a ver al parecer tienes un error de concepto, squid usa varios backend
para almacenar los uauarior:ldap,mysql,fichero. Ahora bien los
mecanismos son basic, digest, NTLM.
On 27/01/14 17:46, Juan Carlos wrote:
El 27/01/14 11:07, Carlos Cesar Caballero Díaz escribió:
Hola, hace algún tiempo este tema me está dando vueltas, así que lo
quiero comentar a los amigos de la lista.
En muchos lugares, se está implementando en squid el método de
autenticación Digest, en detrimento del Basic por cuestiones de
seguridad, sin tener en cuenta la incompatipilidad de este mecanismo
de autenticación para/con muchísimas aplicaciones (tanto en linux
como en windows), por lo que, como ocurre muchas veces, se están
afectando los procesos productivos (o se podrían afectar en un
futuro), cosa que NUNCA debería pasar teniendo en cuenta que siempre
hay alternativas aunque cueste un poco mas de trabajo implementarlas.
Estas son mis impresiones (un poco lo que he investigado) con los
métodos de autenticación que conozco (si hay algún error, por favor
corregirlo):
Basic: Es un mecanismo de autenticación rápido, fácil de configurar,
pero inseguro, esto radica en que las credenciales viajan codificadas
en base64, lo que permite capturar los paquetes de la red,
decodificarlos y obtener los pares nombre de usuario y contraseña.
Puede ser utilizado a través de ssl, lo que le añade una capa de
seguridad extra (con lo que se considera seguro), aunque lo hace mas
lento y difícil de configurar.
Digest: Es considerado un poco mas seguro que el Basic, el mecanismo
de autenticación consta de 4 pasos por lo que es considerablemente
mas lento que el Basic y muy pocas aplicaciones tienen
implementaciones funcionales, por ejemplo Endnote en windows o npm
(de nodeJs en linux). No obstante su fortaleza sobre el método Basic,
es considerado como inseguro por varia razones, y puede ser objeto de
varios tipos de ataque, por lo que es poco utilizado.
NTLM: Método propietario, pero con implementaciones libres, se
considera mas seguro que los anteriores (aunque tiene sus fallas) y
existen muchas aplicaciones que lo soportan, además hay ampliamente
difundidas aplicaciones como cntlm, que permiten a otras aplicaciones
que no lo soportan funcionar, al parecer su configuración es mas
complicada, ya que requiere de un PDC con Samba.
Entonces, ¿que impide en lugar de configurar Squid con el método
Digest (extremadamente incompatible con muchas aplicaciones, inseguro
y poco utilizado a nivel mundial), utilizar Basic con ssl (teniendo
en cuenta que Digest es casi igual de lento), o NTLM (teniendo en
cuenta que en la mayoría de los lugares se configura un PDC con
samba) y así no entorpecer los procesos productivos, inutilizando
aplicaciones que se usaban, o se podrían usar en un futuro?
Saludos.
--
Este mensaje le ha llegado mediante el servicio de correo electronico
que ofrece Infomed para respaldar el cumplimiento de las misiones del
Sistema Nacional de Salud. La persona que envia este correo asume el
compromiso de usar el servicio a tales fines y cumplir con las
regulaciones establecidas
Infomed: http://www.sld.cu/
¿Y que hay de los mecanismos Ldap y MySql?
--
Este mensaje le ha llegado mediante el servicio de correo electronico que
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
Nacional de Salud. La persona que envia este correo asume el compromiso de usar
el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
