[Gutl-l] Re: squid vs AD

Tue, 13 Nov 2018 13:17:11 -0800

Mano yo autentico por tichet de kerberos que usa la sesion del usuario en el controlador de dominio para la navegación, que en tienes tu controlador de dominio? 

On 13/11/18 3:51 p. m., Jesús Miguel wrote:



Gracias Gustavo veré que hago acá… mucha gracias quería preguntarle 
otra cosa el método de auth que usas cual es porque dicen que 
squid_ldap_auth las contraseñas viajan en texto plano…


saludos

*De:*Gustavo Valmaña Villalonga [mailto:adredge...@infomed.sld.cu]
*Enviado el:* martes, 13 de noviembre de 2018 10:39 a.m.
*Para:* gutl-l@listas.jovenclub.cu
*Asunto:* [Gutl-l] Re: squid vs AD


Ya te entiendo mano, lo que peudes hacer es crear una acl con ficheros 
de las IP, otra con ficheros de las MAC y la de los grupos, y luego el 
http_access con las 3 acls, este es un ejemplo de como lo tengo yo


###--- Declarando ACL para Squid desde las Externas
acl nacional external acl_nav_nac
acl internacional external acl_nav_inter
acl internet_full external acl_nav_inter_full
acl informaticos external acl_nav_informaticos

#ACL PARA LAS MAC
acl mac_informaticos arp "/etc/squid3/datos/access/mac_informaticos"
acl mac_internet arp "/etc/squid3/datos/access/mac_internet"
acl mac_nacional arp "/etc/squid3/datos/access/mac_lan"

#ACL PARA LAS IP
acl ip_informaticos src "/etc/squid3/datos/access/ip_informaticos"
acl ip_internet src "/etc/squid3/datos/access/ip_internet"
acl ip_nacional src "/etc/squid3/datos/access/ip_lan"


############ ACCESO A NAVEGACION INFORMATICOS 
######################################

http_access allow informaticos ip_informaticos mac_informaticos


##################### ACCESO A NAVGACION INTERNET PLENA 
#############################
http_access allow internet_full ip_internet mac_internet !no_updates 
!sitios_porno !palabras_denegadas !dominios_negados



######################## ACCESO A NAVEGACION INTERNACIONAL 
############################

http_access deny redes_sociales !horario_sociales_1 !horario_sociales_2
http_access deny correos_externos

http_access allow internacional ip_internet mac_internet !no_updates 
!sitios_porno !palabras_denegadas !dominios_negados



################## ACCESO A NAVEGACION NACIONAL 
####################################3
http_access allow nacional ip_nacional mac_nacional cuba !no_updates 
!sitios_porno !palabras_denegadas !dominios_negados
http_access allow nacional ip_nacional  mac_nacional sitios_permitidos 
!no_updates !sitios_porno !palabras_denegadas !dominios_negados



mas o menos es algo como eso, debes en cada fichero poner las MAC y 
las IP, y si no coincide que la solicitud este en el grupo de las IP, 
MAC y usuarios no las acepta, y para mayor seguridad permite solo que 
los usuarios inicien sesion en las pc correspondiente del directorio 
activo y ya


On 13/11/18 3:29 p. m., Jesús Miguel wrote:

    En este caso que doy acceso por miembros de ese grupo no me ancla
    ip+mac+user no? Entonces estoy tratando de ver eso ahí manteniendo
    la misma conf en squid

    O me equivoco?...

    *De:*Gustavo Valmaña Villalonga [mailto:adredge...@infomed.sld.cu]
    *Enviado el:* martes, 13 de noviembre de 2018 10:18 a.m.
    *Para:* gutl-l@listas.jovenclub.cu <mailto:gutl-l@listas.jovenclub.cu>
    *Asunto:* [Gutl-l] Re: squid vs AD

    Que queires decir con que queda en evidencia ip+mac+user ?

    On 13/11/18 3:15 p. m., Jesús Miguel wrote:

        Ya logré autenticar en base a mi controlador de dominio;
        aclarar lo hice habilitando un grupo para la navegación a
        Internet (InternetAccess) pero me surge la duda de esta forma
        la combinación ip+mac+user quedaría en evidencia no?... cómo
        pudiera afinar esto un poco más…

        sugerencias

        saludos




        _______________________________________________

        Gutl-l mailing list --gutl-l@listas.jovenclub.cu  
<mailto:gutl-l@listas.jovenclub.cu>

        To unsubscribe send an email togutl-l-le...@listas.jovenclub.cu  
<mailto:gutl-l-le...@listas.jovenclub.cu>



    _______________________________________________

    Gutl-l mailing list --gutl-l@listas.jovenclub.cu  
<mailto:gutl-l@listas.jovenclub.cu>

    To unsubscribe send an email togutl-l-le...@listas.jovenclub.cu  
<mailto:gutl-l-le...@listas.jovenclub.cu>


_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu



--
Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema 
Nacional de Salud. La persona que envia este correo asume el compromiso de usar 
el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/

_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu






















					Responder a