Autenticação transparente do Netdeep Secure com o Active Directory

Uma das dificuldades do administrador da rede é ter uma base única de autenticação para os serviços de rede. Como sabemos, o serviço Active Directory da Microsoft possibilita a integração da autenticação entre aplicativos compatíveis com LDAP ou Kerberos.

Este guia ensina como configurar o firewall Netdeep Secure para realizar autenticação transparente (usando Kerberos) dos usuários na navegação (Proxy Web), sem necessitar da instalação de aplicativos auxiliares nas estações.

Preparando o Netdeep Secure

O DNS primário do firewall precisa ser o IP do servidor do Active Directory. Para isso conecte no firewall por ssh ou no console com o usuário root e logo em seguida digite setup e pressione a tecla ENTER.

Irá exibir uma tela azul, escolha a opção Rede e pressione ENTER:

01

 Agora selecione a opção Configurações de DNS e Gateway e pressione ENTER

02

Apague o que estiver digitado no DNS primário e digite o IP de seu servidor Active Directory.

Obs.: no nosso exemplo o IP do AD é 192.168.1.74

03

Depois escolha a opção OK. Irá voltar para tela de “Menu de configuração de rede”, escolha a opção Voltar, irá exibir uma tela “Reconfigurando as redes…” aguarde até que seja realizada a configuração e em seguida escolha a opção Sair.

Preparando o Active Directory

Utilizando o snap in “Usuários e computadores do Active Directory” crie um usuário comum (por exemplo: na chave<domínio> , Users, crie o usuário netdeep) para conexão com o Active Directory. Ele não precisa estar em nenhum grupo especial.

Em “Gerenciador DNS” navegue até Zonas de pesquisa direta e clique com o botão direito em cima do seu domínio (no meu exemplo empresa.local) e escolha a opção Novo Host(A ou AAAA)…

Em “Host” digite firewall e em “Endereço IP” digite o endereço IP da GREEN do firewall (como no exemplo abaixo) em seguida clique em OK.

04

Agora é necessário que você gere o arquivo Keytab que iremos utilizar na configuração do Netdeep Secure.

O arquivo de Keytab deve ser criado com o seguinte comando no prompt do AD:
ktpass -princ HTTP/<fqdn do firewall>@<DOMINIO> -mapuser <DOMINIO\usuario> -crypto all -mapop set -pass <Senha do usuario de bind> -ptype KRB5_NT_PRINCIPAL -out HTTP.keytab

  • fqdn do firewall: é o DNS que configuramos para o firewall + o domínio (empresa.local)
  • DOMINIO: é seu domínio em letra MAIÚSCULA (EMPRESA)
  • usuário: é o usuário criado anteriormente (netdeep)
  • Senha do usuário de bind: é a senha do usuário(netdeep) que foi criada, no meu caso Net2015#

Feita a alteração, o comando ficaria da seguinte maneira:

ktpass -princ HTTP/firewall.empresa.local@EMPRESA -mapuser EMPRESA\netdeep -crypto all -mapop set -pass Net2015# -ptype KRB5_NT_PRINCIPAL -out HTTP.keytab

05

O arquivo HTTP.keytab será criado no diretório onde o comando foi executado. No exemplo acima o arquivo foi criado em C:\Users\Administrador.SRVTESTE\

Configurando o Netdeep Secure

Abra a interface gráfica do firewall utilizando um navegador de internet. Em seguida, no menu esquerdo, clique em Serviços e no menu que é exibido escolha a opção Proxy Web.

Após o carregamento da pagina, desça a barra de rolagem até o final da pagina. Em “Método de autenticação” selecione a opção “KERBEROS” e clique em Salvar.

06

Irá carregar novamente a tela exibindo a configuração do Kerberos.

Para visualizar as configurações desça novamente a barra de rolagem até o final da página e preencha os campos mencionados abaixo para realizar as configurações de autenticação.

Domínio do Active Directory: você deve colocar o seu domínio (Exemplo: empresa.local)

FQDN do servidor de AD: é o nome do servidor do AD + domínio (Exemplo: srvteste.empresa.local)

FQDN do firewall do domínio: é o nome do DNS configurado anteriormente no AD para o firewall + domínio (Exemplo: firewall.empresa.local)

Usuário para bind do AD (usuário@dominio): é o nome de usuário criado anteriormente + domínio (Exemplo: netdeep@empresa.local)

Senha: é a senha criada para o usuário.

Arquivo Keytab: é o arquivo que foi gerado através do comando executado no prompt do AD.

07

Após o preenchimento de todos os campos e importado o arquivo Keytab, clique em Salvar.

Configurando as estações

Nas configurações de Proxy de cada estação que irá ser autenticada de forma transparente, o endereço do servidor Proxy deverá ser o endereço completo de DNS do firewall que foi criado (host.domínio), a porta é a que esta configurada no proxy web.

No nosso exemplo o endereço seria: firewall.empresa.local

08

Sobre o Netdeep Secure:

O Netdeep Secure é uma solução de firewall desenvolvido pela Netdeep Tecnologia, com o apoio da comunidade de segurança. Oferece recursos de filtro de conteúdo Web e cache, garantindo uma melhor performance da rede, permitindo ao usuários um serviço eficiente e seguro, através de um controle minucioso da utilização do serviço de acesso a Internet.
É uma distribuição GNU/Linux, utiliza o kernel LINUX e todas as ferramentas open source utilizadas sofreram alterações e otimizações.
O Sistema Operacional GNU/LINUX e várias ferramentas utilizadas no Netdeep Secure possuem fonte aberta e estão sob a licença GNU General Public License 2.

Para mais informações e download acesse: https://www.netdeep.com.br/firewall/

Deixe o seu comentário

netdeep