[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
Renato Frederick
frederick em freebsdbrasil.com.br
Qua Maio 10 14:10:17 BRT 2006
> Ahh entendi, achei que a ideia era pro ambiente wireless.
>
> No seu caso seria uma boa mesmo, mas talvez haja solucoes
> mais faceis do que escrever algo na API do Windows pra fazer
> sessao ssh. Veja soh, voce ja pensou em integrar essa
> autenticacao AD [1] com FreeBSD de alguma forma? Seja usando
> SFU da Microsoft ou solucoes similares e nsswitch no FreeBSD.
>
> Acho que esse e mais o caminho. Ao integrar essa autenticacao
> voce pode modificar o auth-pf ou similar. A ideia e simples,
> qualquer programa suidbit que manipule as regras de firewall,
> mediante disparo de uma acao. Isso pode ser feito ate com
> shell script. No caso do authpf a acao e' o login, entao
> estrategicamente o authpf pode ser/eh a shell do usuario. O
> programa identifica se a sessao eh remota e pega o IP dai. No
> seu caso olha so, o que dispara a acao? Nao precisa ser
> login, nao precisa ser authpf. Uma vez integrado AD/LDAP no
> Windows/FreeBSD, voce pode disparar isso de outros modos, por
> exemplo via logon-script do lado servidor ou monitorar logs.
>
> Ja que o FreeBSD vai saber quem esta logando, voce cria uma
> solucao totalmente orientada ao servidor, sem mudar nada na
> maquina cliente.
>
> Talvez seria um caminho mais interessante a seguir.
Ele pode criar vbscript, que pega o login do usuário, o pc que está logando
e já faz um ssh. Bastaria passar a senha e usuario pro cliente de ssh,
obtendo estas informaçoes via vbscript e colocar o logon no profile do cara.
Isso aí já permitira o básico, que é fazer o pf liberar por login, ao invés
de IP.
No site da technet tem exemplos de scripts que pegam isso, para, por
exemplo, mudar o papel de parede.
A único incoveniente seria criar todos os logins no Free.... Ou então
fazê-lo autenticar no LDAP (AD)...
A partir daí, é só fazer o mesmo com o squid+proxy (usando diretivas
modificando o comportamento do IE), que as 2 funçoes básicas do ISA já foram
"migradas".
:)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3104 bytes
Desc: not available
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20060510/61f83f4a/attachment.bin
Mais detalhes sobre a lista de discussão freebsd