico?
    Fabio



  • Non credo, ho provato più volte, anche alla sera quando la scuola è chiusa.
    Beppe



  • La cosa strana è che nel test di autenticazione la risposta è immediata.
    Avete qualche idea su cosa potrei fare, potrei vedere nei log di squid ?

    Beppe



  • Bhe come priama cosa verificherei che il primary dns server per pf sia il domain controller e se per qualsiasi motivo non lo posso usare userei l'ip della macchina che funge da domain controller.
    Ho 2 cluster in carp di 2 pf ciascuno e faccio le autentiche delle openvpn in Active Directory senza problemi.



  • Era il DNS, mi sembrava di averlo già cambiato ma non era così, quando A/D non funziona è sempre il DNS !
    Grazie
    Siccome in questo modo dopo il logon ogni volta che si apre una connessione con squid (se chiudo e riapro il browser ovviamente) mi chiede il logon con il proxy, mi piacerebbe fare in modo che prenda in automatico le credenziali dell'utente loggato in A/D, mi pare si possa fare con un server radius ma non ho mai provato, cosa consigliate ?
    Grazie ancora
    Beppe



  • Meglio mettere le credenziali tutte le volte. Già il proxy al giorno d'oggi serve a poco dato che basta un google traduttore per eluderlo….ti descrivo un caso che coinvolge 2 persone e un terminale:

    l'utente A si alza dalla sua postazione e va in bagno, l'utente B che è classico collega ignorante e sbruffone vedendo la postazione libera pensa bene di posizionarsi sul pc dell'utente A e navigare a caxxo su siti a caso tipo gazzetta giallozafferano che di per se non sono siti malefici. Bene andando ad analizzare il log di navigazione secondo te l'utente B vine scoperto?  Se l'utente A venisse accusato di perdere tempo guardando siti come giallozafferano e la gazzetta come farebbe a discolparsi?.

    Al contrario fai autenticare tutte le volte e l'utente B mette le mani sul PC dell'utente A e naviga alla caxxo risulta che B usa il pc di utente A e li puoi scatenare l'inferno.



  • Assolutamente vero, però è una scuola (che non vuole dire niente, ma in Italia questo tipo di problematiche nelle scuole sono poco considerate, forse i problemi sono altri….) e sono abituati a non inserire nulla dopo il logon (adesso si connettono tramite ISA), quindi pensavo di usare NTLM che mi pare sia possibile usare con pfsense.
    un saluto
    Beppe