Autenticação transparente do Netdeep Secure com o Active Directory
Uma das dificuldades do administrador da rede é ter uma base única de autenticação para os serviços de rede. Como sabemos, o serviço Active Directory da Microsoft possibilita a integração da autenticação entre aplicativos compatíveis com LDAP ou Kerberos.
Este guia ensina como configurar o firewall Netdeep Secure para realizar autenticação transparente (usando Kerberos) dos usuários na navegação (Proxy Web), sem necessitar da instalação de aplicativos auxiliares nas estações.
Preparando o Netdeep Secure
O DNS primário do firewall precisa ser o IP do servidor do Active Directory. Para isso conecte no firewall por ssh ou no console com o usuário root e logo em seguida digite setup e pressione a tecla ENTER.
Irá exibir uma tela azul, escolha a opção Rede e pressione ENTER:
Agora selecione a opção Configurações de DNS e Gateway e pressione ENTER
Apague o que estiver digitado no DNS primário e digite o IP de seu servidor Active Directory.
Obs.: no nosso exemplo o IP do AD é 192.168.1.74
Depois escolha a opção OK. Irá voltar para tela de “Menu de configuração de rede”, escolha a opção Voltar, irá exibir uma tela “Reconfigurando as redes…” aguarde até que seja realizada a configuração e em seguida escolha a opção Sair.
Preparando o Active Directory
Utilizando o snap in “Usuários e computadores do Active Directory” crie um usuário comum (por exemplo: na chave<domínio> , Users, crie o usuário netdeep) para conexão com o Active Directory. Ele não precisa estar em nenhum grupo especial.
Em “Gerenciador DNS” navegue até Zonas de pesquisa direta e clique com o botão direito em cima do seu domínio (no meu exemplo empresa.local) e escolha a opção Novo Host(A ou AAAA)…
Em “Host” digite firewall e em “Endereço IP” digite o endereço IP da GREEN do firewall (como no exemplo abaixo) em seguida clique em OK.
Agora é necessário que você gere o arquivo Keytab que iremos utilizar na configuração do Netdeep Secure.
O arquivo de Keytab deve ser criado com o seguinte comando no prompt do AD:
ktpass -princ HTTP/<fqdn do firewall>@<DOMINIO> -mapuser <DOMINIO\usuario> -crypto all -mapop set -pass <Senha do usuario de bind> -ptype KRB5_NT_PRINCIPAL -out HTTP.keytab
- fqdn do firewall: é o DNS que configuramos para o firewall + o domínio (empresa.local)
- DOMINIO: é seu domínio em letra MAIÚSCULA (EMPRESA)
- usuário: é o usuário criado anteriormente (netdeep)
- Senha do usuário de bind: é a senha do usuário(netdeep) que foi criada, no meu caso Net2015#
Feita a alteração, o comando ficaria da seguinte maneira:
ktpass -princ HTTP/firewall.empresa.local@EMPRESA -mapuser EMPRESA\netdeep -crypto all -mapop set -pass Net2015# -ptype KRB5_NT_PRINCIPAL -out HTTP.keytab
O arquivo HTTP.keytab será criado no diretório onde o comando foi executado. No exemplo acima o arquivo foi criado em C:\Users\Administrador.SRVTESTE\
Configurando o Netdeep Secure
Abra a interface gráfica do firewall utilizando um navegador de internet. Em seguida, no menu esquerdo, clique em Serviços e no menu que é exibido escolha a opção Proxy Web.
Após o carregamento da pagina, desça a barra de rolagem até o final da pagina. Em “Método de autenticação” selecione a opção “KERBEROS” e clique em Salvar.
Irá carregar novamente a tela exibindo a configuração do Kerberos.
Para visualizar as configurações desça novamente a barra de rolagem até o final da página e preencha os campos mencionados abaixo para realizar as configurações de autenticação.
Domínio do Active Directory: você deve colocar o seu domínio (Exemplo: empresa.local)
FQDN do servidor de AD: é o nome do servidor do AD + domínio (Exemplo: srvteste.empresa.local)
FQDN do firewall do domínio: é o nome do DNS configurado anteriormente no AD para o firewall + domínio (Exemplo: firewall.empresa.local)
Usuário para bind do AD (usuário@dominio): é o nome de usuário criado anteriormente + domínio (Exemplo: netdeep@empresa.local)
Senha: é a senha criada para o usuário.
Arquivo Keytab: é o arquivo que foi gerado através do comando executado no prompt do AD.
Após o preenchimento de todos os campos e importado o arquivo Keytab, clique em Salvar.
Configurando as estações
Nas configurações de Proxy de cada estação que irá ser autenticada de forma transparente, o endereço do servidor Proxy deverá ser o endereço completo de DNS do firewall que foi criado (host.domínio), a porta é a que esta configurada no proxy web.
No nosso exemplo o endereço seria: firewall.empresa.local
Sobre o Netdeep Secure:
O Netdeep Secure é uma solução de firewall desenvolvido pela Netdeep Tecnologia, com o apoio da comunidade de segurança. Oferece recursos de filtro de conteúdo Web e cache, garantindo uma melhor performance da rede, permitindo ao usuários um serviço eficiente e seguro, através de um controle minucioso da utilização do serviço de acesso a Internet.
É uma distribuição GNU/Linux, utiliza o kernel LINUX e todas as ferramentas open source utilizadas sofreram alterações e otimizações.
O Sistema Operacional GNU/LINUX e várias ferramentas utilizadas no Netdeep Secure possuem fonte aberta e estão sob a licença GNU General Public License 2.
Para mais informações e download acesse: https://www.netdeep.com.br/firewall/
Este artigo foi lido 4138 vezes!
Deixe o seu comentário