[Tutorial] Integração com o Active Directory ou Samba4
Enviado: 12 Jun 2013 12:04
Neste tutorial vamos abordar a questão da integração do Endian com o Active Directory ou Samba4 através de NTLM.
É isso mesmo que você leu ! A nova versão do Samba também suporta autenticação integrada usando o protocolo NTLM.
Pau na máquina ?
1 - O primeiro passo é criar uma entrada no Hosts do Endian apontando para o controlador de dominio. Acesse o webadmin e na aba Rede adicione a entrada host como no exemplo abaixo
2 - Próximo passo é configurar o método de autenticação, vá até a aba Proxy -> Autenticação e selecione Active Directory do Windows ( NTLM ) , informe os campos Dominio de autenticação, Nome do dominio do servidor AD, Nome do servidor primário do AD ( PDC ), Endereço IP do servidor PDC do AD. Demais campos podem ficar em branco e com os seus valores padrão. Preencha e clique em Salvar.
3 - Agora clique no botão Ingressar no Dominio. Informe o usuário com privilégios de Administrador do Dominio , ou no caso do Samba4 o usuário Administrator , insira sua senha e mande ingressar. Pronto, seu Endian agora faz parte de seu dominio.
4 - Agora precisamos definir filtros de conteúdo para os grupos do AD , recomendo a criação de três grupos, que são: Proxy-Restrito ( não tem acesso a nada, apenas a dominios permitidos pela diretoria ) , Proxy-Parcial ( Tem acesso semi liberado, acesso ao google e diversos serviços mas com bloqueios definidos pela diretoria ) e Proxy-Livre ( Usuários privilegiados que podem acessar tudo ).
Acesse a aba Filtro de Conteúdo dentro do menu proxy e crie os 3 grupos necessários conforme mostra a imagem:
Agora crie estes grupos em seu controlador de dominio e insira os usuários em seus respectivos grupos.
5 - Próximo passo é criar as politicas de acesso. Perceba que criamos três grupos de content filter para que cada grupo tenha seus devidos bloqueios e acessos unicos. Nos baseando nos content filters agora vamos criar as ACLS necessárias para cada um destes grupos. Acesse a aba Politica de acesso, e insira uma nova regra
O resumo da regra é a seguinte: Vindo da rede local, com destino qualquer dominio na internet, com autenticação baseada em grupos, pertencente ao grupo Proxy-Restrito, tem acesso liberado passando pelo Filtro de conteúdo Proxy-Restrito. Perceba mais uma vez que quem define o que o usuário pode ou não acessar é o filtro de conteúdo. Os bloqueios devem ser feitos nele. Como este é o grupo restrito vamos utilizar um coringa para bloquear acesso a qualquer dominio e liberaremos dois dominios que seriam essenciais para o trabalho dos usuários que pertencem a este grupo. O coringa de bloqueio é ** inserido na Blacklist e as liberações são os dominios minhaempresa.com.br e correios.com.br inseridos na Whitelist. Com isto os usuários deste grupo não acessam absolutamente nada a não ser os dois dominios que foram especificados e liberados. Veja no exemplo:
6 - Agora, entendendo o conceito das ACLS, crie para o restante dos filtros de conteúdo. Você pode aproveitar o filtro de conteúdo Default e colocar como ultima regra, negando todo o acesso para quem não se autenticar. Lembre que o Endian vai ler as regras de cima para baixo, organize de uma maneira que fique fácil compreender depois.
7 - Tudo pronto ! Agora seu endian já irá autenticar os usuários automaticamente. Mas para tal, você deve alterar as regras de saida em Firewall nas portas 80 e 443 como DROP ao invés de PERMITIR. Forçando os usuários a usarem o proxy definido em seus navegadores. A automação do processo para configurar os navegadores será abordado em outro tutorial.
Bom proveito !
É isso mesmo que você leu ! A nova versão do Samba também suporta autenticação integrada usando o protocolo NTLM.
Pau na máquina ?
1 - O primeiro passo é criar uma entrada no Hosts do Endian apontando para o controlador de dominio. Acesse o webadmin e na aba Rede adicione a entrada host como no exemplo abaixo
2 - Próximo passo é configurar o método de autenticação, vá até a aba Proxy -> Autenticação e selecione Active Directory do Windows ( NTLM ) , informe os campos Dominio de autenticação, Nome do dominio do servidor AD, Nome do servidor primário do AD ( PDC ), Endereço IP do servidor PDC do AD. Demais campos podem ficar em branco e com os seus valores padrão. Preencha e clique em Salvar.
3 - Agora clique no botão Ingressar no Dominio. Informe o usuário com privilégios de Administrador do Dominio , ou no caso do Samba4 o usuário Administrator , insira sua senha e mande ingressar. Pronto, seu Endian agora faz parte de seu dominio.
4 - Agora precisamos definir filtros de conteúdo para os grupos do AD , recomendo a criação de três grupos, que são: Proxy-Restrito ( não tem acesso a nada, apenas a dominios permitidos pela diretoria ) , Proxy-Parcial ( Tem acesso semi liberado, acesso ao google e diversos serviços mas com bloqueios definidos pela diretoria ) e Proxy-Livre ( Usuários privilegiados que podem acessar tudo ).
Acesse a aba Filtro de Conteúdo dentro do menu proxy e crie os 3 grupos necessários conforme mostra a imagem:
Agora crie estes grupos em seu controlador de dominio e insira os usuários em seus respectivos grupos.
5 - Próximo passo é criar as politicas de acesso. Perceba que criamos três grupos de content filter para que cada grupo tenha seus devidos bloqueios e acessos unicos. Nos baseando nos content filters agora vamos criar as ACLS necessárias para cada um destes grupos. Acesse a aba Politica de acesso, e insira uma nova regra
O resumo da regra é a seguinte: Vindo da rede local, com destino qualquer dominio na internet, com autenticação baseada em grupos, pertencente ao grupo Proxy-Restrito, tem acesso liberado passando pelo Filtro de conteúdo Proxy-Restrito. Perceba mais uma vez que quem define o que o usuário pode ou não acessar é o filtro de conteúdo. Os bloqueios devem ser feitos nele. Como este é o grupo restrito vamos utilizar um coringa para bloquear acesso a qualquer dominio e liberaremos dois dominios que seriam essenciais para o trabalho dos usuários que pertencem a este grupo. O coringa de bloqueio é ** inserido na Blacklist e as liberações são os dominios minhaempresa.com.br e correios.com.br inseridos na Whitelist. Com isto os usuários deste grupo não acessam absolutamente nada a não ser os dois dominios que foram especificados e liberados. Veja no exemplo:
6 - Agora, entendendo o conceito das ACLS, crie para o restante dos filtros de conteúdo. Você pode aproveitar o filtro de conteúdo Default e colocar como ultima regra, negando todo o acesso para quem não se autenticar. Lembre que o Endian vai ler as regras de cima para baixo, organize de uma maneira que fique fácil compreender depois.
7 - Tudo pronto ! Agora seu endian já irá autenticar os usuários automaticamente. Mas para tal, você deve alterar as regras de saida em Firewall nas portas 80 e 443 como DROP ao invés de PERMITIR. Forçando os usuários a usarem o proxy definido em seus navegadores. A automação do processo para configurar os navegadores será abordado em outro tutorial.
Bom proveito !