En 22 de septiembre de 2020 7:52:52 p. m. Jesús Roque Travieso
<jro...@ecc.cu> escribió:
ntlm no es plano es cifrado, lo que kerberberos es mas cifrado
________________________________
De: Ariel Alvarez [ariel1cu2...@gmail.com]
Enviado: martes, 22 de septiembre de 2020 19:44
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: [Gutl-l] Re: una mas de Kerberos + Squid
no tiene mucha lógica por una parte asegurar credenciales mediante kerberos
y luego algunos pocos que no autentican contra el dominio pasen las
credenciales en texto plano, pero bueno.....
El mar., 22 sept. 2020 a las 19:29, Jesús Roque Travieso
(<jro...@ecc.cu<mailto:jro...@ecc.cu>>) escribió:
te recomiendo usar como falback de autenticacion ntlm
________________________________
De: Angel Luis Milan Paultre [an...@occ.co.cu<mailto:an...@occ.co.cu>]
Enviado: martes, 22 de septiembre de 2020 15:32
Para: 'Lista cubana de soporte técnico en Tecnologias Libres'
Asunto: [Gutl-l] una mas de Kerberos + Squid
Buenas a todos
Algunos de ustedes la logrado el funcionamiento de la autenticación del
Squid + Kerberos + AD pero con PC windows fueras del dominio ? existe la
posibilidad ?
Pues ya he tratado todas las formas y no lo logro optengo en los log de la
cache esto:
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'
from squid (length: 603).
2020/09/22 15:25:58| negotiate_wrapper: Decode
'TlRMTVNTUAADAAAAGAAYAIYAAAAUARQBngAAAA4ADgBYAAAAEgASAGYAAAAOAA4AeAAAABAAEACyAQAAFYKI4gYBsR0AAAAP+ZWZeBN89j2TW7lQq+UWhlcASQBOADcAcwBwADEAbwBjAGMAXwBhAGQAbQBpAG4AVwBJAE4ANwBTAFAAMQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADcVwo70grnfzT0nXMTaTUgAQEAAAAAAACaOd4yFpHWAVqabEnCafgzAAAAAAIACgBQAFIATwBYAFkAAQAKAFAAUgBPAFgAWQAEABIAbwBjAGMALgBjAG8ALgBjAHUAAwAeAHAAcgBvAHgAeQAuAG8AYwBjAC4AYwBvAC4AYwB1AAcACACaOd4yFpHWAQYABAACAAAACAAwADAAAAAAAAAAAQAAAAAgAABbVTOM9yBvf1fl+WiCTA0NMmooFq0enpXTo1fEsZqgZAoAEAAAAAAAAAAAAAAAAAAAAAAACQAoAEgAVABUAFAALwBwAHIAbwB4AHkALgBvAGMAYwAuAGMAbwAuAGMAdQAAAAAAAAAAAAAAAABrMnCWOyep4qQQ12R4gYIy'
(decoded length: 450).
2020/09/22 15:25:58| negotiate_wrapper: received type 3 NTLM token
2020/09/22 15:25:58| negotiate_wrapper: Return 'BH NT_STATUS_UNSUCCESSFUL
NT_STATUS_UNSUCCESSFUL
'
2020/09/22 15:25:58 kid1| ERROR: Negotiate Authentication validating user.
Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL
NT_STATUS_UNSUCCESSFUL; }}
2020/09/22 15:26:14| negotiate_wrapper: Got 'YR
TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid
(length: 59).
2020/09/22 15:26:14| negotiate_wrapper: Decode
'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length:
42).
2020/09/22 15:26:14| negotiate_wrapper: received type 1 NTLM token
2020/09/22 15:26:14| negotiate_wrapper: Return 'TT
TlRMTVNTUAACAAAACgAKADgAAAAVgoriBUENC90r8ocAAAAAAAAAAGQAZABCAAAABgEAAAAAAA9QAFIATwBYAFkAAgAKAFAAUgBPAFgAWQABAAoAUABSAE8AWABZAAQAEgBvAGMAYwAuAGMAbwAuAGMAdQADAB4AcAByAG8AeAB5AC4AbwBjAGMALgBjAG8ALgBjAHUABwAIALqhlzwWkdYBAAAAAA==
Necesito alguno orientación, probe inclusive sin negotiate_wrapper y lo mismo,
2020/09/22 15:29:54 kid1| ERROR: Negotiate Authentication validating user.
Result: {result=BH, notes={message: received type 1 NTLM token; }}
2020/09/22 15:29:58 kid1| ERROR: Negotiate Authentication validating user.
Result: {result=BH, notes={message: received type 1 NTLM token; }}
Creo que debe haber alguna forma porque las estaciones Windows lo logran
cuando una PC no esta en el dominio simplemente piden el USer y la clave de
un usuario del dominio y listo, autentican..
Alguna idea de por donde encontrar la solución??
saludos
_______________________________________________
Gutl-l mailing list --
gutl-l@listas.jovenclub.cu<mailto:gutl-l@listas.jovenclub.cu>
To unsubscribe send an email to
gutl-l-le...@listas.jovenclub.cu<mailto:gutl-l-le...@listas.jovenclub.cu>
----------
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Ntlm no se recomienda y es vulnerable hace rato que Microsoft no le da
soporte, en las últimas versiones de samba está deprecated y ya se ha
eliminado. Se recomienda exclusivamente Kerberos, y en una red corporativa
con dominio, todos los usuarios deben pertenecer al mismo, y estar unido.
Por ahí dicen que con un cliente de kerberos y configurandolo, en Windows
no se porqué no lo uso, pero en Linux si, funciona perfectamente. El
paquete se llama kerberos autentication dialog (krb5-auth-dialog), buscate
algo similar para Windows.
Salu2.
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
