[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil

Qua Maio 10 14:12:45 BRT 2006

Renato Frederick wrote:
>>Ahh entendi, achei que a ideia era pro ambiente wireless.
>>
>>No seu caso seria uma boa mesmo, mas talvez haja solucoes 
>>mais faceis do que escrever algo na API do Windows pra fazer 
>>sessao ssh. Veja soh, voce ja pensou em integrar essa 
>>autenticacao AD [1] com FreeBSD de alguma forma? Seja usando 
>>SFU da Microsoft ou solucoes similares e nsswitch no FreeBSD.
>>
>>Acho que esse e mais o caminho. Ao integrar essa autenticacao 
>>voce pode modificar o auth-pf ou similar. A ideia e simples, 
>>qualquer programa suidbit que manipule as regras de firewall, 
>>mediante disparo de uma acao. Isso pode ser feito ate com 
>>shell script. No caso do authpf a acao e' o login, entao 
>>estrategicamente o authpf pode ser/eh a shell do usuario. O 
>>programa identifica se a sessao eh remota e pega o IP dai. No 
>>seu caso olha so, o que dispara a acao? Nao precisa ser 
>>login, nao precisa ser authpf. Uma vez integrado AD/LDAP no 
>>Windows/FreeBSD, voce pode disparar isso de outros modos, por 
>>exemplo via logon-script do lado servidor ou monitorar logs.
>>
>>Ja que o FreeBSD vai saber quem esta logando, voce cria uma 
>>solucao totalmente orientada ao servidor, sem mudar nada na 
>>maquina cliente.
>>
>>Talvez seria um caminho mais interessante a seguir.
> 
> 
> 
> Ele pode criar vbscript, que pega o login do usuário, o pc que está logando
> e já faz um ssh. Bastaria passar a senha e usuario pro cliente de ssh,
> obtendo estas informaçoes via vbscript e colocar o logon no profile do cara.
> 
> 
> Isso aí já permitira o básico, que é fazer o pf liberar por login, ao invés
> de IP.
> 
> No site da technet tem exemplos de scripts que pegam isso, para, por
> exemplo, mudar o papel de parede.
> 
> A único incoveniente seria criar todos os logins no Free.... Ou então
> fazê-lo autenticar no LDAP (AD)...
> 
> 
> A partir daí, é só fazer o mesmo com o squid+proxy (usando diretivas
> modificando o comportamento do IE), que as 2 funçoes básicas do ISA já foram
> "migradas".

Boa abordagem tambem! Sobre a integracao AD/FreeBSD se realmente for 
comecar substituir ISA Server e outros solucoes microsoftianas, eh 
inevitavel :) Mas trabalhoso eh mesmo, e pode complicar dependendo do 
cenario atual =)

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"