Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Captive Portal e specifica OU in Active Directory

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
leonardo



Registrato: 17/01/13 01:08
Messaggi: 43

MessaggioInviato: Sab Mar 25, 2017 12:12 pm    Oggetto: Captive Portal e specifica OU in Active Directory Rispondi citando

Ciao a tutti,
Ho configurato ZS per autenticare gli utenti di un determinato dominio di Active Directory al captive portal, e funziona perfettamente.
Vorrei però limitare tale possibilità solo agli utenti che appartengono ad una determinata unità organizzativa.
E' possibile?

Grazie
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Mar Apr 04, 2017 5:53 pm    Oggetto: Rispondi citando

Ciao,
tempo fa volevo fare la stessa cosa su windows server 2012.
Ho risolto creando gruppi di utenti (es. utenti_wifi) sul win2012 ho dato l'autorizzazione solo a quel gruppo

Claudio
Top
Profilo Invia messaggio privato
leonardo



Registrato: 17/01/13 01:08
Messaggi: 43

MessaggioInviato: Mer Apr 05, 2017 12:57 am    Oggetto: Rispondi citando

Ciao Claudio,
grazie per il tuo supporto.
Il problema è che non capisco come dire a ZS di autorizzare alla CP solo gli utenti di un determinato gruppo o unità organizzativa di Active Directory.
Per inciso, nel momento in cui aggancio ZS al dominio AD, tutti sono autorizzati a navigare.
Lo stesso problema vale per l'accesso VPN.

Altri suggerimenti?

Grazie
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Mer Apr 05, 2017 6:48 pm    Oggetto: Rispondi citando

Ciao,
Manca qualche informazione, ad esempio su quale sistema hai Active directory.

In ogni caso da quello che so io non puoi gestire i gruppi di active directory su ZS, che in pratica fa solo da "proxy" prende le richieste di autenticazione e tramite protocollo Kerberos le gira al server di dominio active directory.
Quindi in ogni caso i gruppi di utenti li devi gestire sul server di dominio.

Ti spiego come ho fatto io poichè avevo lo stesso identico tuo problema (è stato abbastanza difficoltoso, non so se si può fare più velocemente ma a me funziona tutto e abbastanza bene).

Oltre a ZS ho un windows server 2012 che mi fa da server di dominio active directory, ho tutti i PC e gli utenti sotto questo server.
Le richieste di accesso dagli access point e le connessioni VPN che arrivano su ZS vengono girate al server di dominio, ora se uso Kerberos 5 (remote) come protocollo di autenticazione ho il tuo stesso problema cioè tutti gli utenti di dominio vengono autenticati e autorizzati a connettersi in VPN o a navigare in wifi.
Per ovviare a questo problema come protocollo di autenticazione ho usato Radius in proxy mode con segreto condiviso, in pratica ho attivato il server radius sul server windows 2012, poi tramite il server criteri di rete (sempre del win2012) ho impostato che solo gli utenti appartenenti ad un determinato gruppo (utenti wifi) potevano essere autenticati da richieste provenienti dal client radius ZS.
Fammi sapere se fa al caso tuo che eventualmente cerco di darti una mano nella configurazione del radius che è abbastanza complessa.

Da quello che so non penso che si possa fare direttamente su ZS, in base a cosa? al nome utente? anzi al gruppo /Unità organizzativa? sono informazioni che non arrivano su ZS ma restano sul server di dominio.

Claudio
Top
Profilo Invia messaggio privato
leonardo



Registrato: 17/01/13 01:08
Messaggi: 43

MessaggioInviato: Mer Apr 05, 2017 9:00 pm    Oggetto: Rispondi citando

Ciao Claudio,
esattamente quello di cui ho bisogno.
AD di Windows server 2012 R2 STD con client a dominio.
Mi hai già dato una grande dritta ma se voglia e tempo di mettere giù una sorta di "How to", te ne sarei infinitamente grato.

Ciao
Leonardo
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Gio Apr 06, 2017 9:03 am    Oggetto: Rispondi citando

Ciao,
l'installazione del Radius l'ho fatta 2 anni fa (sono cose che si fanno una volta e basta) seguendo uno dei tanti video su youtube, se ne vuoi consigliato uno:
https://www.youtube.com/watch?v=qeTMlFLZlLM ,
ma c'è davvero l'imbarazzo della scelta. Ricordati che per installare server Radius è propedeutico prima installare un server dei certificati di AD e generare un certificato, alcuni video fanno vedere anche questo. Il video in questione in realtà fa vedere come configurare un client radius usando un AP della Linksys e un PC connesso ad esso, a te non serve perchè il tuo client Radius sarà ZS e quindi i PC passeranno dal suo Captive Portal.
Fammi sapere.

Claudio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it