[FUG-BR] AUTHPF liberar acesso de modo mais agil

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Qua Maio 10 13:55:50 BRT 2006 

Mauro Pedrini wrote:
> 
> Em 10/05/06, *Patrick Tracanelli* <eksffa em freebsdbrasil.com.br 
> <mailto:eksffa em freebsdbrasil.com.br>> escreveu:
> 
>     E possivel. .Net tem API pra isso, mas o duro e precisar de framework
>     .Net no cliente. Deve ter outras API pra isso tambem mas acho que isso
>     mata a flexibilidade da coisa. Primeiro porque haverao clientes com
>     windows 98, ate 2k3. Entao a modificacao teria q ser testada em todos.
>     Depois, nem sempre que uma pessoa esta no computador ela vai querer
>     estar na internet. Ai ja precisa colocar algo configuravel via painel de
>     controle ou similar - "deseja se conectar na internet
>     automaticamente ao
>     efetuar logon?" Depois, as vezes o PC eh usado pelo pai, pela mae, pelo
>     tio, pela tia, o irmao, o vizinho e o papagaio, e se cada um tiver seu
>     usuario? Seu sistema faz oq? Recebe SSH de cada um desses usuarios?
> 
>     Ou impoe limites sobre "como" o usuario pode usar seu proprio PC?
> 
>     Bom acho que essa ideia eh bem especifica, deve ser perfeita pra algumas
>     situacoes, mas nao eh proposito geral e provedores de servico wireless
>     tem que conviver com proposito geral, especialmente no que tange a
>     autenticacao, algo tao fundamental....
> 
> 
> Oi Patrick,
> 
> Realmente, se formos analisar pelo lado de provedores wireless fica 
> completamente fora essa idéia.
> 
> O que pensei foi em algo empresarial mesmo. Por exemplo, na empresa em 
> que trabalhava antes, todo o controle de firewall era feito por um isa 
> server da microsoft, pois preciva-se fazer o controle por usuário.
> 
> Ou seja, com esta integração no logon, poderia-se utilizar a mesma base 
> de usuários (neste caso o AD) fazendo a liberação de portas num firewall 
> com PF da mesma forma que o isa. Não precisariamos nos importar com qual 
> máquina ou IP um usuário está, e sim somente qual o seu usuário.
> 
> Não sei se fui claro. A solução é bastante específica mesmo, e 
> substituir o isa server era meu sonho :-) .
> 
> Bom, pelo jeito ficou meio fora do contexto da lista.
> 
> Um abraço,
> Mauro

Ahh entendi, achei que a ideia era pro ambiente wireless.

No seu caso seria uma boa mesmo, mas talvez haja solucoes mais faceis do 
que escrever algo na API do Windows pra fazer sessao ssh. Veja soh, voce 
ja pensou em integrar essa autenticacao AD [1] com FreeBSD de alguma 
forma? Seja usando SFU da Microsoft ou solucoes similares e nsswitch no 
FreeBSD.

Acho que esse e mais o caminho. Ao integrar essa autenticacao voce pode 
modificar o auth-pf ou similar. A ideia e simples, qualquer programa 
suidbit que manipule as regras de firewall, mediante disparo de uma 
acao. Isso pode ser feito ate com shell script. No caso do authpf a acao 
e' o login, entao estrategicamente o authpf pode ser/eh a shell do 
usuario. O programa identifica se a sessao eh remota e pega o IP dai. No 
seu caso olha so, o que dispara a acao? Nao precisa ser login, nao 
precisa ser authpf. Uma vez integrado AD/LDAP no Windows/FreeBSD, voce 
pode disparar isso de outros modos, por exemplo via logon-script do lado 
servidor ou monitorar logs.

Ja que o FreeBSD vai saber quem esta logando, voce cria uma solucao 
totalmente orientada ao servidor, sem mudar nada na maquina cliente.

Talvez seria um caminho mais interessante a seguir.

[1] http://www.fug.com.br/historico/html/freebsd/2004-10/msg00650.html

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd