Messages

Ouais ce n'est pas vraiment une solution mais peut être dans une future version on sait jamais :)

Bon j'ai bien une solution générale (ssh, console, proxy...) mais elle ne résiste pas à un reboot ni mise à jour. ::) ???
Il faut créer une classe login.conf

Code Select Expand

logon:\
:times.allow=MoTuWeThFr0800-17:\
:tc=default:


Code Select Expand

cap_mkdb -v /etc/login.conf

MoTuWeThFr0800-17 : Correspond au jours de la semaine de 8h à 17h

Code Select Expand

# adduser test
Username: test
Full name:
Uid (Leave empty for default):
Login group [test]:
Login group is test. Invite test into other groups? []:
Login class [default]: logon
Shell (sh csh tcsh nologin) [sh]:
Home directory [/home/test]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username   : test
Password   : *****
Full Name  :
Uid        : 1002
Class      : logon
Groups     : test
Home       : /home/test
Home Mode  :
Shell      : /bin/sh
Locked     : no


J'ai ouvert deux tickets sur github (https://github.com/opnsense/core/issues/1660 https://github.com/opnsense/core/issues/1661)

Salut phil31,

Il y a ce qu'il faut dans l'installation mais pas forcément d'interface graphique. Une idée serait de créer des classes login.conf de type "enfant", "adulte" ce que tu veux avec comme propriété "times.allow heures autorisées" et attribuer à ton utilisateur la classe puis activer l'authentification locale dans squid.
Je vais faire des tests dans une VM et j'ouvrirais certainement un PR.

Salut,

Je n'ai pas trouvé non plus d'option pour créer une plage horaire (peut être ouvrir un PR sur github). Par contre, est-ce que tu utilises une authentification style radius ?

rgemmell,

Cool  :) Ah right I missed clock problem. Now you should have a /usr/local/etc/ssoproxyad/PROXY.keytab file and your OPNsense in AD (ou=computers).
Last step, you need to reset computers in AD and try updateDomain button.

And proxy SSO should work in IE,  check in OPNsense /var/log/squid/access.log file

The plugin miss an updateDomain crontab to update computer account (it expires every 30 days). I do not know what happens if computer is not updated in time...

Could you run the following from console (respect upppercase)

Code Select Expand


# cat /etc/resolv.conf
# dig -x 192.168.1.77
# dig hilt-opnsense.bwt.local
# cat /usr/local/etc/ssoproxyad/krb5.conf
# kinit Administrateur@BWT.LOCAL
# klist
# /usr/local/sbin/msktutil -c -b CN=COMPUTERS -s HTTP -k /usr/local/etc/ssoproxyad/PROXY.keytab --computer-name HILT-OPNSENSE --upn HTTP/hilt-opnsense.bwt.local --server bwx-hilt-dc01.bwt.local --enctypes 28 --verbose

You need also a PTR record for HILT-OPNSENSE.bwt.local

Basically the plugin use the same configuration described here http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#Configuring_a_Squid_Server_to_authenticate_off_Active_Directory

I still think it's a DNS problem my AD DNS contains this (sorry it's in french, but the important part is opnsense A and PTR)

OPNsense must be in same domain as AD (hostname configuration page)
   Confirmed, under settings, General, the hostname is set to HILT-OPNSENSE

And the domain ?

ok, could you confirm all prerequisites are ok ?

Hi,
Could you ping your OPNsense with hostname.domain and IP ?
If you can, I'm on IRC #opnsense for debugging

Could you run from the console:

Code Select Expand

# configctl ssoproxyad joinDomain

The button "Test" actually only prints a "Test ok!" message, in future it should test prerequisites and fields.

Hi,

Domain Controller must be in same Domain, it should be BWX-HILT-DC01.HILT-OPNSENSE and Version can only be 2003 or 2008. For 2012 Domain, you can use 2008.

Hi rgemmell,

This is the configuration I use, Domain Version can be 2003 or 2008 then save and join domain