[GTER] Duvida: Single Sign-on do 802.1x para proxy

Urik B. da Silva urik at rootz.com.br
Wed Jul 15 18:42:40 -03 2015 

Boa tarde Fabricio,


Basicamente o que o firewall precisa saber é o user-id e o IP que o 
usuário pegou via DHCP.

Já implementei ambientes assim de quatro maneiras diferentes que lembro 
agora:

1. A controladora Wireless fazendo Radius accounting para o Firewall 
(Fortigate);
2. O firewall (PaloAlto) integrado no AD, este por sinal integrado a um 
NPS (Radius da Microsoft);
3. A controladora enviando via Syslog traps para o firewall, que possuía 
um filtro capturando o User-ID e IP
4. Script em bash coletando usuários via SNMP na controladora e 
inserindo via API no firewall (PaloAlto);


Espero ter ajudado.


Urik Barbosa da Silva
http://www.linkedin.com/in/urikbs
Linux User #431806

On 15/07/2015 14:50, Fabricio Lima wrote:
> Ola pessoal,
>
> Se eu tenho uma AP fazendo 802.1x para usuarios wireless
> q joga pra um Radius q valida o usuario no AD
> O 802.1x vai liberar um IP para o dispositivo movel atribuindo o IP para o
> usuario DOMAIN\John
>
> OK, conectado!
> Mas para John navegar, ele faz nat no fw mas sou obrigado a gerar controles
> por IP.
> Ou manualmente especifico no dispositivo um proxy e tb so teria controles
> por IP.
>
> Voces conseguem pensar como controlar isso por usuario?
> (so consigo imaginar uma 2a tela de autenticacao no proxy via html)
>
> Minha duvida hj foi 'John acabou de digitar a senha para ingressar na rede
> (EAP), pq nao seria possivel reaproveitar isso?'
>
> Android e IOS nao suportam NTLM (entao nao daria pra nem pensar nessa linha)
> Se for um notebook (nao creio q o browser consiga pegar esta credencial da
> conexao, acho q 'ja expirou')
>
> Seria isso mesmo? aquela informaçao q vale ouro, o login/senha foi usado e
> em troca tenho um IP e sou obrigado a reautenticar um usuario por Web?
> (sessao 802.1x expirou e ai ja era o login?)
>
> Um pfSense fazendo o 802.1x permitiria ter controle por usuario?
> (se ele fosse o default gw do wifi)
>
> [ ]'s
> Fabricio Lima
> Sendmail administration is not black magic. There are legitimate technical
> reasons why it requires the sacrifice of a live chicken.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list