Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Pimpare il Captive Portal

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Ott 14, 2009 1:43 pm    Oggetto: Pimpare il Captive Portal Rispondi citando

Ho installato ZS come gateway nella mia azienda e ne sono molto felice.
Prima avevo un FW hardware della 3com, molto buono come sicurezza, ma troppo poco configurabile per le mie esigenze.

Ora con ZS mi trovo bene ma le troppe configurazioni mi fanno venire troppe idee... Razz

Premesso questo vorrei pimpare il CaptivePortal.
Credo che le mie idee verranno in parte inserite nell'Accounting ma non si sa ancora quando sarà disponibile.

Adesso ho già creato un Trust Kerberos tra ZS e windows 2003 così gli utenti possono inserire nel captive portal la loro login/password del dominio.
Però io non voglio che tutti gli utenti possano avere accesso a internet. Come fare?

La cosa più pratica mi sembra questa:

Definire un nuovo metodo di accesso al captive che sia kerberos + AD.
Quando l'utente fa il login ZS dovrebbe recuperare da AD la lista dei gruppi di appartenenza dell'utente. Dalla lista dei gruppi filtrare un gruppo che possa essere ZSCP_qualcosa.

Fatto questo basta interpretare il gruppo:

ZSCP_NORESTRICTION -> Accesso libero
ZSCP_DENIED -> Accesso negato
ZSCP_qualcosaltro -> Accesso associato alla catena FW "qualcos'altro"

Facendo questo potrei creare nel firewall tutte le catene che mi piacciono (catene che permettono la navigazione libera, utenti che permettono di navigare dalle ore alle ore, catene che reindirizzano ad un TransparentProxy esterno e chi più ne ha più ne metta) e sarebbero associate automaticamente all'utente.

Ho chiaro in mente come fare ma non ho ancora avuto tempo di guardarmi i sorgenti degli script di ZS per capire come implementarlo.

Se qualcuno che ha dimestichezza mi potesse dare qualche dritta ne sare MOLTO felice....

Ciao a tutti
Top
Profilo Invia messaggio privato
galateo



Registrato: 21/10/09 08:43
Messaggi: 2

MessaggioInviato: Mer Ott 21, 2009 8:49 am    Oggetto: Pimpare... Rispondi citando

Ciao,
ottimo post credo sarebbe indispensabile questa funzione.

Purtroppo non sono ancora in grado di sviluppare qualcosa al riguardo ma volevo sostenere la tua richiesta.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Ott 21, 2009 8:58 am    Oggetto: Rispondi citando

ho continuato a spulciare gli script di ZS e sono arrivato ad alcune conclusioni:

recuperare il gruppo di appartenenza di un utente AD è un po' laborioso (bisogna compilare ed installare samba, fare il join al dominio ecc ecc) però nulla vieta di fare direttamente in un file di configurazione di ZS l'associazione utente kerberos -> gruppo ZS e gruppo ZS -> firewall chain.

Il problema è che per fare ciò mi sembra che ci sia da modificare kerbynet del quale non abbiamo i sorgenti...
Top
Profilo Invia messaggio privato
galateo



Registrato: 21/10/09 08:43
Messaggi: 2

MessaggioInviato: Mer Ott 21, 2009 9:09 am    Oggetto: Rispondi citando

Ma a dir la verità basterebbe linkare gli utenti del dominio e "vederli" nella pagina degli utenti in modo da poterli inserire in gruppi di ZS.

Nell'ultima versione "Release 1.0.beta12" che sto usando esiste una funzione che si chiama " Active Directory Synchronization" che presumo faccia proprio questa cosa ma che non è selezionabile perchè ancora in Beta.

Forse ci stanno già lavorando.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Ott 21, 2009 9:41 am    Oggetto: Rispondi citando

Linkare gli utenti del dominio credo sia la cosa che già ho fatto cioè creare un trust di kerberos.

La funzione disabilitata credo che si occupi di creare come utente locale di ZS tutti gli utenti presenti nel dominio.

Quando sarà disponibile l'accounting vediamo che si può fare. Spero presto... Crying or Very sad
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ott 21, 2009 4:42 pm    Oggetto: Rispondi citando

Probabilmente per poter discriminare in base al gruppo di appartenenza in Active Directory conviene non autenticare direttamente con Kerberos, ma attivare lo IAS sui controllori di dominio e aggiungere domini di autenticazione Radius nel captive portal.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Ott 21, 2009 11:28 pm    Oggetto: Rispondi citando

Si sarebbe una soluzione più elegante...

Ma credo che i files di testo siano più che sufficienti per iniziare.
L'importante sarebbe avere uno modo per associare gli utenti a dei gruppi e i gruppi a una catena del firewall.

Una volta che questo è funzionante si può pensare a dei plugin in modo da avere i più disparati sistemi di autenticazione a seconda delle esigenze.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it