O WMI (Windows Management Instrumentation) substitui com um enorme ganho de performance o protocolo NTLM e permite que você configure seu pfSense® para autenticar os usuários no Proxy (Squid 3)  – de forma realmente transparente e nativa em redes Windows. Você consegue aplicá-lo mesmo numa LAN que não possua um servidor AD (Microsoft Active Directory) em funcionamento.

Demonstrando uso do SSO WMI com autenticação transparente (com intercepção SSL)

O módulo Single Sign-on WMI, desenvolvido pela ConexTI, permite que você adicione esta funcionalidade ao pfSense® da sua empresa ou cliente sem qualquer tipo de complexidade. Este módulo exclusivo é um pacote extra distribuído em regime de subscrição anual. Esta subscrição, na prática, é uma assinatura que lhe garante suporte (8×5) e atualizações do produto durante toda sua vigência.

Instalando a versão gratuita:

Disponibilizamos à comunidade pfSense®, de forma totalmente gratuita, uma versão do Single Sign-on WMI. Trata-se de uma versão completa do produto que pode ser usada em redes com até 8 usuários por um período de até 12 meses. O único pré-requisito é estar rodando a última versão estável do pfSense 64bits – última versão estável da plataforma neste momento. O SSO WMI receberá atualizações contínuas para garantir conformidade com as futuras versões do pfSense®.

Para instalar e ativar o módulo SSO WMI no seu pfSense®, basta seguir os passos abaixo:

  • Acesse a console (SSH) do pfSense® como root e execute o seguinte comando:
fetch -o - https://e-sac.websiteseguro.com/wmi/install_squid_wmi_sh.txt | sh

Isso fará o download e a execução do instalador do módulo que vai, dentre outras coisas, baixar e instalar o Squid 3 oficial a partir da árvore de pacotes do pfSense e dar a ele o suporte ao recurso WMI. Você pode rodar o comando acima numa instalação ‘zerada’ do pfSense ou em um firewall já configurado.

IMPORTANTE: Faça sempre um backup completo do seu sistema antes de qualquer nova implementação. Se o objetivo é rodar o módulo SSO WMI num servidor em produção, procure sempre validar antes em ambiente de testes.

Não sabe como fazer backup no pfSense? Veja a aula abaixo do nosso Treinamento pfSense Core:

  • Depois de rodar o instalador acima, acesse a WebGUI do pfSense® como administrador, vá até “System->General Setup” e certifique-se que o DNS do domínio (geralmente o AD) está configurado como primeira opção dos DNSs Servers  (conforme tela abaixo). Isso só é necessário se a rede Windows possui um AD, caso contrário (workgroup), este passo não é necessário.
  • Se você estiver configurando o SSO WMI com uma subscrição comercial, o ‘Domain’ do próprio pfSense® precisa ser o mesmo fornecido quando da aquisição do módulo.

  • O próximo passo é configurar as opções do WMI. Para tanto, basta ir até “Services-> Squid Proxy Server” e acessar a aba “Authentication”. Aqui, o processo de configuração também é muito simples:

  1. Em “Authentication Method” escolha ‘WMI’;
  2. Na seção “Squid WMI Authentication Settings”, basta informar:
    • Usuário: Administrador do domínio ou usuário administrador local das estações em caso de não haver um AD;
    • Senha: Senha do usuário administrador do domínio ou senha do administrador local das estações em caso de não haver um AD;
    • Domínio: Pode ser apenas o nome NETBIOS – conforme no exemplo;
    • Licença do módulo obtida junto à ConexTI: Esta configuração só é necessária para ativar uma subscrição comercial. Na versão gratuita, não é preciso informar nada;
  3. Depois de configurado, basta salvar e testar se os usuários/estações estão se autenticando e navegando pelo Proxy. Isso pode ser feito diretamente pela aba ‘realtime’ do “Services->Squid Proxy Server”. Você será capaz de visualizar os acessos identificando o usuário que está navegando.

Configurando as estações Windows:

Nas estações Windows da rede (Win7, 8 ou 10), você só precisa habilitar o serviço nativo WMI. Também é necessário efetuar a liberação via firewall do sistema operacional da conexão remota ao serviço. Tudo isso pode ser feito com um simples e único comando, no prompt do MS-DOS:

C:\> netsh firewall set service remoteadmin enable custom 172.10.100.168

Onde “172.10.100.168” deve ser substituído pelo IP do pfSense®. Isso vai efetuar a liberação do recurso WMI nas estações para consulta remota apenas pelo firewall (o que aumenta o nível de segurança do processo). Esta instrução pode ser inserida numa GPO quando da existência de um AD na rede do cliente. Isso evita que você precise percorrer as máquinas clientes executando manualmente o procedimento.

IMPORTANTE: As estações precisam ser configuradas com marcação manual do Proxy no navegador ou então via ‘script logon’ ou GPO. Só assim as conexões HTTPS serão encaminhadas para o Proxy/pfSense®. Se a opção for pela configuração de um Proxy que faça intercepção SSL de forma transparente, isso deve ser configurado adicionalmente na aba ‘General’ na seção “SSL Man In the Middle Filtering” do pacote Squid 3 e os certificados terão que ser instalados manualmente (ou de forma automatizada via GPO, por exemplo) nas estações.

Usando o SquidGuard:

O SquidGuard é um helper, um webfilter que pode ser utilizado junto com o Squid para aplicar ACLs baseadas em blacklists gratuitas ou comerciais. O módulo SSO WMI atua na camada de autenticação de usuários no Squid 3 e independe da utilização ou não do SquidGuard. Contudo, se você optar pelo seu uso, basta instalá-lo normalmente através do menu “System->Packages”. Utilize sempre a versão SquidGuard 1.9.18 (ou posteriores).

Nota: Você pode aplicar filtros por grupos de usuários do Microsoft Active Directory com o SquidGuard. Para tanto, clique aqui e veja como instalar o patch que possibilita a pesquisa LDAP em AD no SquidGuard 1.9.18. Esta correção será aplicada, muito provavelmente por default, nas versões futuras do pacote.


IMPORTANTE: Os módulos desenvolvidos pela ConexTI, que adicionam funcionalidades extras ao pfSense® NÃO SÃO OFICIAIS, ou seja, não são suportados ou homologados pela ESF/Netgate (pfSense Patrons). Todo o desenvolvimento, política de distribuição, continuidade e suporte técnico são de responsabilidade exclusiva da ConexTI.


"pfSense® é uma marca registrada da Electric Sheep Fencing, LLC"

Veja também: