Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: fabbioca on February 07, 2014, 02:26:25 pm
-
Tenho um domínio no Win2008 r2, instalei o zentyal 3.3.4 e configurei para conectar ao meu AD. Ele busca meus usuarios/grupos perfeitamente. Utilizo regra no proxy por grupos, cada grupo tem um tipo de bloqueio. Quando logo na maquina funciona tudo perfeitamente, porém gostaria que a autenticação ocorresse no browser, toda vez que o usuario abrir o browser, colocar usuario e senha. Pelo que pesquisei eu teria que desabilitar no proxy a opção de kerberos, porém essa opção fica marcada e não deixa desabilitar nesta versão do zentyal. tem como forçar por comando ou alguma outra opção pra fazer funcionar?
-
Tem como desmarcar sem problemas, mas como qualquer alteração no zentyal; tem que salvar as alterações para que surta efeito!
-
Ok, que precisa desmarcar e salvar, eu entendi ! mas como desmarcar se o box de opção fica "fosco" não permite alteração! essa é a questão.
-
Ok, que precisa desmarcar e salvar, eu entendi ! mas como desmarcar se o box de opção fica "fosco" não permite alteração! essa é a questão.
Estranho, nunca vi nenhuma situação onde essa opção fica desmarcada...
Tenta desativar todos os módulos de usuários e domínio... e o proxy... Salva as alterações e tenta editar o proxy desativado para ver se essa opção volta...
-
sem chances.... já reinstalei tudo zilhões de vezes... depois que sincroniza com o ad, o proxy bloqueia esta opção, não permite que desmarque! certeza que isso não é um "erro" de instalação, e sim determinado pelo modulo. Espero que a equipe do zentyal divulgue alguma atualização para corrigir.
-
Por curiosidade... qual versão ta o seu AD ?
-
2008 standard r2
-
2008 standard r2
Posta prints da tela aí pra nós vermos... sinceridade nunca vi essa opção estar desabilitada... Pra mim aqui tá sempre disponível!
-
(http://) segue print da tela do proxy. obs: lembrando que esta funcionando perfeitamente a replicação do ad, as regras de proxy por grupos. só preciso desabilitar o kerberos, por que quero realizar a autenticação do usuario toda vez que o usuario abrir o browser, pois aqui na empresa realizo controle de uso por usuario.
-
Realmente, não dá pra entender... eu faço integração aqui direto e nunca tive esse problema. O Kerberos tá sempre ativado no proxy
-
mesmo com a ultima versão 3.3.4?
-
mesmo com a ultima versão 3.3.4?
Sim com ela... Semana passada mesmo eu fiz várias demonstrações para clientes em potencial e nunca teve esse problema!
-
muito estranho. já reinstalei, já testei em outros servidores com o AD, apartir do momento que sincroniza o AD ele trava essa opção. se eu desfazer a conexão com o AD ela volta ao normal. E tudo funcionando perfeito, não dá um erro no log. por isso que acho ser do proprio zentyal, forçar o usuario utilizar kerberos. você testou utilizando regras de acesso por grupos?
-
Hum... Será que não é alguma coisa do AD com o Kerberos desativado? Ou ainda alguma GPO que está desativando ou ajustando o kerberos no AD?
Aqui nos meus testes com o AD com suas GPO padrão... não teve problemas com isso.
-
creio que não, o mesmo ad fazia sincronização com um zentyal 2.2 (tinha que instalar o zentyl sync no ad) e funcionava esse sistema de autenticação no browser.
-
Então cara.. .muito estranho.
Comigo aqui sempre funciona.. montei um ambiente hoje no meu notebook com máquinas virtuais e foi tranquilo, sem bloquear essa opção!
-
Se o próprio Zentyal faz a função de controlador de domínio e proxy está opção pode ser marcada ou desmarcada, porém se ele atual somente como Proxy integrado ao AD está opção fica marcada sem a possibilidade de desmarcar. Isso é padrão do sistema. Quando você instala o módulo Users e Computers e configura para um AD externo ele já ativa essa opção.
-
Estranho cara... aqui eu consigo marcar/desmarcar essa opção... mesmo como proxy integrado ao ad...
Bem... por via das dúvidas, vou repetir os testes aqui pra ver se não to falando besteira...
-
Na realidade acho que estamos trabalhando de forma diferente. Eu não instalo o módulo File Sharing e Domain Services.
Pelo que me parece você está configurando o Zentyal como um controlador de domínio adicional. Se for isso eu não faço assim pois colocar um controlador de domínio em cima de um firewall é muito perigoso para a segurança da rede. Eu instalo somente o módulo Users e Computers e antes de ativar o módulo eu configure o modo de trabalho dele.
-
Ah tá... mas configurando dessa forma Não vai conseguir fazer controle de navegação no proxy em cima dos usuários do domínio, correto?
-
Vai sim, inclusive eu faço controle usando os grupos do AD.
-
andre, eu faço como voce descreve, não instalo file sharing. apenas no usuarios e computadores, adiciono meu ad externo. tem como relatar mais ou menos um passo a passo, de como voce está fazendo ? estou achando estranho.
-
Boa tarde !
Vou tentar descrever os passos e qualquer coisa você vai perguntando:
1) Instale o Zentyal. Isso é óbvio.
- Suponho que ele será o gateway da sua rede então terá duas placas de rede.
- Após a instalação vá em geral e se desejar altere o nome para o seu zentyal e em domínio coloque o mesmo domínio do AD.
- Reinicie seu Zentyal.
2) Instale o pacote Network Configuration e Firewall
- Ative o módulo do firewall e redes.
- Vá em REDES e configure a interface externa com IP e máscara correspondente. Marque esta placa como externa.
- Ainda em redes vá em gateway e coloque o IP que provavelmente será do seu modem de internet.
- em DNS coloque o IP do seu servidor que atua como controlador de domínio
- em Domínio de Busca coloque o FQDN do seu domínio.
- Salve as alterações e em ferramentas teste o Ping para um site externo.
- Coloque agora na outra interface um IP de sua rede interna, ou seja na mesma rede do Active Directory.
- Em ferramentas ping para o nome do seu controlador de domínio. Pingue pelo nome e não pelo IP.
3) Acesse o seu controlador de domínio e no DNS crie um registro tipo A como o nome do seu Zentyal fornecendo seu IP da interface interna. Aproveite e marque para criar o registro PTR correspondente.
- Verifique se do seu AD consegue pingar no Zentyal pelo nome, nunca pelo IP.
4) Instale o pacote Users and Computers
- Após a instalação e antes de ativar o módulo clique "Usuários e Computadores" e depois em "Configure Mode".
- Em "Server mode" selecione "Use External Active Directory Server".
- Em "Active Directory Hostname" coloque o FQDN do seu AD
- Em "Administrative user of the Active Directory" coloque o nome de algum membro do grupo Admins do Domínio ou Domain Admins se seu windows estiver em inglês.
- Nos dois próximos campos coloque e repita a senha do usuário que você escolheu.
- Clique em Alterar e depois em Salvar Alterações
5) Ative o Módulo Users and Computers
- Depois de ativado o módulo salve as alterações
- Volte em Usuários e Computadores
- Clique em Manage e se você configurou tudo certo já apareceram os usuários e grupos do seu AD
A partir daí é só instalar o proxy e e configurar para autenticar pelos grupos do AD
Espero ter sido claro mas qualquer dúvida posta ai.
Grande Abraço.
-
É exatamente o que eu faço !!! o dns do ad e do zentyal conversam perfeitamente, o zentyal buscal todos meus users e groups do ad, funciona as regras do proxy por grupos, etc... porém apartir do momento que ativo o modulo de usuarios no zentyal (mesmo sem habilitar o proxy) ele não permite mais que desmarque a opção de kerberos do proxy. impossivel alterar mesmo com o proxy desativado.
-
É exatamente o que eu faço !!! o dns do ad e do zentyal conversam perfeitamente, o zentyal buscal todos meus users e groups do ad, funciona as regras do proxy por grupos, etc... porém apartir do momento que ativo o modulo de usuarios no zentyal (mesmo sem habilitar o proxy) ele não permite mais que desmarque a opção de kerberos do proxy. impossivel alterar mesmo com o proxy desativado.
É cara... aí tá parecendo que é um recurso obrigatório... Só vejo solução se colocar o seu proxy como controlador secundário do domínio. Mas aí vai resolver um problema e criar outro: SEGURANÇA...
Nada que não tenha solução... e a solução aqui seria ter o firewall no perímetro... e outro firewall junto com o seu proxy/ad secundário...
-
Pois é, já fiz diversos testes e já tenho mais que certeza que o recurso é obrigatorio! até pq está tudo funcionando perfeitamente. só queria desabilitar o kerberos para que o browser solicite usuario/senha toda vez que entre em navegação.
-
Faz como falei... coloca como controlador adicional..
-
Olá pessoal !
Estou usando o zentyal 4.0 como proxy lendo usuarios e grupos do ad 2012, está funcionando muito bem com cliente windows autenticado no domínio, mas quando vem uma pessoa de fora do domino ele não pede usuário e senha, já vai negando o acesso. A intenção é fazer funcionar as duas formar pra quando alguem de fora chegar ele abra o pop up de usuario e senha.
Alguém já passou por isso ?
-
Agora faz mais sentido essa parte.
Você quer saber como a moda ---> Você quer fazer como a moda