El Sat, 14 Sep 2013 08:33:34 +0200, Usuario Lista escribió: > Actualmente tengo un servidor debian haciendo de proxy autenticado y > conectado contra un Active Directory para que en el inicio de sesión de > los clientes pille las credenciales (SSO) y no tengan que logarse cuando > abren el navegador. Vamos lo que viene siento > Squid+AD+Kerberos+Ntlm+Ldap. > > Todo funciona perfectamente, pero tengo un equipo en la red en el cual > se inicia sesión con un usuario genérico y lo utilizan muchos usuarios > diferentes para usar los programas que tiene instalados. Lo que quiero > es que desde ese equipo cada vez que se abre el navegador salte el popup > pidiendo usuario y contraseña de squid. > > Por defecto no pide nada, ya que pilla las credenciales del usuario > genérico que inicia la sesión en windows. > > Se os ocurre alguna forma?
El problema que le veo es que si el usuario genérico ya está autentificado mediante kerberos, squid lo va a reconocer siempre. En su web mencionan algo sobre esto pero no sé si se podrá aplicar con kerberos de por medio: http://wiki.squid-cache.org/Features/ Authentication#How_do_I_ask_for_authentication_of_an_already_authenticated_user.3F > Una posibilidad es que la maquina no inicie sesión en dominio, pero me > parece una chapu. (...) Preguntonta: ¿Iniciar sesión en el dominio te obliga a usar kerberos para autentificar a todos los usuarios? Porque lo único que se me ocurre es que ese usuario genérico pudiera iniciar sesión sin kerberos de por medio y que Squid, al no poder autentificarlo mediante kerberos saltara a otro sistema de autentificación básico y que afectaría únicamente para este usuario. Lo lógico sería que kerberos permitiera gestionar qué usuarios tienen acceso a qué servicios (es decir, configurar niveles de acceso) pero esto ya no sé si es posible. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.14.16.51...@gmail.com
