Navegação com Ad e sem Ad
-
Boa Tarde Pessoal, Depois de alguns anos usando Debian e BrazilFW precisei de um firewall mais robusto e estou migrando para o PFsense.
Tenho uma pequena duvida para tirar.
Estou finalizando meu servidor AD em um windows 2008 R2 para 70 funcionários. Vou colocar o Pfsense conversando com o ad como já vi que e possível. Mais tenho uma duvida. Eu não quero deixar A gerencia com o domínio. Eles vão conseguir navegar sem estar logados via AD?Obrigado pela atenção.
-
boa tarde amigo..acredito que sim… mas fale mais do seu cenário ..dhcp... quem vai mandar? proxy transparent ou nao? so pra gente entender melhor e poder te ajudar...
-
olá!
Existem duas maneiras de colocar um "segmento" da empresa fora do Squid.
Antes no entanto, faço uma recomendação enquanto gestor de TI, já lidei com várias situações parecidas, onde a gerencia ou diretoria da empresa julga-se acima de qualquer política de segurança.
Eu sempre trabalho a questão no sentido da conscientização, pois quanto mais alto o cargo, mais importantes são as informações que esse usuário tem acesso e portanto mais perigoso se torna deixa-lo exposto. O "TI" departamento neste caso, deve esclarecer os riscos e conscientizar a todos das consequencias.
Talvez criar perfis de acesso, mais permissivos para os gestores e manter certos conteudos com potencialidade de quebra de segurança maiores, bloqueados.
O Squid permite autenticação apenas em modo não transparente.
Vamos aos dois cenários:
SQUID usando método nativo de integração com o Active Directory
Meio 1: Criando regras de Firewall para que os IPs destes usuários acessem a internet sem utilizar o Squid
Meio 2: Adicionar um parâmetro no Squid em "Custom Options" definindo o(s) IP(s) que não precisam de autenticação.
Coloque isto antes da integração com o Squid Guard. No caso do Squid3, as integrações ficam em um campo diferente.acl noauth src 192.168.0.x/32;
SQUID autenticando usuários através de NTLM ou Samba4
Como a autenticação é transparente, basta fazer a classificação por grupos, ou simplesmente os coloque como irrestritos nas ACLs do Squid.