[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
É disso que eu estou falando... Não é fácil fazer qq UNIX autenticar em LDAP ao invés de passwd/nis... Já que isso não é nativo. E você ainda soma a isso o caso específico que é o LDAP do AD do Windows, que, além de ter n campos da Microsoft, ainda corre o risco de se, o seu cliente ldap escreve coisas demais lá, aonde não devia, o PC com global catalog simplesmente vai falar que a base LDAp está corrompida e pedir prá dar um boot prá tentar recuperar do backup. Por isso que ainda prefiro tentar usar winbind que, apesar de antigo, sendo um cliente NT4.0 SP6, ainda causa menos dano que uma escrita direta ao LDAP. Eu já usei winbind com o PAM no bsd 5.x prá dar permissões extendidas em arquivos. Veja: http://joseph.randomnetworks.com/archives/2005/11/08/freebsd-users-and-group s-with-samba-winbind-and-active-directory/ http://lists.freebsd.org/pipermail/freebsd-questions/2005-September/098880.h tml Usa nsswitch e pam e winbind. Se isso faz o chmod e afins reconhecer o login do windows, **talvez**, teoricamente faça o ssh/authpf logar. Mas tem que testar. Acho que com essa solução os problemas se resolvem, desde que as policies permitam clientes pré-windows 2000 logar :) - Renato Frederick FreeBSD Brasil LTDA. Fone: (31) 3281-9633 http://www.freebsdbrasil.com.br - Mais vale um pássaro na mão do que um voando sobre a nossa cabeça. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de João Henrique Freitas Enviada em: quinta-feira, 11 de maio de 2006 08:50 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] AUTHPF liberar acesso de modo mais agil Senhores Ja brinquei e briguei algumas vezes com o authpf. O meu entrave foi na criação de uma base de usuários centralizada não no firewall mas em algum outro servidor. Não seria mais fácil pensarmos em uma implementação mais a nivel do código do authpf para ele integrar diretamente com bases ldap? O authpf é interessante mas manter uma base de usuários locais no sistema e dar manutenção é o maior problema. Nos clientes existem N formas de fazer o acesso por SSH, desde scripts em VB com métodos de autênticação diferentes até por web. Vejam em: http://www.openbsd-support.com/jp/en/htm/mgp/pacsec05/index.ht ml , no slide 16 e 17. É uma ideia um pouco diferente mas talvez funcional. Ok? smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Renato Frederick Sent: quinta-feira, 11 de maio de 2006 9:55 To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' Subject: [FUG-BR] RES: AUTHPF liberar acesso de modo mais agil É disso que eu estou falando... Não é fácil fazer qq UNIX autenticar em LDAP ao invés de passwd/nis... Já que isso não é nativo. E você ainda soma a isso o caso específico que é o LDAP do AD do Windows, que, além de ter n campos da Microsoft, ainda corre o risco de se, o seu cliente ldap escreve coisas demais lá, aonde não devia, o PC com global catalog simplesmente vai falar que a base LDAp está corrompida e pedir prá dar um boot prá tentar recuperar do backup. Por isso que ainda prefiro tentar usar winbind que, apesar de antigo, sendo um cliente NT4.0 SP6, ainda causa menos dano que uma escrita direta ao LDAP. Eu já usei winbind com o PAM no bsd 5.x prá dar permissões extendidas em arquivos. Veja: http://joseph.randomnetworks.com/archives/2005/11/08/freebsd-u sers-and-group s-with-samba-winbind-and-active-directory/ http://lists.freebsd.org/pipermail/freebsd-questions/2005-Sept ember/098880.h tml Usa nsswitch e pam e winbind. Se isso faz o chmod e afins reconhecer o login do windows, **talvez**, teoricamente faça o ssh/authpf logar. Mas tem que testar. Acho que com essa solução os problemas se resolvem, desde que as policies permitam clientes pré-windows 2000 logar :) - Renato Frederick FreeBSD Brasil LTDA. Fone: (31) 3281-9633 http://www.freebsdbrasil.com.br - Mais vale um pássaro na mão do que um voando sobre a nossa cabeça. Quando se fala em autenticar no AD da Microsoft, podem ser usadas outras alternativas para autenticar. Em alguns servidores FreeBSD que usuários necessitam logar (local, ssh, telnet, ftp), faço eles autenticarem no AD usando o Kerberos o qual é integrado ao AD. No BSD, configuro apenas o Kerberos e o PAM. Outra opção poderia ser através do Radius, mas teria que ver uma forma de fazer a autenticação. __ Cristiano Maynart Pereira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Ae, se alguém conseguir desenvolver uma versão amigável do putty, do tipo, coloque seu login aqui coloque sua senha aqui OK e isso fazer toda a autenticação, poderia liberar pra comunidade né? :-) Eu ficaria agradecido hehehehehe - Renato Frederick FreeBSD Brasil LTDA. Fone: (31) 3281-9633 http://www.freebsdbrasil.com.br - Eu adoro meus amigos, suas irmãs, mais ainda! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Waldir Borba Junior Enviada em: quarta-feira, 10 de maio de 2006 09:55 Para: freebsd@fug.com.br Assunto: Re: [FUG-BR] AUTHPF liberar acesso de modo mais agil Perfeito Christopher Vou me internar nessa solucao hj a tarde... vlz mesmo. att, Waldir Borba Junior smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Ae, se alguém conseguir desenvolver uma versão amigável do putty, do tipo, coloque seu login aqui coloque sua senha aqui OK e isso fazer toda a autenticação, poderia liberar pra comunidade né? :-) Eu ficaria agradecido hehehehehe - Renato Frederick FreeBSD Brasil LTDA. Fone: (31) 3281-9633 http://www.freebsdbrasil.com.br - Eu adoro meus amigos, suas irmãs, mais ainda! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Waldir Borba Junior Enviada em: quarta-feira, 10 de maio de 2006 09:55 Para: freebsd@fug.com.br Assunto: Re: [FUG-BR] AUTHPF liberar acesso de modo mais agil Perfeito Christopher Vou me internar nessa solucao hj a tarde... vlz mesmo. att, Waldir Borba Junior smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Não sei se fui claro. A solução é bastante específica mesmo, e substituir o isa server era meu sonho :-) . Acho meio difícil. Você teria que fazre o free logar no ad.. Isso exigiria muito tempo com as PAM e os modulos winbind(que acho que não seria suficiente). Além de tudo, o ISA alem de firewall é cache, sei que pelo menos no squid, para usar LDAP, usando AD, já é complicado. smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Ahh entendi, achei que a ideia era pro ambiente wireless. No seu caso seria uma boa mesmo, mas talvez haja solucoes mais faceis do que escrever algo na API do Windows pra fazer sessao ssh. Veja soh, voce ja pensou em integrar essa autenticacao AD [1] com FreeBSD de alguma forma? Seja usando SFU da Microsoft ou solucoes similares e nsswitch no FreeBSD. Acho que esse e mais o caminho. Ao integrar essa autenticacao voce pode modificar o auth-pf ou similar. A ideia e simples, qualquer programa suidbit que manipule as regras de firewall, mediante disparo de uma acao. Isso pode ser feito ate com shell script. No caso do authpf a acao e' o login, entao estrategicamente o authpf pode ser/eh a shell do usuario. O programa identifica se a sessao eh remota e pega o IP dai. No seu caso olha so, o que dispara a acao? Nao precisa ser login, nao precisa ser authpf. Uma vez integrado AD/LDAP no Windows/FreeBSD, voce pode disparar isso de outros modos, por exemplo via logon-script do lado servidor ou monitorar logs. Ja que o FreeBSD vai saber quem esta logando, voce cria uma solucao totalmente orientada ao servidor, sem mudar nada na maquina cliente. Talvez seria um caminho mais interessante a seguir. Ele pode criar vbscript, que pega o login do usuário, o pc que está logando e já faz um ssh. Bastaria passar a senha e usuario pro cliente de ssh, obtendo estas informaçoes via vbscript e colocar o logon no profile do cara. Isso aí já permitira o básico, que é fazer o pf liberar por login, ao invés de IP. No site da technet tem exemplos de scripts que pegam isso, para, por exemplo, mudar o papel de parede. A único incoveniente seria criar todos os logins no Free Ou então fazê-lo autenticar no LDAP (AD)... A partir daí, é só fazer o mesmo com o squid+proxy (usando diretivas modificando o comportamento do IE), que as 2 funçoes básicas do ISA já foram migradas. :) smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Renato Frederick wrote: Ahh entendi, achei que a ideia era pro ambiente wireless. No seu caso seria uma boa mesmo, mas talvez haja solucoes mais faceis do que escrever algo na API do Windows pra fazer sessao ssh. Veja soh, voce ja pensou em integrar essa autenticacao AD [1] com FreeBSD de alguma forma? Seja usando SFU da Microsoft ou solucoes similares e nsswitch no FreeBSD. Acho que esse e mais o caminho. Ao integrar essa autenticacao voce pode modificar o auth-pf ou similar. A ideia e simples, qualquer programa suidbit que manipule as regras de firewall, mediante disparo de uma acao. Isso pode ser feito ate com shell script. No caso do authpf a acao e' o login, entao estrategicamente o authpf pode ser/eh a shell do usuario. O programa identifica se a sessao eh remota e pega o IP dai. No seu caso olha so, o que dispara a acao? Nao precisa ser login, nao precisa ser authpf. Uma vez integrado AD/LDAP no Windows/FreeBSD, voce pode disparar isso de outros modos, por exemplo via logon-script do lado servidor ou monitorar logs. Ja que o FreeBSD vai saber quem esta logando, voce cria uma solucao totalmente orientada ao servidor, sem mudar nada na maquina cliente. Talvez seria um caminho mais interessante a seguir. Ele pode criar vbscript, que pega o login do usuário, o pc que está logando e já faz um ssh. Bastaria passar a senha e usuario pro cliente de ssh, obtendo estas informaçoes via vbscript e colocar o logon no profile do cara. Isso aí já permitira o básico, que é fazer o pf liberar por login, ao invés de IP. No site da technet tem exemplos de scripts que pegam isso, para, por exemplo, mudar o papel de parede. A único incoveniente seria criar todos os logins no Free Ou então fazê-lo autenticar no LDAP (AD)... A partir daí, é só fazer o mesmo com o squid+proxy (usando diretivas modificando o comportamento do IE), que as 2 funçoes básicas do ISA já foram migradas. Boa abordagem tambem! Sobre a integracao AD/FreeBSD se realmente for comecar substituir ISA Server e outros solucoes microsoftianas, eh inevitavel :) Mas trabalhoso eh mesmo, e pode complicar dependendo do cenario atual =) -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
