Si man tienes razón,
tengo algunas dudas y tal vez me puedas ayudar
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d \
--ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=gss-spnego \
--domain=CUBA --kerberos /usr/local/bin/squid_kerb_auth -d -s
GSS_C_NO_NAME
Tengo ese método de autenticación pero haciendo pruebas me percato que solo
navega el usuario administrator, el squid_kerb_auth lo descargué porque el
squid 3.5 ya no trae eso, no se si tiene que ver, también agregué otro
usuario en ou=Users pero como te decia no se conecta a internet, con debian
9.7, squid 3.5 y samba 4.9.4
Los grupos Nav_Nacional, Nav_Internacional y Nav_Internacional_Full están
declarados en el active directory pero tambien hay que definirlos en el
squid?
Que dices?
El vie., 8 feb. 2019 a las 14:12, Damián Tomey Soto (<dam...@ctenue.une.cu>)
escribió:
> El 08/02/2019 a las 01:44 p. m., Arian Molina Aguilera escribió:
>
> El 8/2/19 a las 11:33, Leo C escribió:
>
> auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d \
> --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=gss-spnego \
> --domain=CUBA --kerberos /usr/local/bin/squid_kerb_auth -d -s
> GSS_C_NO_NAME
> auth_param negotiate children 30
> auth_param negotiate keep_alive off
>
> external_acl_type navegar %LOGIN
> /usr/lib/squid3/ext_kerberos_ldap_group_acl -D CUBA
> #external_act_type navegar %LOGIN /usr/lib/squid3/ext_ldap_group_acl
>
>
> acl autenticar proxy_auth REQUIRED
> #acl navegard external navegar
> #acl navegarf external navegar
> acl navegard external navegar GIntranet
> acl navegarf external navegar GInternet
> acl cuba dstdomain .cu
>
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access allow localhost manager
> http_access deny manager
>
> http_access allow cuba
> http_access allow autenticar
> http_access allow navegard
> http_access allow navegarf
> http_access deny all
>
>
> navegan bien pero com puedo definir grupos para navegación nacional e
> internacional
>
> Se que algo hago mal y/o me falta
>
>
> El vie., 8 feb. 2019 a las 10:46, Arian Molina Aguilera
> (<linuxc...@teknik.io <mailto:linuxc...@teknik.io> <linuxc...@teknik.io>>)
> escribió:
>
> El 8/2/19 a las 10:44, Leo C escribió:
> > Para squid 3.5 en debian 9 no viene squid_group_acl
> >
> > si viene ext_kerberos_ldap_group_acl ext_ldap_group_acl
> > ext_wbinfo_group_acl
> >
> > algun ejemplo de como autenticar con alguno de estos scripts a grupos
> > especificos en mi active directory sobre samba 4.9.4 ???
> >
> >
> >
> >
> >
> >
> >
> > El vie., 8 feb. 2019 a las 8:05, Victor Luis Brizuela Peña
> > (<victor.brizu...@azumatgr.azcuba.cu
> <mailto:victor.brizu...@azumatgr.azcuba.cu>
> <victor.brizu...@azumatgr.azcuba.cu>
> > <mailto:victor.brizu...@azumatgr.azcuba.cu
> <victor.brizu...@azumatgr.azcuba.cu>
> <mailto:victor.brizu...@azumatgr.azcuba.cu>
> <victor.brizu...@azumatgr.azcuba.cu>>>) escribió:
> >
> > Yo lo tengo de esta manera y me trabaja muy bien
> >
> > # Autenticación con Windows 2012
> > auth_param ntlm program /usr/bin/ntlm_auth
> > --helper-protocol=squid-2.5-ntlmssp
> > auth_param ntlm children 30
> > auth_param ntlm keep_alive off
> >
> > external_acl_type LDAP_group %LOGIN
> > /usr/lib/squid3/wbinfo_group.pl <http://wbinfo_group.pl>
> <http://wbinfo_group.pl>
> <http://wbinfo_group.pl> <http://wbinfo_group.pl>
> >
> > ## Grupos en el ADS
> > acl nav_nac external LDAP_group Nav_Nacional
> > acl nav_inter external LDAP_group Nav_Internacional
> >
> >
> > El 07/02/2019 a las 02:16 p. m., Leo C escribió:
> >> Mediante este método de autenticación
> >>
> >> auth_param negotiate program
> >> /usr/lib/squid/negotiate_wrapper_auth -d \
> >> --ntlm /usr/bin/ntlm_auth --diagnostics
> >> --helper-protocol=gss-spnego \
> >> --domain=ABC -- kerberos /usr/local/bin/squid_kerb_auth -d -s
> >> GSS_C_NO_NAME
> >>
> >> La pregunta es como puedo definir a que grupo especifico del
> >> dominio quiero autenticar, ejemplo que se autentiquen al los
> >> usuarios que solo pertenecen al grupo internet_usuarios
> >>
> >> external_acl_type sirve para esto?
> >>
> >>
> >>
> >>
> >>
> >> _______________________________________________
> >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>
> <mailto:gutl-l@listas.jovenclub.cu <gutl-l@listas.jovenclub.cu>
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>>
> >> To unsubscribe send an email to
> gutl-l-le...@listas.jovenclub.cu
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>
> <mailto:gutl-l-le...@listas.jovenclub.cu
> <gutl-l-le...@listas.jovenclub.cu>
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>>
> >
> > --
> > Lic. Victor Luis Brizuela Peña
> > Administrador de Red
> > AZUMAT, Sucursal Granma
> > Móvil: (+53) 53789796
> > Telf: (+53)(23) 532102
> >
> > "Sé siempre humilde con los demás,
> > porque no sabes de quien necesitarás mañana"
> >
> > Gott segnet dich!!
> > "When there is a will there is a way"
> >
> > _______________________________________________
> > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>
> > <mailto:gutl-l@listas.jovenclub.cu <gutl-l@listas.jovenclub.cu>
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>>
> > To unsubscribe send an email to
> gutl-l-le...@listas.jovenclub.cu
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>
> > <mailto:gutl-l-le...@listas.jovenclub.cu
> <gutl-l-le...@listas.jovenclub.cu>
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>>
> >
> >
> > _______________________________________________
> > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>
> > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>
>
> es lo mismo sustituye el nombre del archivo por el de los ejemplos que
> te mandado.
>
> --
> Arian Molina Aguilera
> Administrador de Redes y Servicios Telemáticos
> Linux Usuario Registrado #392892
> Telfs: +53(7)696-7510 ext 236
> jabber: linuxc...@teknik.io <mailto:linuxc...@teknik.io>
> <linuxc...@teknik.io>
> Brascuba Cigarrillos S.A. La Habana. Cuba.
> “Nunca consideres el estudio como una obligación,
> sino como una oportunidad para penetrar en el bello
> y maravilloso mundo del saber. Albert Einstein”
>
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> <mailto:gutl-l@listas.jovenclub.cu> <gutl-l@listas.jovenclub.cu>
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
> <mailto:gutl-l-le...@listas.jovenclub.cu>
> <gutl-l-le...@listas.jovenclub.cu>
>
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
>
> así lo tengo y mi squid esta en debian 9.7
>
> ###--- ACL Externas de los Grupos del AD
> external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN
> /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g
> Nav_Nacional:Nav_Internacional:Nav_Internacional_Full -D DOMINIO.CU
>
> acl nav_nac external grupos Nav_Nacional
> acl nav_inter external grupos Nav_Internacional
> acl nav_inter_full external grupos Nav_Internacional_Full
>
>
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
>
> Hermano que forma de simplificar las cosas, en mi configuración yo tendría
> tres líneas cuando tú solo tienes una:
>
> external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN
> /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Nacional -D
> DOMINIO.CU
>
> external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN
> /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Internacional -D
> DOMINIO.CU
>
> external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN
> /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Internacional_Full -D
> DOMINIO.CU
>
>
> lo tuyo si es magia jeeee
> --
>
> Damian Tomey Soto
> Administrador de Red
> CTE 10 de Octubre, Nuevitas
> Tel: (32) 414702 Ext. 280
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
>
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
