Forum

pfsense Radius da L...
 
Bildirimler
Hepsini Temizle

pfsense Radius da LDAP ayarları

25 Yazılar
6 Üyeler
0 Reactions
1,749 Görüntüleme
(@HikmetTUNGA)
Gönderiler: 9
Active Member
Konu başlatıcı
 

pfsense 2.0 üzerinde freeradius ve captive portal birlikte çalışıyor. freeradius üzerindeki kullanıcılar ile internete giriş yapılabiliyor. ancak benim istidiğim radius kullanıcıları active directory kurulu diğer serverdan alsın. freeradiusun ayarlarında LDAP sekmesi bulunmakta burdaki sekme ile active directorye bağlanıp kullanıcı kontrolü buradan yapılabilirmi. yapılırsa eğer ayarları nasıl olacak. yardımlarınız için şimdiden teşşekkürler. 

 
Gönderildi : 12/03/2012 15:08

(@serkandursun)
Gönderiler: 177
Reputable Member
 

@Tunga merhaba Pfsense forumdada belirtmiştim. Yukarıda belirttiğin işlemleri yapman freeRadius ile şu an için pek mümkün görünmüyor. FreeRadius ile AccessPointler'de WPA/WPA2+Radius doğrulaması kullanarak kullanıcıların AD kullanıcı ve şifreleri ile AccessPointlere bağlanmasını gerçekleştirebilirsin. Burdan gerekli bir döküman mevcut https://docs.google.com/document/d/1UDg8Rt5wN_pGoepJyKTlAAnQdJgAsNXSrX3vkQu15DE/edit?pli=1

 
Gönderildi : 13/03/2012 12:07

(@erdemozyurt)
Gönderiler: 13
Active Member
 

Merhaba, 

benzer bir sorunla bende karşı karşıyayım.

yapıda 2008 server üzerinde active directory kurulu

firewall olarak pfSense kullanıyorum

kullanıcılar thin clientler ile sanallaştırılmış sunucular üzerine bağlanıp bu sunucular üzerinden internete çıkış yapıyorlar, ben ise pfsense üzerinden yalnızca thin clientlerin bağlı olduğu sunucuyu görebiliyor/kısıtlama uygulayabiliyorum.

 

yapmak istediğim şey ise kullanıcı bazlı kısıtlama/izleme/loglama yapabilmek. 

captive portal kullanıcı isimlerini RADIUS Authentication yoluyla active directoryden çekip giriş yapsınlar diye;

Active Directory sunucusu üzerine ias (nap) kurdum,

DNS üzerine pfSense için A kaydı oluşturdum, 

RADIUS Client olarak pfSense makinayı tanımladım,

Shared Secret tanımladım,

identifier ve group olarak Network Policies belirledim. 

fakat bir türlü başarılı bir yapılandırma yapamadım, konu ile ilgili tecrübelerinizi ve önerilerinizi paylaşırsanız çok sevinirim.

 
Gönderildi : 28/03/2012 01:16

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Radius tarafında yapılması gereken bir kaç küçük ayar daha var, aşağıda videosunu paylaştım :

http://www.alperyazgan.com/?p=129  

 
Gönderildi : 28/03/2012 01:43

(@serkandursun)
Gönderiler: 177
Reputable Member
 

Alper hocam eline sağlık güzel bir anlatım olmuş

 
Gönderildi : 28/03/2012 02:26

(@erdemozyurt)
Gönderiler: 13
Active Member
 

burda belirtilenleri yaptım fakat tekrar izleyerek adım adım kontrol edeyim, muhakkak atladığım bir yer olmalı. çok teşekkür ederim, tam olarak istediğim şeydi.

 
Gönderildi : 28/03/2012 03:24

(@erdemozyurt)
Gönderiler: 13
Active Member
 

mevcut ayarlarımı silip tekrar videoda belirtildiği şekilde girmeme rağmen login sayfası gelmiyor malesef. 

dc üzerinde 1812 ve 1813 portlarına izin verdim güvenlik duvarından, hatta komple kapattım güvenlik duvarını, durum yine aynı.

 

kullanmış olduğum pfsense 2.0.1 versiyon, DC 2008r2

pfsense ve dc birbirini pingleyebiliyor.

captive portalı devre dışı bıraktığımda sorun normal olarak ortadan kalkıyor.

sorun nereden kaynaklanıyor olabilir. 

 
Gönderildi : 28/03/2012 04:24

(@erdemozyurt)
Gönderiler: 13
Active Member
 

pfSense Captive Portal sayfasında, login page i yüklediğimiz portal page contents bölümü altında bulunan "view current page" i tıkladığımda login sayfası geliyor, dial up izni verdiğim kullanıcının bilgilerini girdiğimde başarılı bir şekilde login olabiliyor ve internete çıkış yapabiliyorum. aynı şekilde farklı clientler üzerindende bir browser açıp internete çıkmayı denediğimde login sayfası otomatik olarak gelmiyor! ancak pfsense_ip:8000 port yazdığımda login ekranı alıp başarılı bir şekilde internet çıkışı sağlanabiliyor.

bu durumda sorunun nereden kaynaklandığı hakkında bir fikriniz var mı?

 
Gönderildi : 29/03/2012 00:29

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Portal Page içerisine özel bir sayfa mı ekliyorsun yoksa default sayfasını mı kullanıyorsun? Özel bir sayfaysa içerisindeki html kodlarıyla ilgili bir problem olabilir bu durum söylediğin probleme yol açmıştı. Default sayfayı kullanınca düzelmişti. Bir başka ihtimal pfsense'in kaydını dns'te bulamıyor olması olabilir.Pf üzerinde 8000 portunu Lan bacağına natla(pfsense'in kendi IPsine). Bir de idle timeout ve hard timeout süreleriyle oynamadan default haliyle sadece captive portalı aktif ederek dener misin bu da bazen yol açabiliyor. Ayrıca captive portal'ın file manager bölümünde yüklediğin sayfa ismi "captiveportal" kelimesini içeriyor mu buna da dikkat etmeni öneririm.

düzeltme : squid ve squidguard devredeyse ve transparent mode kullanıyorsan da böyle bir durum yaşanabilir. Bu servisleri stop edip deneyebilirsin.

 
Gönderildi : 29/03/2012 01:38

(@erdemozyurt)
Gönderiler: 13
Active Member
 

özelleştirilmiş bir sayfa eklemiştim, default değil. FQDN olarak ping alıyor pfsense, A kaydını kontrol ettim, DNS yönünde bir sorun görünmüyor. default sayfaya nasıl dönüş yapabilirim? 

8000 portunu wan ve lan dan pfsense ipsine yönlendirme yapıp deniyorum, durum yine aynı. 

squid ve squidguard devrede ve transparent mode kullanıyorum. devre dışı bırakıp deneyeceğim mesai saati sonrası.

 
Gönderildi : 30/03/2012 14:46

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Clientlarda preferred dns (birincil dns sunucusu) pfsense olmalı dns kaydına ulaşabiliyor olması yetmez.

http://samkear.com/wp-content/uploads/2011/09/portal-auth-image.html  Linkindeki sayfayı kullanabilirsin bu sayfa sorunsuz çalışır Kodlarda görüldüğü gibi resmi file manager menüsünde captivepotal.png olarak upload etmen gerekecek yoksa resim gözükmez.. Squidle ilgili sonucu bildirirsin.

Sayfanın kodları :

<html>
<head>
<title>Welcome to our network!</title>
</head>
<body>
<img src="captiveportal-logo.png"/>
<p>Thank you for connecting to our network.</p>
<p>Please enter your username and password to access the Internet</p>
<form method="post" action="$PORTAL_ACTION$">
<p>Username:<input name="auth_user" type="text"></p>
<p>Password:<input name="auth_pass" type="password"></p>
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<input name="accept" type="submit" value="Login">
</form>
</body>
</html>

 

 
Gönderildi : 30/03/2012 17:21

(@erdemozyurt)
Gönderiler: 13
Active Member
 

birincil dns i pfsense olarak belirleyip, vermiş olduğunuz sayfayı ekleyince sorun ortadan kalktı, şuan sorunsuz olarak ekran geliyor çok teşekkür ederim 🙂  fakat active portal aktif durumdayken wan bacağından RDP çalışmamaya başladı, dışarıdan ulaşamıyorum bu kez. 

 
Gönderildi : 31/03/2012 02:32

(@serkandursun)
Gönderiler: 177
Reputable Member
 

Terminal server üzerinden oturum acmış kullanıcılara captiveportal sayfasını göstermeden radius ile otomatik doğrulatıp internet vermemiz mümkün mü? Kullanıcı browserini açtığında internet gelecek ve captiveportal üzerinde kullnıcı adı görünecek.

saygılar

 
Gönderildi : 31/03/2012 23:12

(@erdemozyurt)
Gönderiler: 13
Active Member
 

bunu yapabilmek için nasıl bir yöntem uygulamam gerekiyor?

 
Gönderildi : 01/04/2012 21:05

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

3389 için yaptığın NAT' ı kaldırıp yeniden ekle. Bir de nat yaptığın server'ı captive portal' da allowed host name'e ekle.

 
Gönderildi : 03/04/2012 19:11

(@senturkbilen)
Gönderiler: 14
Active Member
 

Merhaba; 

Checkpoint R70 ve üzeri versiyonlarda olan Identity awareness gibi, rulelar üzerinde, Active directory' den gelen kullanıcı adı veya Grup adına göre erişim kısıtlama Pf üzerinde yapılabilir mi? Kullanıcı internete girmek istediğinde kullanıcı adı ve şifre sormuyor, rulelarda verilen erişim yetkisine göre erişiyor veya erişemiyor.

Yapmak istediğim; kullanıcı terminal sunucu üzerine oturum açtığında ve internete girmek istediğinde, rulelar veya proxy filter üzerindeki erişim yetkisine göre kontrol edilsin.

Aslında pf üzerinde proxy ile buna benzer bir yapı var ancak kullanıcı ve şifre soruyor. Captive portal ile de durum böyle.

Değerli önerileriniz için şimdiden teşekkür ederim.

 

 
Gönderildi : 27/07/2012 20:47

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Captive portalda authentication' ı enable etmezsen username password sormaz ki.

 
Gönderildi : 28/07/2012 02:43

(@senturkbilen)
Gönderiler: 14
Active Member
 

Captive portalda authentication' ı enable etmezsen username password sormaz ki.

Alper bey cevabınız için teşekkür ederim .

Eksik bir anlatımım oldu sanırım;

Squid (non transparent)+Squidguard ile Active Directory uyumunu yapıp, gpo' dan proxy ayarlarını kullanıcılara veriyorum. Kullanıcılar internete girmek istediklerinde, Squid ile AD kimlik doğrulama yapıp, SquidGuard üzerinde belirlenmiş sitelere erişebiliyorlar.

Benim yapmak istediğim, kullanıcı thin client ile terminal sunucu üzerine oturum açtığında, oturum kullanıcı adı ile SquidGuard üzerindeki yetkilere göre internet çıkışı yapabilsin.

Eğer captive portal ile içerik filtreleme yapabiliyorsak daha açıklayıcı olursanız sevinirim.

Teşekkürler. 

 
Gönderildi : 28/07/2012 17:32

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Hocam baştan alıyorum, yanlış anladıysam tekrar pardon.

Captive portal : pfsense'in kendi veritabanındaki kullanıcılar yada RADIUS server kullanılarak active directorye bağlanıp kullanıcı adı ve şifreyle internete girişi sağlar.

Squidguard : Direkt olarak captive portalla ilgili değildir, kurup filtreleme yaparsın hepsi bu.

Senin durumuna gelelim, thin client olarak terminal üzerine oturum açtığında active directory kullanıcısıyla açtığın için, internete de giriş yaparken o kullanıcı ile çıkacağın için ve son olarak, pfsense de terminal server yada normal client ayırt etmediği yani active directory'e baktığı için bir şey fark etmeyecektir. Captive portal ile içerik filtreleme yapılmaz, ama hem squid'i hem de captive portalı aynı anda kullanabilirsin.

Yani benim videoyu incele, o videoda captive portal ile active directory entegrasyonunu anlattım. Eğer aynı pfsense üzerinde squid çalışıyorsa, active directory 'deki ahmete filtreleme tabiki yapabilirsin.

 

 
Gönderildi : 28/07/2012 18:05

Sayfa 1 / 2
Paylaş: