Navegação com Ad e sem Ad



  • Boa Tarde Pessoal, Depois de alguns anos usando Debian e BrazilFW precisei de um firewall mais robusto e estou migrando para o PFsense.
    Tenho uma pequena duvida para tirar.
    Estou finalizando meu servidor AD em um windows 2008 R2 para 70 funcionários. Vou colocar o Pfsense conversando com o ad como já vi que e possível. Mais tenho uma duvida. Eu não quero deixar A gerencia com o domínio. Eles vão conseguir navegar sem estar logados via AD?

    Obrigado pela atenção.



  • boa tarde amigo..acredito que sim… mas fale mais do seu cenário ..dhcp... quem vai mandar? proxy transparent ou nao? so pra gente entender melhor e poder te ajudar...



  • olá!

    Existem duas maneiras de colocar um "segmento" da empresa fora do Squid.

    Antes no entanto, faço uma recomendação enquanto gestor de TI, já lidei com várias situações parecidas, onde a gerencia ou diretoria da empresa julga-se acima de qualquer política de segurança.

    Eu sempre trabalho a questão no sentido da conscientização, pois quanto mais alto o cargo, mais importantes são as informações que esse usuário tem acesso e portanto mais perigoso se torna deixa-lo exposto. O "TI" departamento neste caso, deve esclarecer os riscos e conscientizar a todos das consequencias.

    Talvez criar perfis de acesso, mais permissivos para os gestores e manter certos conteudos com potencialidade de quebra de segurança maiores, bloqueados.

    O Squid permite autenticação apenas em modo não transparente.

    Vamos aos dois cenários:

    SQUID usando método nativo de integração com o Active Directory
    Meio 1: Criando regras de Firewall para que os IPs destes usuários acessem a internet sem utilizar o Squid
    Meio 2: Adicionar um parâmetro no Squid em "Custom Options" definindo o(s) IP(s) que não precisam de autenticação.
    Coloque isto antes da integração com o Squid Guard. No caso do Squid3, as integrações ficam em um campo diferente.

    
    acl noauth src 192.168.0.x/32;
    
    

    SQUID autenticando usuários através de NTLM ou Samba4
    Como a autenticação é transparente, basta fazer a classificação por grupos, ou simplesmente os coloque como irrestritos nas ACLs do Squid.


Log in to reply