pfsense Radius da LDAP ayarları

@Tunga merhaba Pfsense forumdada belirtmiştim. Yukarıda belirttiğin işlemleri yapman freeRadius ile şu an için pek mümkün görünmüyor. FreeRadius ile AccessPointler'de WPA/WPA2+Radius doğrulaması kullanarak kullanıcıların AD kullanıcı ve şifreleri ile AccessPointlere bağlanmasını gerçekleştirebilirsin. Burdan gerekli bir döküman mevcut https://docs.google.com/document/d/1UDg8Rt5wN_pGoepJyKTlAAnQdJgAsNXSrX3vkQu15DE/edit?pli=1

Merhaba, 

benzer bir sorunla bende karşı karşıyayım.

yapıda 2008 server üzerinde active directory kurulu

firewall olarak pfSense kullanıyorum

kullanıcılar thin clientler ile sanallaştırılmış sunucular üzerine bağlanıp bu sunucular üzerinden internete çıkış yapıyorlar, ben ise pfsense üzerinden yalnızca thin clientlerin bağlı olduğu sunucuyu görebiliyor/kısıtlama uygulayabiliyorum.

yapmak istediğim şey ise kullanıcı bazlı kısıtlama/izleme/loglama yapabilmek. 

captive portal kullanıcı isimlerini RADIUS Authentication yoluyla active directoryden çekip giriş yapsınlar diye;

Active Directory sunucusu üzerine ias (nap) kurdum,

DNS üzerine pfSense için A kaydı oluşturdum, 

RADIUS Client olarak pfSense makinayı tanımladım,

Shared Secret tanımladım,

identifier ve group olarak Network Policies belirledim. 

fakat bir türlü başarılı bir yapılandırma yapamadım, konu ile ilgili tecrübelerinizi ve önerilerinizi paylaşırsanız çok sevinirim.

Radius tarafında yapılması gereken bir kaç küçük ayar daha var, aşağıda videosunu paylaştım :

http://www.alperyazgan.com/?p=129  

Alper hocam eline sağlık güzel bir anlatım olmuş

burda belirtilenleri yaptım fakat tekrar izleyerek adım adım kontrol edeyim, muhakkak atladığım bir yer olmalı. çok teşekkür ederim, tam olarak istediğim şeydi.

mevcut ayarlarımı silip tekrar videoda belirtildiği şekilde girmeme rağmen login sayfası gelmiyor malesef. 

dc üzerinde 1812 ve 1813 portlarına izin verdim güvenlik duvarından, hatta komple kapattım güvenlik duvarını, durum yine aynı.

kullanmış olduğum pfsense 2.0.1 versiyon, DC 2008r2

pfsense ve dc birbirini pingleyebiliyor.

captive portalı devre dışı bıraktığımda sorun normal olarak ortadan kalkıyor.

sorun nereden kaynaklanıyor olabilir. 

pfSense Captive Portal sayfasında, login page i yüklediğimiz portal page contents bölümü altında bulunan "view current page" i tıkladığımda login sayfası geliyor, dial up izni verdiğim kullanıcının bilgilerini girdiğimde başarılı bir şekilde login olabiliyor ve internete çıkış yapabiliyorum. aynı şekilde farklı clientler üzerindende bir browser açıp internete çıkmayı denediğimde login sayfası otomatik olarak gelmiyor! ancak pfsense_ip:8000 port yazdığımda login ekranı alıp başarılı bir şekilde internet çıkışı sağlanabiliyor.

bu durumda sorunun nereden kaynaklandığı hakkında bir fikriniz var mı?

Portal Page içerisine özel bir sayfa mı ekliyorsun yoksa default sayfasını mı kullanıyorsun? Özel bir sayfaysa içerisindeki html kodlarıyla ilgili bir problem olabilir bu durum söylediğin probleme yol açmıştı. Default sayfayı kullanınca düzelmişti. Bir başka ihtimal pfsense'in kaydını dns'te bulamıyor olması olabilir.Pf üzerinde 8000 portunu Lan bacağına natla(pfsense'in kendi IPsine). Bir de idle timeout ve hard timeout süreleriyle oynamadan default haliyle sadece captive portalı aktif ederek dener misin bu da bazen yol açabiliyor. Ayrıca captive portal'ın file manager bölümünde yüklediğin sayfa ismi "captiveportal" kelimesini içeriyor mu buna da dikkat etmeni öneririm.

düzeltme : squid ve squidguard devredeyse ve transparent mode kullanıyorsan da böyle bir durum yaşanabilir. Bu servisleri stop edip deneyebilirsin.

özelleştirilmiş bir sayfa eklemiştim, default değil. FQDN olarak ping alıyor pfsense, A kaydını kontrol ettim, DNS yönünde bir sorun görünmüyor. default sayfaya nasıl dönüş yapabilirim? 

8000 portunu wan ve lan dan pfsense ipsine yönlendirme yapıp deniyorum, durum yine aynı. 

squid ve squidguard devrede ve transparent mode kullanıyorum. devre dışı bırakıp deneyeceğim mesai saati sonrası.

Clientlarda preferred dns (birincil dns sunucusu) pfsense olmalı dns kaydına ulaşabiliyor olması yetmez.

http://samkear.com/wp-content/uploads/2011/09/portal-auth-image.html  Linkindeki sayfayı kullanabilirsin bu sayfa sorunsuz çalışır Kodlarda görüldüğü gibi resmi file manager menüsünde captivepotal.png olarak upload etmen gerekecek yoksa resim gözükmez.. Squidle ilgili sonucu bildirirsin.

Sayfanın kodları :

birincil dns i pfsense olarak belirleyip, vermiş olduğunuz sayfayı ekleyince sorun ortadan kalktı, şuan sorunsuz olarak ekran geliyor çok teşekkür ederim 🙂  fakat active portal aktif durumdayken wan bacağından RDP çalışmamaya başladı, dışarıdan ulaşamıyorum bu kez. 

Terminal server üzerinden oturum acmış kullanıcılara captiveportal sayfasını göstermeden radius ile otomatik doğrulatıp internet vermemiz mümkün mü? Kullanıcı browserini açtığında internet gelecek ve captiveportal üzerinde kullnıcı adı görünecek.

saygılar

bunu yapabilmek için nasıl bir yöntem uygulamam gerekiyor?

3389 için yaptığın NAT' ı kaldırıp yeniden ekle. Bir de nat yaptığın server'ı captive portal' da allowed host name'e ekle.

Merhaba; 

Checkpoint R70 ve üzeri versiyonlarda olan Identity awareness gibi, rulelar üzerinde, Active directory' den gelen kullanıcı adı veya Grup adına göre erişim kısıtlama Pf üzerinde yapılabilir mi? Kullanıcı internete girmek istediğinde kullanıcı adı ve şifre sormuyor, rulelarda verilen erişim yetkisine göre erişiyor veya erişemiyor.

Yapmak istediğim; kullanıcı terminal sunucu üzerine oturum açtığında ve internete girmek istediğinde, rulelar veya proxy filter üzerindeki erişim yetkisine göre kontrol edilsin.

Aslında pf üzerinde proxy ile buna benzer bir yapı var ancak kullanıcı ve şifre soruyor. Captive portal ile de durum böyle.

Değerli önerileriniz için şimdiden teşekkür ederim.

Captive portalda authentication' ı enable etmezsen username password sormaz ki.

Captive portalda authentication' ı enable etmezsen username password sormaz ki.

Alper bey cevabınız için teşekkür ederim .

Eksik bir anlatımım oldu sanırım;

Squid (non transparent)+Squidguard ile Active Directory uyumunu yapıp, gpo' dan proxy ayarlarını kullanıcılara veriyorum. Kullanıcılar internete girmek istediklerinde, Squid ile AD kimlik doğrulama yapıp, SquidGuard üzerinde belirlenmiş sitelere erişebiliyorlar.

Benim yapmak istediğim, kullanıcı thin client ile terminal sunucu üzerine oturum açtığında, oturum kullanıcı adı ile SquidGuard üzerindeki yetkilere göre internet çıkışı yapabilsin.

Eğer captive portal ile içerik filtreleme yapabiliyorsak daha açıklayıcı olursanız sevinirim.

Teşekkürler. 

Hocam baştan alıyorum, yanlış anladıysam tekrar pardon.

Captive portal : pfsense'in kendi veritabanındaki kullanıcılar yada RADIUS server kullanılarak active directorye bağlanıp kullanıcı adı ve şifreyle internete girişi sağlar.

Squidguard : Direkt olarak captive portalla ilgili değildir, kurup filtreleme yaparsın hepsi bu.

Senin durumuna gelelim, thin client olarak terminal üzerine oturum açtığında active directory kullanıcısıyla açtığın için, internete de giriş yaparken o kullanıcı ile çıkacağın için ve son olarak, pfsense de terminal server yada normal client ayırt etmediği yani active directory'e baktığı için bir şey fark etmeyecektir. Captive portal ile içerik filtreleme yapılmaz, ama hem squid'i hem de captive portalı aynı anda kullanabilirsin.

Yani benim videoyu incele, o videoda captive portal ile active directory entegrasyonunu anlattım. Eğer aynı pfsense üzerinde squid çalışıyorsa, active directory 'deki ahmete filtreleme tabiki yapabilirsin.