Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Zero Shell e activity directory

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fcforensic



Registrato: 10/05/10 22:01
Messaggi: 9

MessaggioInviato: Gio Mag 13, 2010 9:39 pm    Oggetto: Zero Shell e activity directory Rispondi citando

Salve a tutti, dovendo configurare ZS come proxy firewall in una rete vorrei consentire agli autenti autorizzati di accedere ad internet senza ripetere il login. So che ZS puo fare questo, potete darmi qualche guida, Grazie
Top
Profilo Invia messaggio privato
marinf



Registrato: 18/03/09 09:44
Messaggi: 21
Residenza: Versilia (LU)

MessaggioInviato: Mer Mag 26, 2010 4:56 pm    Oggetto: Rispondi citando

Citazione:
vorrei consentire agli autenti autorizzati di accedere ad internet senza ripetere il login


Ma intendi con captive portal oppure con autenticazione proxy? (in quest'ultimo caso basta tu salvi i dati d'accesso del proxy sul browser degli utenti autorizzati)
Top
Profilo Invia messaggio privato
fcforensic



Registrato: 10/05/10 22:01
Messaggi: 9

MessaggioInviato: Gio Mag 27, 2010 1:45 pm    Oggetto: Rispondi citando

non verrei utilizzare captive portale ma vorrei che gli utenti fossero autenticati dal proxy. Inoltre sarebbe necessario gestire gli utenti dal dominio di win 2008 decidendo chi può uscire su internet e chi no.
In un altro trend mi è stato risposto che non è possibile farlo.
Grazie
Top
Profilo Invia messaggio privato
marinf



Registrato: 18/03/09 09:44
Messaggi: 21
Residenza: Versilia (LU)

MessaggioInviato: Gio Mag 27, 2010 2:38 pm    Oggetto: Rispondi citando

Ciao,

bè dovrei capire un pochino meglio la problematica, perchè sinceramente non ho ben capito (e non ho una grande esperienza per zeroshell al momento)... però A.D. si basa su LDAP, e questo è supportato da zeroshell: http://www.zeroshell.net/ldapdetails/
Top
Profilo Invia messaggio privato
fcforensic



Registrato: 10/05/10 22:01
Messaggi: 9

MessaggioInviato: Gio Mag 27, 2010 3:49 pm    Oggetto: Rispondi citando

sinceramente credo che il tutto sia fattibile solo che non so come fare dialogare ZS con il mio AD. Tanto per fare un esempio con ISA server viene associato all'AD ed all'interno riconosce gli utenti del AD permettendo di implementare le policy del caso.
Grazie comunque del tuo interessamento
Top
Profilo Invia messaggio privato
marinf



Registrato: 18/03/09 09:44
Messaggi: 21
Residenza: Versilia (LU)

MessaggioInviato: Gio Mag 27, 2010 4:50 pm    Oggetto: Rispondi citando

Ciao,

bè per "sincronizzare" gli utenti tra il tuo dominio/foresta e zeroshell, credo basti bilitare i servizi con i relativi dati nel tab LDAP / NIS (menu di sinistra dell'inferfaccia web di zeroshell), poi una volt abilitato e salvato premere il bottone SYNCHRONIZE ... (mai fatto, vado a "logica"...)

Per poi abilitare i singoli utenti alla navigazione, a parer mio, dovresti intervenire sul proxy: non utilizzarlo come trasparente, ma settarlo su una certa porta, poi setti questo ai soli utenti che vuoi far navigare (oppure che non tu cancelli gli utenti che non vuoi far navigare da zeroshell, una volta importata la struttura di LDAP, ma non ho laminima idea se si possa fare... dovresti provare...)... non so se è possibile NON far navigare "certi" utenti, e "certi" si... a meno che il captive portal non si integri con LDAP...
Top
Profilo Invia messaggio privato
fcforensic



Registrato: 10/05/10 22:01
Messaggi: 9

MessaggioInviato: Gio Mag 27, 2010 6:39 pm    Oggetto: Rispondi citando

avevo provato a sincronizzare gli utenti ma un pop-up mi avvisa che non è possibile farlo nella versione beta. Credo che il buon Fulvio sicuramente potrà schiarirci le idee.
Rimango in attesa.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Mag 27, 2010 9:34 pm    Oggetto: Rispondi citando

Ciao

L'autenticazione degli utenti su active directory la puoi fare con il captive portal inserendo il dominio sulla pagina del CP.

Per Abilitare gli utenti in automatico alla navigazione puoi utilizzare lo script di logon di windows server facendo eseguire agli utenti abilitati questo script

http://code.google.com/p/zeroshell-autologin/

Ne esiste anche uno in forma di singolo eseguibile e quindi di più facile utilizzo nello script di logon.
Siccome la cartella degli script di logon e visibile a tutti gli utenti del dominio ti consiglio di compilare il file batch con , ad exempio, bat2exe in modo da non lasciare in chiaro le credenziali degli utenti.

Per gli utenti che non sono abilitati alla navigazione all'avvio di internet explorer si aprira la pagina di autenticazione. Non gli dai utente e password.

Riporto come nota la descrizione delle modalità di autenticazione come descritta da Fulvio.

'Authentication Server convalida le credenziali dell'utente basandosi sul database Kerberos 5 locale, su un server Kerberos 5 esterno o mediante cross autenticazione tra realm Kerberos. In particolare le ultime 2 possibilità permettono al captive portal di autenticare gli utenti di un dominio Windows Active Directory.
Si noti poi che l'utente può inserire uno username del tipo Username@Dominio permettendo al Captive Portal di scegliere il server Kerberos da utilizzare basandosi sul Dominio di appartenenza dell'utente.
Dalla versione 1.0.beta6 di ZeroShell è possibile autenticare gli utenti anche mediante server RADIUS esterni o tramite certificati digitali X.509. Quest'ultima caratteristica permette l'utilizzo di Smart Card per autenticarsi sulla LAN tramite web login.

Ciao.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Giu 04, 2010 11:07 am    Oggetto: Rispondi citando

Il "piccolo" difetto della sincronizzazione LDAP è insito nella logica di AD: dovrebbe gestire migliaia di utenti. Se ci provo qui, per es, si deve scaricare qualcosa come 160.000 utenti! In pratica mi mura la rete per una mezza giornata. E non serve a un tubo: le modifiche che apporto in AD poi non si riflettono in ZS, o sovrascrivono (coi tempi detti sopra) eventuali modifiche apportate in locale su ZS alla successiva sincronizzazione.

L'unico modo per integrare bene ZS con AD sarebbe joinarlo al dominio (serve SAMBA) e quindi, tramite winbind, eseguire i controlli opportuni (appartenenza a gruppi, ecc). Questo permetterebbe anche policy "furbe", come instradare diversamente le connessioni di utenti in un determinato gruppo (assegnandole ad una VLAN), con i membri di tale gruppo magari gestiti da un "sensore" separato (se viene rilevato che un utente usa un p2p, alla connessione successiva condividerà una connessione a 1kbit/s con tutti gli altri utenti che hanno usato p2p)... E il bello del joining è che non richiede modifiche sul lato AD (al massimo la creazione di un account per la macchina ZS), con buona pace degli admin AD.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it