Ese metodo es muy fácil, pero tiene una vulnerabilidad, autenticación en texto plano, es decir las credenciales de los usuarios viajan en texto legible y eso en cualquier auditoria de la OSRI es vulnerable al seguro
Tec. Gustavo Valmaña Villalonga Administrador de Redes GEASP “Adéntrate en la nada, acomete contra el vacío, rodea lo que defiende, asáltalo donde no te espere. Sun Tzu” -----Mensaje original----- De: Alexis Verano Glez [mailto:alexis.ver...@uai.onbc.cu] Enviado el: viernes, 21 de diciembre de 2018 11:42 Para: Lista cubana de soporte técnico en Tecnologias Libres <gutl-l@listas.jovenclub.cu> Asunto: [Gutl-l] Re: squid vs AD Amigo, te deejo como yo conecto mi squid con el directorio activo, solo modificando eestos parametros en el squid.conf ################################################# ... .. . acl red_intranet src "/etc/squid/listas/ips_red_intranet" acl dominios_cuba dstdomain .cu auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=tu,dc=dominio,dc=cu" -D "cn=administrator,cn=Users, dc=tu,dc=dominio,dc=cu" -w "passw-del-administrator" -f sAMAccountName=%s -h ldap://ip-server-dominio auth_param basic children 5 auth_param basic realm Web-Proxy # ACCESOS A LA RED CUBA external_acl_type ldapgroup_intranet %LOGIN /usr/lib/squid/ext_ldap_group_acl -R -b "dc=tu,dc=dominio,dc=cu" -D "cn=administrator,cn=Users,dc=tu,dc=dominio,dc=cu" -w "passw-del-administrator" -f "(&(sAMAccountName=%u) (memberof=cn=INTRANET,cn=Users,dc=tu,dc=dominio,dc=cu))" -h ldap://ip-server-dominio acl ldapgroup-intranet external ldapgroup_intranet INTRANET http_access allow ldap-auth ldapgroup-intranet red_intranet dominios_cuba . .. ... ################################################# Saludos y espero resuelvas... -- Lic. Alexis Verano Glez Jefe Departamento de Informática Centro Nacional de Desarrollo Profesional.ONBC Correo-e: jinformat...@uai.onbc.cu / alexis.ver...@uai.onbc.cu Tel: (+53)5 214-8384 / (+53)7 643-9241 El 2018-12-21 11:29, Tec. Comunicaciones Transgaviota Centro escribió: > Esta está bastante facil > Pero o habrá algún otro método sin recurrir a kerberos o winbind > > Saludos Cordiales, > > M.Sc. Wilfredo Martínez Consuegra > Técnico en Comunicaciones > TRANSGAVIOTA CENTRO > Cayo Las Brujas, Villa Clara. > > Teléfono Trabajo: +53 42 350080 ext 116 > Teléfono Celular: +53 53 664 665 > Teléfono VoIP VPN Gaviota: 4316 > Correo Nauta: wh...@nauta.cu > > SÍGUENOS EN: > > > > > -----Mensaje original----- > De: Informatico [mailto:ybritozam...@rubia.alinet.cu] > Enviado el: Friday, December 21, 2018 10:51 AM > Para: gutl-l@listas.jovenclub.cu > Asunto: [Gutl-l] Re: squid vs AD > > colega yo tengo squid contra Ad de windows, simplemente instale > samba-winbind samba-winbind-clients, configure samba para unirlo a un > dominio windows, y en el squid se encuentra el parametro: > > > # > # Recommended minimum configuration: > # > auth_param ntlm program /usr/bin/ntlm_auth > --helper-protocol=squid-2.5-ntlmssp > auth_param ntlm children 350 > auth_param ntlm keep_alive off > > > #ACL > > acl UsuariosNacional proxy_auth -i "/etc/squid/Usuarios/Nacional" aqui > esta regla pongo a todos los usuarios que tienen navegacion > acl SitiosCuba dstdom_regex -i \.cu$ > acl manager proto cache_object > > > # > > http_access allow UsuariosNacional SitiosCuba aqui le estoy diciendo > que la acl UsuariosNacional tendra acceso a la navegacion declarada en > acl SitiosCuba > http_access deny all > > > ma menos es lo que tengo configurado de forma general en mi proxy, que > se loguean con el AD (en mi caso windows server 2016), yo lo uso asi > > > > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > > > > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ _______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
