Olá pessoal,
Depois de ter um relativo trabalho, resolvi postar aqui como se dece configurar o Endian para que os usuários naveguem na Internet através do Proxy de forma identificada.
O ambiente usado é:
– Servidor Windows Server 2008 R2 Standard Edition (IP 192.168.0.5)
– Endian Firewall 2.5.1 (IP 192.168.0.1)
– Estrutura da rede Simples, sem DMZ. O Endian está ligado ao Velox na mesma rede que o Windows Server (AD).
Estamos considerando neste tutorial que o Windows Server está instalado corretamente com o seu AD e o Firewall também.
Usamos um exemplo de domínio diferente do padrão do Windows justamente para exemplificar bem. Criamos um domínio fictício chamado “ACT.local”.
Bom, os passos a seguir são:
1) Vá em “Network/Edit Hosts/Add a host”. Será exibida a tela abaixo. Preencha conforme solicitado onde IP Address é o IP do seu servidor Windows, Hostname é o nome do seu servidor Windows (sem o domínio) e Domain Name é o nome do seu domínio. Depois clique em “Add Host”.
A tela que deve ser exibida para você depois de adicionar o host é:
2) Depois vá em “Proxy / HTTP”. Habilite o proxy (Enable HTTP Proxy) da forma “not transparent”. No meu caso usei a porta 8080 mesmo. Depois clique em “Save” e aguarde o firewall realizar toda a alteração. A tela abaixo mostra como deve ficar.
3) O próximo passo é você ir em “Proxy / HTTP / Authentication”. Escolha a opção “Windows Active Directory (NTLM)”. Na tela abaixo mostramos como deve ficar a configuração.
– Em Authentication Realm você deve colocar o domínio do seu AD.
– Em Domainname of AD server você deve colocar o domínio do seu AD.
– EM PDC hostname of AD server você deve colocar o nome do seu servidor (sem o domínio)
– Em PDC ip address of AD server você deve colocar o IP do seu servidor Windows.
O resto deixe como vem default e clique em “Save”.
4) Depois eu as configurações forem salvas, clique no botão “join domain”. A tela abaixo será exibida. Você deve colocar um usuário e senha de um Domain Admin. Depois clique no botão “Join ADS”.
Nesta etapa será feito o Join do Firewall no seu AD e passará a existir um computador com o nome do seu firewall no seu AD.
Abaixo como deve aparecer seu firewall no AD do Windows.
5) Feito com sucesso o Join no AD do Firewall, vá em “Proxy / HTTP / Access Policy / Add Access Policy”. A tela abaixo deve ser exibida. Prrencha da seguinte forma:
– Authentication – Escolha group based
– Allowed Groups – Escolha um grupo que terá permissão para navegar. No exemplo usei o Domain Users, mas sugiro que você crie um grupo no Windows e coloque todos os usuários dentro dele.
– Em Filter Profile – Escolha o filtro default do Endian
– Position – Escolha Last
– O resto deixe como padrão e clique no botão “Create policy”.
Feito isto, a tela exibida deve ser a que está abaixo, onde temos a regra que vem default do Endian e a que criamos acima.
Pronto! Feito isto, o usuário da sua rede quando abrir o browser poderá navegar na Internet através do proxy sem a necessidade de colocar usuário senha no primeiro acesso, pois desta forma que configuramos a autenticação do proxy o sistema valida o usuário que está logado no Windows.
Ah, uma coisa MUITO IMPORTANTE! Lembre-se de desativar a porta 80 e 443 nas regras de saída do seu firewall, senão os usuários que não tiverem o proxy configurado poderão navegar por fora do proxy e você não terá controle do que está sendo acessado. Veja na tela abaixo as regras de saída do firewall desativadas.
OBSERVAÇÃO:
Quando você está usando o Endian 2.4.1 além do tutorial acima deve acessar o Endian via SSH e rodar os comandos abaixo:
# chown -R root:squid /var/cache/samba/winbindd_privileged
# /etc/init.d/winbind restart
Se você não fizer isto, os browsers do computador do usuário vão pedir login e senha para navegar e por mais que você digite corretamente não vão autenticar.
Abs,
Marcus.