Zeroshell Captive Portal e Samba4 (as AD/DC)

L’obiettivo è quello di consentire agli utenti presenti nel dominio OFFICE.LOC creato mediante Samba4, [ la stessa procedura si può applicare a Windows Server che è un KDC ]  l’accesso ai servizi di Captive Portal di Zeroshell.

  • Installazione di ZS, come descritta nei vari “how to” presenti nella sezione di documentazione di Zeroshell. La rete è funzionale alla descrizione dell’integrazione e prevede due indirizzamenti, il primo 192.168.1.0/24 dove è presente il server Samba4 e la rete 192.168.0.0/24 dedicata al Captive Portal. Il server Zeroshell è individuato da 192.168.1.9 e 192.168.0.75 e fornisce alla rete 192.168.0.0/24 i servizi di dhcp, dns, gateway, nat e captive portal. L’accesso alla rete internet è assicurata dalla presenza del router del provider Internet

schema della rete

  • Samba4:  installazione da sorgente con realm OFFICE.LOC

  • Configurazione Kerberos 5 di Zeroshell attraverso la Web GUI

Nella sezione Security —>Kerberos 5 —> Realms è possibile aggiungere il nuovo realm. Dove nel campo Realm indichiamo il realm impostato in fase di provisioning di Samba e in KDC  l’indizizzo IP del server Samba4. L’opzione “Use the DNS to discovery Realms and KDC servers not configured” è sovrabbondante ma potrebbe essere utile se fossero presenti altri KDC Windows

CP_REALMS3

il risultato sarà visibile nella sezione Key Distribution Center List

KERBEROS_ZS

 

  • Configurazione del Captive Portal

Nella sezione Authentication del Captive Portal abbiamo la possibilità in Autorized Domains di aggiungere [ +OFFICE.LOC dopo aver selezionato External Kerberos 5 Realm

CP_REALMS3

Salviamo la configurazione e sul server Samba4 creiamo un nuovo utente mediante il comando samba-tool

[root@nas ~]# samba-tool user create cpuser1 Ciao123!
User 'cpuser1' created successfully

e verifichiamo presenza mediante il comando wbinfo

[root@nas ~]# wbinfo -i cpuser1
OFFICE\cpuser1:*:3000016:100::/home/OFFICE/cpuser1:/bin/false
[root@nas ~]#

Ora utilizziamo un client nella rete 192.168.1.0/24 per accedere ad Internet, saremo reindirizzati alla pagina di autenticazione dove avremo la possibilità di scegliere il nuovo dominio OFFICE.LOC

CP_WITH_REALMS3

e successivamente verremo reindirizzati  al link prescelto

CP_REALMS4

Verifichiamo nella sezione Accounting del Captive Portal che sia riportato il nuovo utente.

CP_REALMS5

Come dettaglio nella sezione Log ritroviamo.

10:16:28  AS: http session (Client: 192.168.0.85) captured for authentication (Popup: yes)
10:16:39  AS: trying Kerberos 5 (External KDC) authentication for cpuser1@OFFICE.LOC (Client: 192.168.0.85)
10:16:40  AS: Success: user cpuser1@OFFICE.LOC (Client: 192.168.0.85) successfully authenticated (Username,Password)
10:16:40  GW: Success: user cpuser1@OFFICE.LOC (IP: 192.168.0.85 MAC: 08:00:27:66:16:8d) connected

 

Bene ora abbiamo anche la centralizzazione degli utenti presenti su SAMBA4

Risultato:

possiamo fornire i servizi di Captive Portal a tutti gli utenti presenti nel dominio Samba4 senza doverli ridefinire anche su Zeroshell.

 

Comments are closed.