El 8/2/19 a las 14:26, Leo C escribió: > Si man tienes razón, > > tengo algunas dudas y tal vez me puedas ayudar > > auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d \ > --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=gss-spnego \ > --domain=CUBA --kerberos /usr/local/bin/squid_kerb_auth -d -s > GSS_C_NO_NAME > > Tengo ese método de autenticación pero haciendo pruebas me percato que > solo navega el usuario administrator, el squid_kerb_auth lo descargué > porque el squid 3.5 ya no trae eso, no se si tiene que ver, también > agregué otro usuario en ou=Users pero como te decia no se conecta a > internet, con debian 9.7, squid 3.5 y samba 4.9.4 > > Los grupos Nav_Nacional, Nav_Internacional y Nav_Internacional_Full > están declarados en el active directory pero tambien hay que definirlos > en el squid? > > Que dices? > > El vie., 8 feb. 2019 a las 14:12, Damián Tomey Soto > (<dam...@ctenue.une.cu <mailto:dam...@ctenue.une.cu>>) escribió: > > El 08/02/2019 a las 01:44 p. m., Arian Molina Aguilera escribió: >> El 8/2/19 a las 11:33, Leo C escribió: >>> auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d \ >>> --ntlm /usr/bin/ntlm_auth --diagnostics >>> --helper-protocol=gss-spnego \ >>> --domain=CUBA --kerberos /usr/local/bin/squid_kerb_auth -d -s >>> GSS_C_NO_NAME >>> auth_param negotiate children 30 >>> auth_param negotiate keep_alive off >>> >>> external_acl_type navegar %LOGIN >>> /usr/lib/squid3/ext_kerberos_ldap_group_acl -D CUBA >>> #external_act_type navegar %LOGIN /usr/lib/squid3/ext_ldap_group_acl >>> >>> >>> acl autenticar proxy_auth REQUIRED >>> #acl navegard external navegar >>> #acl navegarf external navegar >>> acl navegard external navegar GIntranet >>> acl navegarf external navegar GInternet >>> acl cuba dstdomain .cu >>> >>> http_access deny !Safe_ports >>> http_access deny CONNECT !SSL_ports >>> http_access allow localhost manager >>> http_access deny manager >>> >>> http_access allow cuba >>> http_access allow autenticar >>> http_access allow navegard >>> http_access allow navegarf >>> http_access deny all >>> >>> >>> navegan bien pero com puedo definir grupos para navegación nacional e >>> internacional >>> >>> Se que algo hago mal y/o me falta >>> >>> >>> El vie., 8 feb. 2019 a las 10:46, Arian Molina Aguilera >>> (<linuxc...@teknik.io <mailto:linuxc...@teknik.io> >>> <mailto:linuxc...@teknik.io> <mailto:linuxc...@teknik.io>>) escribió: >>> >>> El 8/2/19 a las 10:44, Leo C escribió: >>> > Para squid 3.5 en debian 9 no viene squid_group_acl >>> > >>> > si viene ext_kerberos_ldap_group_acl ext_ldap_group_acl >>> > ext_wbinfo_group_acl >>> > >>> > algun ejemplo de como autenticar con alguno de estos scripts a >>> grupos >>> > especificos en mi active directory sobre samba 4.9.4 ??? >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > El vie., 8 feb. 2019 a las 8:05, Victor Luis Brizuela Peña >>> > (<victor.brizu...@azumatgr.azcuba.cu >>> <mailto:victor.brizu...@azumatgr.azcuba.cu> >>> <mailto:victor.brizu...@azumatgr.azcuba.cu> >>> <mailto:victor.brizu...@azumatgr.azcuba.cu> >>> > <mailto:victor.brizu...@azumatgr.azcuba.cu >>> <mailto:victor.brizu...@azumatgr.azcuba.cu> >>> <mailto:victor.brizu...@azumatgr.azcuba.cu>>>) escribió: >>> > >>> > Yo lo tengo de esta manera y me trabaja muy bien >>> > >>> > # Autenticación con Windows 2012 >>> > auth_param ntlm program /usr/bin/ntlm_auth >>> > --helper-protocol=squid-2.5-ntlmssp >>> > auth_param ntlm children 30 >>> > auth_param ntlm keep_alive off >>> > >>> > external_acl_type LDAP_group %LOGIN >>> > /usr/lib/squid3/wbinfo_group.pl <http://wbinfo_group.pl> >>> <http://wbinfo_group.pl> <http://wbinfo_group.pl> >>> <http://wbinfo_group.pl> <http://wbinfo_group.pl> >>> > >>> > ## Grupos en el ADS >>> > acl nav_nac external LDAP_group Nav_Nacional >>> > acl nav_inter external LDAP_group Nav_Internacional >>> > >>> > >>> > El 07/02/2019 a las 02:16 p. m., Leo C escribió: >>> >> Mediante este método de autenticación >>> >> >>> >> auth_param negotiate program >>> >> /usr/lib/squid/negotiate_wrapper_auth -d \ >>> >> --ntlm /usr/bin/ntlm_auth --diagnostics >>> >> --helper-protocol=gss-spnego \ >>> >> --domain=ABC -- kerberos /usr/local/bin/squid_kerb_auth -d -s >>> >> GSS_C_NO_NAME >>> >> >>> >> La pregunta es como puedo definir a que grupo especifico del >>> >> dominio quiero autenticar, ejemplo que se autentiquen al los >>> >> usuarios que solo pertenecen al grupo internet_usuarios >>> >> >>> >> external_acl_type sirve para esto? >>> >> >>> >> >>> >> >>> >> >>> >> >>> >> _______________________________________________ >>> >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> <mailto:gutl-l@listas.jovenclub.cu>> >>> >> To unsubscribe send an email to >>> gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu>> >>> > >>> > -- >>> > Lic. Victor Luis Brizuela Peña >>> > Administrador de Red >>> > AZUMAT, Sucursal Granma >>> > Móvil: (+53) 53789796 >>> > Telf: (+53)(23) 532102 >>> > >>> > "Sé siempre humilde con los demás, >>> > porque no sabes de quien necesitarás mañana" >>> > >>> > Gott segnet dich!! >>> > "When there is a will there is a way" >>> > >>> > _______________________________________________ >>> > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> > <mailto:gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu>> >>> > To unsubscribe send an email to >>> gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> > <mailto:gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu>> >>> > >>> > >>> > _______________________________________________ >>> > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> >>> es lo mismo sustituye el nombre del archivo por el de los ejemplos >>> que >>> te mandado. >>> >>> -- >>> Arian Molina Aguilera >>> Administrador de Redes y Servicios Telemáticos >>> Linux Usuario Registrado #392892 >>> Telfs: +53(7)696-7510 ext 236 >>> jabber: linuxc...@teknik.io <mailto:linuxc...@teknik.io> >>> <mailto:linuxc...@teknik.io> <mailto:linuxc...@teknik.io> >>> Brascuba Cigarrillos S.A. La Habana. Cuba. >>> “Nunca consideres el estudio como una obligación, >>> sino como una oportunidad para penetrar en el bello >>> y maravilloso mundo del saber. Albert Einstein” >>> >>> >>> _______________________________________________ >>> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> <mailto:gutl-l@listas.jovenclub.cu> >>> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> >>> >>> _______________________________________________ >>> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >>> <mailto:gutl-l@listas.jovenclub.cu> >>> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu >>> <mailto:gutl-l-le...@listas.jovenclub.cu> >>> >> así lo tengo y mi squid esta en debian 9.7 >> >> ###--- ACL Externas de los Grupos del AD >> external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN >> /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g >> Nav_Nacional:Nav_Internacional:Nav_Internacional_Full -D DOMINIO.CU >> <http://DOMINIO.CU> >> >> acl nav_nac external grupos Nav_Nacional >> acl nav_inter external grupos Nav_Internacional >> acl nav_inter_full external grupos Nav_Internacional_Full >> >> >> _______________________________________________ >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >> <mailto:gutl-l@listas.jovenclub.cu> >> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu >> <mailto:gutl-l-le...@listas.jovenclub.cu> > > Hermano que forma de simplificar las cosas, en mi configuración yo > tendría tres líneas cuando tú solo tienes una: > > external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN > /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Nacional -D > DOMINIO.CU <http://DOMINIO.CU> > > external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN > /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Nav_Internacional > -D DOMINIO.CU <http://DOMINIO.CU> > > external_acl_type grupos ttl=300 negative_ttl=60 %LOGIN > /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g > Nav_Internacional_Full -D DOMINIO.CU <http://DOMINIO.CU> > > > lo tuyo si es magia jeeee > > -- > > Damian Tomey Soto > Administrador de Red > CTE 10 de Octubre, Nuevitas > Tel: (32) 414702 Ext. 280 > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > <mailto:gutl-l@listas.jovenclub.cu> > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > <mailto:gutl-l-le...@listas.jovenclub.cu> > > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > Pues el squid en debian 9 si trae ese helper que puse en el ejemplo, no tienes que descargar nada.
La conf de autenticación es bien sencilla ###---Autenticación squid kerberos Samba4/AD auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/proxy.dominio...@dominio.cu auth_param negotiate children 20 startup=20 idle=20 auth_param negotiate keep_alive off -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 email: linuxc...@teknik.io “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein”
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
